En 2023, environ 6,9 millions d'utilisateurs de la société de tests génétiques 23andMe ont vu leurs informations personnelles dérobées par des pirates informatiques lors d'une violation de données. La violation, qui a été divulguée pour la première fois par 23andMe en octobre 2023, a été confirmée par un porte-parole de la société au début du mois de décembre de la même année. Ce piratage aurait conduit à la vente sur le marché illégal d'au moins un million de profils de données d'origine juive ashkénaze et une autre fuite aurait exposé des données concernant des centaines de milliers de personnes d'origine chinoise.
Aujourd'hui, l'accord de 30 millions de dollars relatif à la violation de données met fin à l'action en justice, mais aussi aux accusations selon lesquelles 23andMe n'aurait pas informé ses clients d'ascendance chinoise et juive ashkénaze que le pirate informatique semblait les avoir spécifiquement ciblés et qu'il avait mis leurs informations en vente sur le « dark web ».
Un règlement préliminaire de l'action collective proposée a été déposé le jeudi 12 septembre en fin de journée devant le tribunal fédéral de San Francisco et doit être approuvé par un juge.
Il prévoit des paiements en espèces pour les clients dont les données ont été compromises et permet aux clients de s'inscrire pendant trois ans à un programme appelé Privacy & Medical Shield + Genetic Monitoring (protection de la vie privée et bouclier médical + surveillance génétique).
Dans un document déposé au tribunal le vendredi 13 septembre, 23andMe a qualifié le règlement d'équitable, d'adéquat et de raisonnable.
Invoquant sa « situation financière extrêmement incertaine », 23andMe a également demandé au juge de suspendre les arbitrages de dizaines de milliers de membres du groupe, jusqu'à ce que le règlement soit approuvé ou qu'ils décident de ne pas y participer.
Dans un communiqué, 23andMe a déclaré qu'elle pensait que le règlement était dans l'intérêt de ses clients. Elle s'attend également à ce qu'environ 25 millions de dollars du coût soient couverts par une cyber-assurance.
La violation a commencé vers avril 2023 et a duré environ cinq mois, affectant près de la moitié des 14,1 millions de clients de la base de données de 23andMe à l'époque. Elle a été révélée par 23andMe dans un billet de blog datant d'octobre 2023.
Selon la société, le pirate a accédé à 5,5 millions de profils DNA Relatives, qui permettent aux clients de partager des informations entre eux, ainsi qu'à des informations concernant 1,4 million d'autres clients qui utilisent une fonction appelée Family Tree.
Les avocats des plaignants ont déclaré que le règlement répondait aux principales demandes de leurs clients et reflétait les risques importants de litiges ultérieurs, compte tenu de la situation financière « désastreuse » de 23andMe.
Source : 23andMe
Et vous ?
Quel est votre avis sur le sujet ?
Trouvez-vous que cet accord de règlement est juste et pertinent ?
Voir aussi :
La chute de 23andMe de 6 milliards de dollars à près de 0 dollar, soit un effondrement de 98 % de sa valeur par rapport au sommet atteint en 2021, cyberattaque et crise financière : le double revers
La société de tests ADN 23andMe fait face à une nouvelle action en justice pour atteinte à la vie privée, après une cyberattaque où les données de sept millions d'utilisateurs ont été volées
6,9 millions d'utilisateurs de 23andMe ont vu leurs données personnelles dérobées par des pirates, qui ont accédé aux comptes grâce à des informations de connexion utilisées sur d'autres sites web