Les utilisateurs de la plateforme de tests génétiques 23andMe ont désormais la possibilité de réclamer une indemnisation à la suite d’une vaste violation de données survenue en 2023. Cette cyberattaque, qui a compromis jusqu’à 7 millions de profils d’utilisateurs, représente l’une des plus grandes fuites d’informations génétiques jamais signalées.
Des données génétiques exposées et revendues sur le dark web
Entre mai et octobre 2023, des cybercriminels ont exploité une technique dite de credential stuffing — consistant à réutiliser des identifiants piratés ailleurs — pour accéder à des milliers de comptes sur la plateforme. L’attaque a permis l’exposition de près de 14 000 comptes utilisateurs et de 6,9 millions de profils supplémentaires via les fonctionnalités DNA Relatives et Family Tree de la société.
Les informations compromises incluaient des données extrêmement sensibles, telles que l’ascendance génétique et des éléments de santé, qui ont circulé sur le dark web. Ce type d’information, qui échappe à certaines protections juridiques comme celles encadrant les dossiers médicaux aux États-Unis, soulève des inquiétudes majeures en matière de cybersécurité biomédicale.
Une indemnisation pouvant aller jusqu’à 10 000 dollars
Un accord collectif de 30 millions de dollars a été conclu aux États-Unis afin de dédommager les victimes de cette violation. L’indemnisation proposée varie selon les cas :
- Un montant fixe d’environ 100 dollars pour certains résidents des États d’Alaska, de Californie, d’Illinois et de l’Oregon, en vertu de lois locales sur la confidentialité génétique.
- Une indemnisation maximale de 10 000 dollars pour les utilisateurs capables de prouver un préjudice documenté lié à l’exploitation de leurs données (fraude, usurpation, perte financière).
Les individus souhaitant faire valoir leur droit à indemnisation doivent soumettre leur dossier via le portail officiel d’ici le 14 juillet 2025 à 23h59 (CT). Les demandes électroniques doivent être complètes et accompagnées, le cas échéant, de documents justifiant le préjudice subi.
Qui est concerné et comment déposer une réclamation
Sont éligibles à cette compensation :
- Les personnes ayant été clientes de 23andMe entre le 1er mai et le 1er octobre 2023.
- Les utilisateurs ayant été notifiés par la société de la compromission de leurs données.
- Les personnes pouvant prouver un préjudice lié à cette fuite.
La plateforme de réclamation centralisée, gérée par Kroll Restructuring Administration, permet de soumettre une demande en ligne, d’ajouter des pièces justificatives, et de suivre l’état d’avancement du dossier.
Une entreprise en faillite et sous un nouveau nom
En mars 2025, 23andMe s’est placée sous la protection du Chapitre 11 de la loi américaine sur les faillites, invoquant l’impact financier des litiges et pertes de confiance. Quelques mois plus tard, la société a été rachetée par Regeron, une entreprise spécialisée dans les biotechnologies, qui a repris la gestion de la procédure d’indemnisation et du passif juridique.
Ce changement de gouvernance soulève des interrogations sur la sécurité des données résiduelles encore stockées dans les systèmes de l’ancienne entité. Des experts en cybersécurité recommandent vivement aux utilisateurs de supprimer leurs informations génétiques persistantes de la plateforme pour réduire les risques futurs de réexposition.
Une confidentialité génétique encore floue
Aujourd’hui, les données ADN recueillies dans le cadre de tests génétiques grand public ne profitent pas toujours des protections juridiques qui encadrent les données médicales classiques, telles que celles offertes par la Health Insurance Portability and Accountability Act (HIPAA).
« Ce sont nos données les plus intimes, uniques et impossibles à changer », affirmait un procureur général d’État, en enjoignant les consommateurs concernés à faire valoir leurs droits dans ce règlement collectif. Le vide règlementaire autour des données génétiques est désormais au centre d’un débat croissant sur la cybersurveillance des patrimoines biologiques.
Des procédures collectives en cours au Canada
Au-delà des frontières américaines, les conséquences juridiques de la fuite de données continuent de se propager. Une action collective a été entamée au Canada contre les dirigeants historiques de 23andMe, les accusant de négligence dans la protection des données personnelles de leurs clients. Cette procédure cherche à obtenir une compensation pour les Canadiens dont les profils ADN ont été compromis.
Que faut-il retenir ?
- Jusqu’à 7 millions de profils ADN exposés en 2023.
- Accord collectif américain de 30 millions de dollars.
- Date limite de dépôt des réclamations : 14 juillet 2025.
- Indemnisation maximale : 10 000 dollars pour préjudices documentés.
- Procédures complémentaires en cours au Canada.
Conclusion : un précédent pour la génétique numérique
L’incident 23andMe marque un tournant dans la façon dont les entreprises de génétique grand public gèrent leur responsabilité en matière de cybersécurité. Il met en évidence la nécessité d’un encadrement juridique plus strict pour les données biologiques, aussi sensibles que permanentes.
Alors que les victimes disposent encore de plusieurs mois pour déposer leur demande, ce règlement record ouvre la voie à de nouvelles normes de protection des données génomiques, dans un secteur en pleine expansion mais encore fragile face aux cybermenaces.
[…] que 23andMe tente de se reconstruire après une série de secousses financières et juridiques majeures, des […]