La socit de tests gntiques a rcemment modifi ses conditions d’utilisation dans le but d’empcher ses clients d’intenter des recours collectifs ou de participer des procs devant un jury, suite un piratage ayant compromis les informations personnelles de prs de 7 millions de personnes. Les nouvelles conditions, envoyes par courriel aux clients, stipulent que toute plainte ne peut tre dpose qu’ titre individuel et non dans le cadre d’un recours collectif ou d’une action collective. Les clients seront automatiquement considrs comme ayant accept ces conditions moins qu’ils n’expriment explicitement leur dsaccord dans les 30 jours suivant la rception de l’avis de l’entreprise.
La socit de biotechnologie 23andMe, spcialise dans les tests ADN, a confirm que les donnes de ses utilisateurs circulaient sur des forums de pirates informatiques la suite d’une attaque par saturation des informations d’identification (credential-stuffing). Bien que l’enqute initiale ait rvl qu’aucun rsultat de test gntique n’avait t divulgu, des informations sensibles telles que des photos, noms complets et localisation gographique provenant de comptes compromis ont t exposes. L’attaque semble avoir affect les comptes de manire individuelle, avec une fuite initiale de donnes concernant un million de personnes ashknazes.
La mthode de credential-stuffing a permis aux pirates d’accder aux profils et d’exploiter la fonction DNA Relatives de 23andMe pour obtenir des donnes plus sensibles. Bien que l’ampleur totale de l’attaque ne soit pas encore claire, la socit, qui a t sous examen depuis son entre en bourse en 2021, assure dpasser les normes de protection des donnes de son secteur. La mise jour prcise galement que, jusqu’ prsent, aucun rsultat de test gntique n’a t divulgu dans la fuite.
Cette modification vise apparemment dissuader les poursuites judiciaires la suite de la violation de donnes. Malgr l’indignation en ligne, des experts estiment que ces changements pourraient ne pas suffire protger 23andMe devant les tribunaux, soulignant que les parties impliques dans des litiges prfrent souvent rsoudre leurs diffrends en priv. La socit avait dj signal des recours collectifs dposs la suite du piratage, mais la porte exacte de l’incident n’tait pas claire jusqu’ rcemment.
Dans un courriel envoy aux clients en dbut de semaine, la socit a annonc qu’elle avait mis jour la section Rsolution des litiges et arbitrage de ses conditions afin d’inclure des procdures qui encourageront une rsolution rapide des litiges et de rationaliser les procdures d’arbitrage lorsque plusieurs rclamations similaires sont dposes . En cliquant dessus, les clients accdent la nouvelle version des conditions d’utilisation de l’entreprise, qui interdisent essentiellement aux clients de dposer des recours collectifs, ce qu’un plus grand nombre de personnes sont susceptibles de faire maintenant que l’ampleur du piratage est plus claire.
Dans toute la mesure permise par la loi applicable, vous et nous convenons que chaque partie ne peut porter plainte contre l’autre partie qu’ titre individuel et non dans le cadre d’un recours collectif ou d’une action collective ou d’un arbitrage collectif , indiquent les conditions mises jour. Notamment, 23andMe acceptera automatiquement les nouvelles conditions moins que les clients n’informent spcifiquement l’entreprise de leur dsaccord en envoyant un courriel dans les 30 jours suivant la rception de l’avis de l’entreprise. S’ils ne le font pas, ils seront rputs avoir accept les nouvelles conditions , indique l’entreprise dans son courrier lectronique.
23andMe restreint les recours collectifs : quelles consquences pour les utisateurs ?
En octobre, la socit de tests gntiques base San Francisco et dirige par Anne Wojcicki a annonc que des pirates informatiques avaient accd des informations sensibles sur les utilisateurs, notamment des photos, des noms complets, des emplacements gographiques, des informations relatives aux arbres gnalogiques et mme des noms de membres de la famille apparents. L’entreprise a prcis qu’aucun matriel gntique ou dossier d’ADN n’avait t expos.
Quelques jours aprs cette attaque, les pirates ont mis en vente sur l’internet les profils de centaines de milliers de juifs ashknazes et de Chinois. Mais jusqu’ la semaine dernire, on ne savait pas exactement combien de personnes avaient t touches.
Dans un document dpos auprs de la Securities and Exchange Commission, 23andMe a dclar que de multiples recours collectifs avaient dj t dposs contre l’entreprise devant les tribunaux fdraux et tatiques de Californie et les tribunaux tatiques de l’Illinois, ainsi que devant des tribunaux canadiens.
Comme le note Axios, le fait d’interdire aux gens de dposer des recours collectifs permet de dissimuler au public des informations sur les procdures, puisque les parties concernes tentent gnralement de rsoudre leurs diffrends avec des arbitres en priv. Des experts, tels que Nancy Kim, professeur au Chicago-Kent College of Law et spcialiste des entrepreneurs en ligne, ont dclar Axios que la modification de ses conditions ne suffirait pas protger 23andMe devant les tribunaux.
Source : 23andMe
Et vous ?
Comment les utilisateurs peuvent-ils tre assurs que leurs donnes ne seront pas compromises lavenir ?
Comment ces modifications pourraient-elles affecter la confiance des clients envers 23andMe ?
Quelles mesures lentreprise peut-elle prendre pour rtablir la confiance ?
Voir aussi :