Californie : le procureur général attaque en justice le successeur de 23andMe pour une fuite de données touchant près de sept millions d'utilisateurs

Le procureur général de Californie, Rob Bonta, a annoncé le dépôt d’une plainte contre Chrome Holding, l’entité ayant succédé à la société de tests ADN 23andMe après sa mise en faillite. L’action en justice fait suite à une enquête approfondie sur la fuite de données massive survenue en 2023, qui a exposé les informations génétiques de près de sept millions d’utilisateurs.

Selon les conclusions de l’enquête, l’entreprise n’a pas mis en œuvre les mesures de sécurité élémentaires pour protéger les données sensibles de ses clients. M. Bonta a précisé que 23andMe a « menti aux consommateurs sur la gravité » de l’incident, en minimisant l’étendue des informations compromises.

Des données ciblant des communautés spécifiques

L’attaque, perpétrée par « credential stuffing » (bourrage d’identifiants), a permis à des pirates d’accéder aux comptes en utilisant des mots de passe volés lors de précédentes fuites. Les données dérobées comprenaient non seulement les prédispositions génétiques et les facteurs de risque médicaux, mais aussi des informations sur les proches biologiques, l’ascendance et l’ethnicité.

Le procureur général a souligné un aspect particulièrement préoccupant : les cybercriminels ont mis en vente sur le dark web les données en mettant en avant leur appartenance aux communautés asiatiques américaines et juives. « C’est troublant et extrêmement dangereux », a déclaré M. Bonta, évoquant le contexte de « montée de la haine anti-asiatique et antisémite » aux États-Unis.

Un précédent au Royaume-Uni

Cette affaire n’est pas la première à attirer l’attention des autorités. Au Royaume-Uni, le commissaire à l’information (ICO) a infligé l’an dernier une amende de 2,31 millions de livres sterling à 23andMe pour ne pas avoir mis en place des mesures adéquates avant l’incident. L’ICO a estimé que les données personnelles de 155 592 résidents britanniques avaient été compromises. L’enquête britannique, menée en coordination avec le commissaire à la protection de la vie privée du Canada, a conclu que 23andMe avait violé la loi en n’instaurant pas de processus d’authentification et de vérification suffisants lors de la connexion des utilisateurs.

Changements de structure et inquiétudes des usagers

23andMe, cofondée par Anne Wojcicki, avait déposé une demande de mise sous protection du chapitre 11 de la loi sur les faillites en 2025 afin de se vendre sous contrôle judiciaire. Depuis, les utilisateurs ont éprouvé des difficultés à supprimer leurs comptes, ce qui a suscité de nouvelles inquiétudes quant au devenir de leurs données. Certains craignaient que des compagnies d’assurance n’achètent ces informations pour déterminer l’octroi de couvertures.

Chrome Holding, qui a repris les actifs après la faillite, s’est engagé à renforcer les protections des clients. L’entreprise a indiqué avoir pris « plusieurs engagements contraignants pour améliorer la sécurité des données et la protection de la vie privée ». Contacté, le groupe n’a pas encore répondu aux demandes de commentaires.

Un précédent symbole de la génomique grand public

À son apogée, 23andMe comptait parmi ses clients des célébrités comme Snoop Dogg, Oprah Winfrey ou Eva Longoria, et son action avait dépassé les 300 dollars avant de s’effondrer en 2024. L’entreprise a longtemps été perçue comme un pionnier des tests génétiques destinés au grand public, mais les failles de sécurité successives ont terni sa réputation.

Cette nouvelle plainte de la Californie pourrait avoir des répercussions sur l’ensemble du secteur de la génomique personnelle, où la protection des données génétiques – considérées comme une catégorie particulièrement sensible – est au cœur des préoccupations réglementaires.