Technologie
23andMe est sur le point de conclure un règlement concernant une action en justice collective proposée, suite à une violation de données ayant compromis les informations de 6,9 millions d’utilisateurs. Selon le dépôt préliminaire du règlement, la société de tests ADN a accepté de verser 30 millions de dollars aux clients concernés, ainsi que de réaliser des analyses informatiques annuelles et des audits de cybersécurité pendant trois ans. Un site web sera mis en place pour informer les personnes éligibles à une part du fonds de règlement et pour faciliter les paiements. Les utilisateurs touchés recevront également un lien leur permettant de supprimer toutes leurs informations du service, et ils pourront s’inscrire gratuitement à un programme de Protection de la Vie Privée & Médicale + Suivi Génétique pendant trois ans. Un juge doit encore approuver ces conditions.
En octobre 2023, la société a reconnu que les informations de profil des parents ADN d’environ 5,5 millions de clients et les informations de profil de l’Arbre Généalogique de 1,4 million de participants avaient été divulguées. Elle a ensuite révélé dans un document juridique que des individus malveillants avaient commencé à infiltrer les comptes clients à la fin d’avril 2023 et qu’ils avaient eu accès à ses systèmes jusqu’en septembre de la même année. Les hackers ont utilisé une technique appelée « credential stuffing », qui consiste à utiliser des identifiants de connexion précédemment compromis pour accéder aux comptes des clients.
Cette violation a entraîné plusieurs actions en justice collective contre la société, dont une qui accusait 23andMe de ne pas avoir informé les plaignants qu’ils étaient spécifiquement ciblés en raison de leur héritage chinois et juif ashkénaze. Dans l’accord de règlement [PDF] pour le procès consolidé, 23andMe a noté qu’elle « nie les allégations et les revendications formulées dans la plainte » et qu’elle « nie avoir échoué à protéger correctement les informations personnelles de ses consommateurs et utilisateurs. »
Selon des informations de Reuters, 23andMe décrit sa situation financière comme « extrêmement incertaine. » Dans son rapport financier pour l’exercice 2024, elle a révélé avoir généré un chiffre d’affaires total de 220 millions de dollars, en baisse de 27 % par rapport aux 299 millions de dollars de l’année précédente. Une grande partie de l’argent du règlement proviendra de l’assurance cybernétique, que la société s’attend à couvrir à hauteur de 25 millions de dollars sur les 30 millions de dollars au total.
