La société de tests génétiques a récemment modifié ses conditions d'utilisation dans le but d'empêcher ses clients d'intenter des recours collectifs ou de participer à des procès devant un jury, suite à un piratage ayant compromis les informations personnelles de près de 7 millions de personnes. Les nouvelles conditions, envoyées par courriel aux clients, stipulent que toute plainte ne peut être déposée qu'à titre individuel et non dans le cadre d'un recours collectif ou d'une action collective. Les clients seront automatiquement considérés comme ayant accepté ces conditions à moins qu'ils n'expriment explicitement leur désaccord dans les 30 jours suivant la réception de l'avis de l'entreprise. La société de biotechnologie 23andMe, spécialisée dans les tests ADN, a confirmé que les données de ses utilisateurs circulaient sur des forums de pirates informatiques à la suite d'une attaque par saturation des informations d'identification (credential-stuffing). Bien que l'enquête initiale ait révélé qu'aucun résultat de test génétique n'avait été divulgué, des informations sensibles telles que des photos, noms complets et localisation géographique provenant de comptes compromis ont été exposées. L'attaque semble avoir affecté les comptes de manière individuelle, avec une fuite initiale de données concernant un million de personnes ashkénazes.
La méthode de credential-stuffing a permis aux pirates d'accéder aux profils et d'exploiter la fonction DNA Relatives de 23andMe pour obtenir des données plus sensibles. Bien que l'ampleur totale de l'attaque ne soit pas encore claire, la société, qui a été sous examen depuis son entrée en bourse en 2021, assure dépasser les normes de protection des données de son secteur. La mise à jour précise également que, jusqu'à présent, aucun résultat de test génétique n'a été divulgué dans la fuite.
Cette modification vise apparemment à dissuader les poursuites judiciaires à la suite de la violation de données. Malgré l'indignation en ligne, des experts estiment que ces changements pourraient ne pas suffire à protéger 23andMe devant les tribunaux, soulignant que les parties impliquées dans des litiges préfèrent souvent résoudre leurs différends en privé. La société avait déjà signalé des recours collectifs déposés à la suite du piratage, mais la portée exacte de l'incident n'était pas claire jusqu'à récemment.
Dans un courriel envoyé aux clients en début de semaine, la société a annoncé qu'elle avait mis à jour la section « Résolution des litiges et arbitrage » de ses conditions « afin d'inclure des procédures qui encourageront une résolution rapide des litiges et de rationaliser les procédures d'arbitrage lorsque plusieurs réclamations similaires sont déposées ». En cliquant dessus, les clients accèdent à la nouvelle version des conditions d'utilisation de l'entreprise, qui interdisent essentiellement aux clients de déposer des recours collectifs, ce qu'un plus grand nombre de personnes sont susceptibles de faire maintenant que l'ampleur du piratage est plus claire.
« Dans toute la mesure permise par la loi applicable, vous et nous convenons que chaque partie ne peut porter plainte contre l'autre partie qu'à titre individuel et non dans le cadre d'un recours collectif ou d'une action collective ou d'un arbitrage collectif », indiquent les conditions mises à jour. Notamment, 23andMe acceptera automatiquement les nouvelles conditions à moins que les clients n'informent spécifiquement l'entreprise de leur désaccord en envoyant un courriel dans les 30 jours suivant la réception de l'avis de l'entreprise. S'ils ne le font pas, ils « seront réputés avoir accepté les nouvelles conditions », indique l'entreprise dans son courrier électronique.
23andMe restreint les recours collectifs : quelles conséquences pour les utisateurs ?
En octobre, la société de tests génétiques basée à San Francisco et dirigée par Anne Wojcicki a annoncé que des pirates informatiques avaient accédé à des informations sensibles sur les utilisateurs, notamment des photos, des noms complets, des emplacements géographiques, des informations relatives aux arbres généalogiques et même des noms de membres de la famille apparentés. L'entreprise a précisé qu'aucun matériel génétique ou dossier d'ADN n'avait été exposé.
Quelques jours après cette attaque, les pirates ont mis en vente sur l'internet les profils de centaines de milliers de juifs ashkénazes et de Chinois. Mais jusqu'à la semaine dernière, on ne savait pas exactement combien de personnes avaient été touchées.
Dans un document déposé auprès de la Securities and Exchange Commission, 23andMe a déclaré que de « multiples recours collectifs » avaient déjà été déposés contre l'entreprise devant les tribunaux fédéraux et étatiques de Californie et les tribunaux étatiques de l'Illinois, ainsi que devant des tribunaux canadiens.
Comme le note Axios, le fait d'interdire aux gens de déposer des recours collectifs permet de dissimuler au public des informations sur les procédures, puisque les parties concernées tentent généralement de résoudre leurs différends avec des arbitres en privé. Des experts, tels que Nancy Kim, professeur au Chicago-Kent College of Law et spécialiste des entrepreneurs en ligne, ont déclaré à Axios que la modification de ses conditions ne suffirait pas à protéger 23andMe devant les tribunaux.
Source : 23andMe
Et vous ?
Comment les utilisateurs peuvent-ils être assurés que leurs données ne seront pas compromises à l’avenir ? Comment ces modifications pourraient-elles affecter la confiance des clients envers 23andMe ? Quelles mesures l’entreprise peut-elle prendre pour rétablir la confiance ?Voir aussi :
La police a utilisé l'ADN pour générer des images 3D de suspects qu'ils n'ont jamais vus et a diffusé les images au public, soulevant les inquiétudes et l'indignation des experts de la vie privée 6,9 millions d'utilisateurs de 23andMe ont vu leurs données personnelles dérobées par des pirates, qui ont accédé aux comptes grâce à des informations de connexion utilisées sur d'autres sites web 
