Le procureur général de Californie a intenté une action en justice jeudi contre la société anciennement connue sous le nom de 23andMe, accusant le service de tests génétiques de ne pas avoir protégé les données des clients lors de la violation de 2023.
La violation de données a touché près de 7 millions de personnes dans tout le pays, dont 850 000 Californiens, selon un communiqué d’Atty. Le bureau du général Rob Bonta.
Les données exposées comprennent des éléments sensibles tels que des informations génétiques brutes et des rapports de santé. Les pirates ont enregistré des données sur les ventes sur le dark web en 2023, a déclaré Bonta.
23andMe a déposé son bilan l’année dernière et a été rachetée par le TTAM Research Institute, une organisation à but non lucratif dirigée par l’ancienne PDG de l’entreprise, Anne Wojcicki. Bonta a intenté une action contre Chrome Holding Co., une filiale de TTAM et le nom du créancier de 23andMe lors de la faillite.
“23andMe a collecté les données personnelles de millions de personnes, n’a pas rempli son obligation en vertu de la loi californienne de protéger ces informations, puis a menti aux consommateurs sur la gravité de sa violation de données de 2023”, a déclaré Bonta dans un communiqué.
Une enquête menée en 2023 par le ministère de la Justice de Californie a révélé que des pirates informatiques étaient capables d’exploiter les systèmes de 23andMe pendant cinq mois sans être détectés. 23andMe a commencé à enquêter lorsque les données concernant l’achat ont été publiées sur le dark web, a révélé l’enquête.
Les attaquants ont utilisé une méthode courante connue sous le nom d’usurpation d’identité pour accéder aux données, en utilisant des mots de passe faibles et réutilisables.
“Les entreprises, en particulier celles qui collectent et stockent des données génétiques personnelles et sensibles, peuvent et doivent savoir comment se protéger contre” l’introduction d’identifiants, indique le communiqué du procureur général.
Selon la plainte déposée cette semaine devant la Cour supérieure de San Francisco, 23andMe “a induit ses clients en erreur et n’a pas pris de mesures raisonnables pour protéger les informations personnelles de ses clients”.
23andMe a été fondée à San Francisco en 2006 et est célèbre pour ses tests génétiques à domicile, où les clients peuvent donner un échantillon de salive et recevoir une analyse ADN.
À son apogée, 23andMe était évalué à 6 milliards de dollars et se concentrait sur les célébrités, organisant des « soirées de crachats » où des clients célèbres crachent dans un tube pour fournir leurs échantillons d’ADN. Les modèles aidaient les gens à voir tous les nouveaux arbres de naissance et montraient des informations sur la santé, telles que la prédisposition génétique au cancer.
Cependant, après son essor, l’entreprise a commencé à voir des signes de difficultés. Étant donné que les utilisateurs ne devaient fournir qu’une seule fois un échantillon d’ADN pour utiliser les services de 23andMe, l’entreprise n’a pas réussi à établir un modèle commercial durable basé sur des clients réguliers. De plus, 23andMe a pu concéder sa technologie sous licence à des sociétés pharmaceutiques, ce qui pourrait augmenter ses bénéfices.
Au moment où l’entreprise a déposé son bilan en mars 2025, elle avait collecté 15 millions d’échantillons d’ADN.
Le procureur général a une contestation distincte en cours devant le tribunal des faillites du district oriental du Missouri concernant la vente des informations génétiques et des actifs de Californiens en faillite.
