Le régulateur britannique de la protection des données (ICO) a infligé mardi une amende de 2,31 millions de livres à la société californienne de tests ADN 23andMe pour des manquements dans la protection des données de ses utilisateurs, dérobées en 2023 lors d’une cyberattaque. Les informations de 155.592 résidents britanniques (nom, année de naissance, photos de profil, origine ethnique…) avaient été volées lors de cette attaque, qui avait touché 7 millions de clients. Certaines données avaient ensuite été mises en vente sur la plateforme Reddit, rappelle l’ICO dans un communiqué.
Le régulateur britannique a estimé, à l’issue d’une enquête menée avec le Commissaire à la protection de la vie privée du Canada, que les systèmes de sécurité de 23andMe étaient inadéquats, faute de mesures comme une authentification multifacteurs, des mots de passe sécurisés ou des identifiants non prévisibles. Quelque 320.000 Canadiens ont été affectés par cette cyberattaque, mais le Commissaire à la vie privée n’a pas le pouvoir d’imposer des sanctions.
L’entreprise, en faillite et qui annoncé en mars le licenciement de 40% de son personnel, va être rachetée par sa fondatrice Anne Wojcicki pour 305 millions de dollars, alors que le laboratoire américain Regeneron était initialement pressenti. 23andMe, qui revendique 15 millions de clients, propose pour moins de 200 dollars un test salivaire à renvoyer par courrier permettant de déterminer ses origines ancestrales ou certains traits génétiques liés à la santé.