Écrit par Stephen Burns, Ruth Promislow, Sébastien Gittens, Matthew Flynn, Caroline Poirier, Kees de Ridder, Suzie Suliman, David Wainer, Emma Arnold-Fyfe et Sahej Toor
Le 17 juin 2025, le Commissariat à la protection de la vie privée du Canada (CPVP) a publié un résumé des conclusions de son enquête sur une atteinte à la sécurité des données chez 23andMe, qui a touché près de sept millions de clients, dont environ 320 000 Canadiens.
Les données compromises comprenaient des renseignements qui provenaient de l’ADN de particuliers ou qui avaient été communiqués par des particuliers, et qui étaient souvent considérés comme « sensibles » en vertu de la législation canadienne sur la protection des renseignements personnels, y compris des renseignements sur la santé, la race et l’origine ethnique, les membres de la famille, la date de naissance, le sexe assigné à la naissance et le genre.
L’atteinte à la sécurité des données aurait été causée par une attaque par bourrage d’identifiants, dans le cadre de laquelle un auteur de menace a exploité des identifiants de connexion réutilisés qui ont été volés lors de précédentes atteintes à la sécurité des données sans rapport avec celle-ci pour accéder à la plateforme de 23andMe.
À la suite d’une enquête conjointe, le CPVP et l’Information Commissioner’s Office du Royaume-Uni (ICO) ont conclu que les pratiques de 23andMe en matière de sécurité présentaient des lacunes. Les autorités ont conclu que 23andMe :
- n’avait pas mis en œuvre des contrôles appropriés pour protéger les données sensibles contre l’accès non autorisé;
- n’avait pas de systèmes efficaces en place pour surveiller et détecter les cybermenaces et y répondre;
- n’avait pas fait enquête de manière appropriée sur les allégations crédibles d’atteinte ni avisé de manière adéquate les organismes de réglementation et les clients touchés, comme l’exigent les lois du Canada et du Royaume-Uni sur la protection des renseignements personnels.
Conséquemment, le CPVP et l’ICO ont insisté sur la nécessité pour toutes les organisations de veiller à prendre des mesures proactives pour se protéger contre les cyberattaques, notamment l’authentification à facteurs multiples, des exigences minimales rigoureuses relatives aux mots de passe, des vérifications des mots de passe compromis et une surveillance adéquate pour détecter toute activité anormale.
Ils ont en outre rappelé ce qui suit aux organisations :
- Les mesures de protection des renseignements personnels sensibles doivent être plus rigoureuses, car le risque de préjudice est plus élevé.
- Ces mesures de protection doivent être prioritaires et « intégrées dans la conception de l’expérience client [d’un site Web] ».
L’ICO a infligé à 23andMe une amende de 2,31 millions de livres sterling en vertu de la loi britannique sur la protection des renseignements personnels. Aux termes de la législation fédérale canadienne sur la protection des renseignements personnels, les conclusions du CPVP n’entraînent pas de sanction. Par conséquent, le Commissaire à la protection de la vie privée, Philippe Dufresne, a appelé à une modernisation de la législation sur les renseignements personnels qui accorderait des pouvoirs d’exécution plus solides, et permettrait au Canada de se mettre au diapason de ses partenaires mondiaux.
Les professionnels de la protection des renseignements personnels au Canada s’attendent à ce que le gouvernement fédéral présente des dispositions législatives qui moderniseraient le régime fédéral de protection des renseignements personnels dans le secteur privé, en prévoyant notamment des sanctions en cas de non-conformité. D’ici là, les organisations doivent prendre note de la possibilité de sanctions importantes aux termes du régime québécois de protection des renseignements personnels du secteur privé.
Cette enquête met en lumière la nécessité de mettre en place des contrôles, des systèmes et des processus adaptés à la sensibilité des renseignements devant être protégés afin de respecter les obligations de protection des renseignements personnels et de gérer les risques.
Pour plus de renseignements sur le respect de la vie privée et la protection des données, veuillez communiquer avec l’un de nos avocats spécialisés dans la protection des renseignements personnels et la cybersécurité.Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.
Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.
Bennett Jones