Le 17 juin 2025, le Commissariat à la protection de la vie privée du Canada (CPVP) a publié un résumé des conclusions de son enquête sur une atteinte à la sécurité des données chez 23andMe, qui a touché près de sept millions de clients, dont environ 320 000 Canadiens.
Les données compromises comprenaient des renseignements qui provenaient de l’ADN de particuliers ou qui avaient été communiqués par des particuliers, et qui étaient souvent considérés comme « sensibles » en vertu de la législation canadienne sur la protection des renseignements personnels, y compris des renseignements sur la santé, la race et l’origine ethnique, les membres de la famille, la date de naissance, le sexe assigné à la naissance et le genre.
L’atteinte à la sécurité des données aurait été causée par une attaque par bourrage d’identifiants, dans le cadre de laquelle un auteur de menace a exploité des identifiants de connexion réutilisés qui ont été volés lors de précédentes atteintes à la sécurité des données sans rapport avec celle-ci pour accéder à la plateforme de 23andMe.
À la suite d’une enquête conjointe, le CPVP et l’Information Commissioner’s Office du Royaume-Uni (ICO) ont conclu que les pratiques de 23andMe en matière de sécurité présentaient des lacunes. Les autorités ont conclu que 23andMe :
Conséquemment, le CPVP et l’ICO ont insisté sur la nécessité pour toutes les organisations de veiller à prendre des mesures proactives pour se protéger contre les cyberattaques, notamment l’authentification à facteurs multiples, des exigences minimales rigoureuses relatives aux mots de passe, des vérifications des mots de passe compromis et une surveillance adéquate pour détecter toute activité anormale.
Ils ont en outre rappelé ce qui suit aux organisations :
L’ICO a infligé à 23andMe une amende de 2,31 millions de livres sterling en vertu de la loi britannique sur la protection des renseignements personnels. Aux termes de la législation fédérale canadienne sur la protection des renseignements personnels, les conclusions du CPVP n’entraînent pas de sanction. Par conséquent, le Commissaire à la protection de la vie privée, Philippe Dufresne, a appelé à une modernisation de la législation sur les renseignements personnels qui accorderait des pouvoirs d’exécution plus solides, et permettrait au Canada de se mettre au diapason de ses partenaires mondiaux.
Les professionnels de la protection des renseignements personnels au Canada s’attendent à ce que le gouvernement fédéral présente des dispositions législatives qui moderniseraient le régime fédéral de protection des renseignements personnels dans le secteur privé, en prévoyant notamment des sanctions en cas de non-conformité. D’ici là, les organisations doivent prendre note de la possibilité de sanctions importantes aux termes du régime québécois de protection des renseignements personnels du secteur privé.
Cette enquête met en lumière la nécessité de mettre en place des contrôles, des systèmes et des processus adaptés à la sensibilité des renseignements devant être protégés afin de respecter les obligations de protection des renseignements personnels et de gérer les risques.
Pour plus de renseignements sur le respect de la vie privée et la protection des données, veuillez communiquer avec l’un de nos avocats spécialisés dans la protection des renseignements personnels et la cybersécurité.