Annonce

Les autorités de protection de la vie privée du Canada et du Royaume-Uni ont lancé une enquête conjointe sur l’atteinte à la sécurité des données de 23andMe

Le 10 juin 2024

Les autorités de protection de la vie privée du Canada et du Royaume-Uni ont lancé une enquête conjointe sur l’atteinte à la sécurité des données qui a été découverte en octobre 2023 à l’entreprise 23andMe, qui vend des services de dépistage génétique directement aux consommateurs de partout dans le monde.

Le Commissaire à la protection de la vie privée du Canada, Philippe Dufresne, et le Commissaire à l’information du Royaume-Uni, John Edwards, enquêteront conjointement sur l’atteinte survenue à 23andMe en mettant en commun leurs ressources et leur expertise.

L’entreprise 23andMe est le gardien de renseignements personnels de nature très sensible, notamment des renseignements génétiques, renseignements qui ne changent pas au fil du temps. Ils peuvent révéler des détails à propos d’un individu et des membres de sa famille, entre autres en ce qui concerne la santé, l’ethnicité et les relations biologiques. La confiance du public à l’égard de ces services est donc essentielle.

L’enquête conjointe met en relief la résolution des organismes de réglementation à collaborer dans la protection du droit fondamental à la vie privée des individus d’une juridiction à l’autre. Cette enquête vise à examiner :

• la portée des renseignements qui ont été dévoilés à cause de l’atteinte et des préjudices qui pourraient être causés aux individus touchés;
• si 23andMe avait des mesures de protection adéquates pour protéger les renseignements de nature très sensible dont elle a la gestion;
• si l’entreprise a avisé adéquatement de l’atteinte les deux organismes de réglementation et les individus touchés, conformément aux lois canadiennes et anglaises sur la protection des données et de la vie privée.

Le Commissariat continuera de travailler étroitement avec ses homologues du Québec, de l’Alberta et de la Colombie-Britannique tout au long de l’enquête.

« S’ils se trouvent entre de mauvaises mains, les renseignements génétiques d’un individu pourraient être utilisés à mauvais escient pour surveiller ou discriminer quelqu’un », a déclaré le Commissaire Dufresne. « L’une des priorités des autorités de protection de la vie privée du Canada et du monde entier consiste à s’assurer que les renseignements personnels sont protégés adéquatement contre les attaques de personnes malveillantes », a-t-il ajouté.

Le Commissaire Edwards a quant à lui affirmé : « Les gens doivent pouvoir avoir confiance que toute organisation qui traite leurs renseignements personnels les plus sensibles a en place les mesures de sécurité et de protection nécessaires. Cette atteinte à la sécurité des données a eu une incidence internationale et c’est avec plaisir que nous collaborerons avec nos homologues canadiens pour veiller à ce que les renseignements personnels des citoyens du Royaume-Uni soient protégés. »

Les lois sur la protection des renseignements personnels permettent aux autorités de protection de la vie privée du Canada et du Royaume-Uni de collaborer sur des dossiers qui ont des répercussions sur les deux juridictions. Chaque organisme de réglementation enquêtera sur le respect de la loi qui relève de sa compétence.

Aucun autre commentaire ne sera fait tant que l’enquête est en cours.

Notes à l’intention des journalistes :

• Le Commissaire à la protection de la vie privée du Canada est un agent du Parlement qui a pour mission de protéger et de promouvoir le droit à la vie privée. Le Commissariat à la protection de la vie privée du Canada veille au respect de la Loi sur la protection des renseignements personnels, laquelle porte sur les pratiques de traitement des renseignements personnels utilisées par les ministères et organismes fédéraux, et de la Loi sur la protection des renseignements personnels et les documents électroniques, la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada.
• Au Royaume-Uni, le Information Commissioner’s Office (lien en anglais seulement) (ICO – commissariat à l’information) est l’organisme indépendant de réglementation en ce qui concerne les lois sur la protection des données et les droits à l’information. Il défend les droits à l’information dans l’intérêt public et fait la promotion de la transparence des organismes publics et de la confidentialité des données personnelles. Les responsabilités du commissariat sont établies dans la Data Protection Act (loi sur la protection des données) de 2018 (DPA2018), dans le United Kingdom General Data Protection Regulation (UK GDPR – règlement général sur la protection des données du Royaume-Uni), la Freedom of Information Act de 2000 (FOIA – loi sur liberté de l’information), les Environmental Information Regulations de 2004 (EIR – règlements sur l’information environnementale), les Privacy and Electronic Communications Regulations de 2003 (PECR – règlements sur la vie privée et les communications électroniques) ainsi que dans cinq autres lois et règlements.
• L’enquête conjointe sera effectuée conformément au protocole d’entente conclu entre le Commissariat à la protection de la vie privée du Canada et le Information Commissioner’s Office du Royaume-Uni.

Pour en savoir plus

Commissariat à la protection de la vie privée du Canada
communications@priv.gc.ca

Bureau du commissaire à l'information du Royaume-Uni 
pressoffice@ico.org.uk