Écrit par Stephen Burns, Ruth Promislow, Sébastien Gittens, Matthew Flynn, Caroline Poirier, Kees de Ridder, Suzie Suliman, David Wainer, Emma Arnold-Fyfe et Sahej Toor

Le 17 juin 2025, le Commissariat à la protection de la vie privée du Canada (CPVP) publié un résumé des conclusions de son enquête concernant une atteinte à la protection des données chez 23andMe, qui a touché près de sept millions de clients, dont environ 320 000 Canadiens.

Les données compromises comprenaient des renseignements tirés de l’ADN de la personne ou divulgués par la personne et qui étaient souvent jugés « sensibles » en vertu de la législation canadienne sur la protection des renseignements personnels, notamment : les détails sur la santé, la race, l’origine ethnique, les renseignements sur les proches, la date de naissance, le sexe à la naissance et le genre.

La violation de données serait le résultat d’une attaque de bourrage d’identifiants, où un auteur de menace a exploité des identifiants de connexion réutilisés provenant de violations non liées pour obtenir un accès non autorisé à la plateforme de 23andMe.

À la suite d’une enquête conjointe, le Commissariat à l’information du Royaume-Uni et le Commissariat à l’information du Royaume-Uni ont affirmé qu’il y avait des lacunes dans les pratiques de sécurité de 23andMe. Les autorités ont affirmé que 23andMe :

1. n’a pas mis en œuvre de contrôles appropriés pour empêcher l’accès non autorisé à des données sensibles;
2. ne disposait pas de systèmes efficaces pour surveiller et détecter les cybermenaces et y répondre;
3. n’a pas enquêté sur les allégations crédibles d’atteinte à la vie privée et n’a pas avisé adéquatement les organismes de réglementation ou les clients touchés, comme l’exigent les lois canadiennes et britanniques sur la protection des renseignements personnels.

Par conséquent, le Commissariat et l’ICO ont souligné la nécessité pour les organisations de prendre des mesures proactives pour se protéger contre les cyberattaques, comme l’authentification multifacteur, les exigences minimales strictes en matière de mots de passe, les vérifications de mots de passe compromis et les systèmes de surveillance pour détecter les activités anormales.

Ils rappellent également aux organismes que :

les
1. mesures de protection utilisées à l’égard des renseignements personnels sensibles devraient être plus rigoureuses compte tenu du risque accru de préjudice;
Les
2. mesures de protection doivent être priorisées et « intégrées à l’expérience client [d’un site Web] ».

L’ICO a infligé une amende de 2,31 millions de livres sterling à 23andMe en vertu de la loi britannique sur la protection de la vie privée. En vertu de la législation fédérale canadienne sur la protection des renseignements personnels, il n’y a aucune pénalité découlant des conclusions du CPVP. Par conséquent, le commissaire à la protection de la vie privée, Philippe Dufresne, a demandé que la législation sur la protection de la vie privée soit modernisée afin de renforcer les pouvoirs d’application de la loi, harmonisant le Canada avec ses homologues internationaux. 

Les professionnels de la protection de la vie privée au Canada s’attendent à ce que le gouvernement fédéral présente un projet de loi pour mettre à jour le régime fédéral de protection des renseignements personnels dans le secteur privé, qui comprendra, entre autres, des sanctions en cas de non-conformité.  Entre-temps, les organisations devraient prendre note de la possibilité de sanctions importantes en vertu du régime de protection des renseignements personnels du secteur privé du Québec.

Cette enquête met en évidence la nécessité de mettre en place des contrôles, des systèmes et des processus adaptés à la sensibilité des renseignements à protéger pour respecter les obligations de protection des renseignements personnels et de gestion des risques.

Pour plus d’informations sur la conformité en matière de protection de la vie privée et de protection des données, veuillez communiquer avec l’un de nos avocats spécialisés en protection de la vie privée et en cybersécurité.