Le 17 juin 2025, le Commissariat à la protection de la vie privée du Canada (CPVP) a publié un résumé des conclusions de son enquête sur une atteinte à la sécurité des données chez 23andMe qui a touché près de 7 millions de clients, dont environ 320 000 Canadiens.
Les données compromises comprenaient des renseignements provenant de l’ADN de particuliers ou communiqués par des particuliers, souvent considérés comme « sensibles » en vertu de la législation canadienne sur la protection des renseignements personnels, y compris des renseignements sur la santé, la race et l’origine ethnique, les membres de la famille, la date de naissance, le sexe assigné à la naissance et le genre.
L’atteinte à la sécurité des données aurait été causée par une attaque par bourrage d’identifiants, dans le cadre de laquelle un auteur de menace a exploité des identifiants de connexion réutilisés, volés lors de précédentes atteintes à la sécurité des données sans rapport avec celle-ci, pour accéder à la plateforme de 23andMe.
À la suite d’une enquête conjointe, le CPVP et l’Information Commissioner’s Office du Royaume-Uni (ICO) ont conclu que les pratiques de 23andMe en matière de sécurité présentaient des lacunes. Les autorités ont conclu que 23andMe :
- n’avait pas mis en œuvre des contrôles appropriés pour protéger les données sensibles contre l’accès non autorisé;
- n’avait pas de systèmes efficaces en place pour surveiller et détecter les cybermenaces et y répondre;
- n’avait pas fait enquête de manière appropriée sur les allégations crédibles d’atteinte ni avisé de manière adéquate les organismes de réglementation et les clients touchés, comme l’exigent les lois du Canada et du Royaume-Uni sur la protection des renseignements personnels.
Conséquemment, le CPVP et l’ICO ont insisté sur la nécessité pour les organisations de prendre des mesures proactives pour se protéger contre les cyberattaques, notamment l’authentification à facteurs multiples, des exigences minimales rigoureuses relatives aux mots de passe, des vérifications des mots de passe compromis et une surveillance adéquate des systèmes pour détecter toute activité anormale.
Ils ont en outre rappelé ce qui suit aux organisations :
- les mesures de protection des renseignements personnels sensibles doivent être plus rigoureuses, car le risque de préjudice est plus élevé;
- ces mesures de protection doivent être prioritaires et « intégrées dans la conception de l’expérience client [d’un site Web] ».
L’ICO a infligé à 23andMe une amende de 2,31 millions de livres sterling en vertu de la législation britannique sur la protection des renseignements personnels. Aux termes de la législation fédérale canadienne sur la protection des renseignements personnels, les conclusions du CPVP n’entraînent pas de sanction. Par conséquent, le Commissaire à la protection de la vie privée, Philippe Dufresne, a appelé à une modernisation de la législation qui accorderait des pouvoirs d’exécution plus solides et permettrait au Canada de se mettre au diapason de ses partenaires mondiaux.
Les professionnels de la protection des renseignements personnels au Canada s’attendent à ce que le gouvernement fédéral présente des dispositions législatives qui moderniseraient le régime fédéral de protection des renseignements personnels dans le secteur privé, en prévoyant notamment des sanctions en cas de non-conformité. D’ici là, les organisations doivent prendre note de la possibilité de sanctions importantes aux termes du régime québécois de protection des renseignements personnels du secteur privé.
Cette enquête met en lumière la nécessité de mettre en place des contrôles, des systèmes et des processus adaptés à la sensibilité des renseignements devant être protégés afin de respecter les obligations de protection des renseignements personnels et de gérer les risques.
Pour plus de renseignements sur le respect de la vie privée et la protection des données, veuillez communiquer avec l’un de nos avocats spécialisés dans la protection des renseignements personnels et la cybersécurité.
