Quelques jours seulement après qu’une violation massive de données de 23andMe ait révélé les informations personnelles de 6,9 millions d’utilisateurs, la société de tests génétiques a discrètement a mis à jour ses conditions d’utilisation pour empêcher les clients de poursuivre l’entreprise en justice ou de se joindre à des recours collectifs. Cette décision soulève de sérieuses inquiétudes quant à la tentative de l’entreprise de se protéger des répercussions juridiques et à son mépris de la vie privée des utilisateurs.
On ne sait pas si la tentative de 23andMe de se protéger des recours collectifs tiendra devant les tribunaux. Les experts affirment que le processus de notification de l’entreprise était inadéquat, donnant potentiellement aux clients un préavis insuffisant et les confondant avec des adresses e-mail contradictoires.
Les nouvelles conditions de service privent les clients de leur droit de poursuivre en justice et les obligent à régler leurs différends par le biais d’un arbitrage privé. Il s’agit d’un inconvénient majeur pour les clients, car les arbitres favorisent souvent l’entreprise et les procédures sont entourées de secret.
La société demande aux clients de se désinscrire des nouvelles conditions de service par e-mail dans les 30 jours et 23andMe a rendu obligatoire l’authentification à deux facteurs, une mesure de sécurité qu’elle avait précédemment recommandée mais n’a pas appliquée.
Quelles informations ont été divulguées lors de la violation de données 23andMe ?
Selon 23andMe, le piratage a eu lieu début octobre 2023. Il a fallu des semaines à l’entreprise pour révéler toute l’étendue de la violation, alimentant encore davantage la colère du public. Les informations divulguées à Violation de données 23andMe comprenait des informations personnelles sensibles telles que :
- Noms complets
- Arbres généalogiques et rapports d’ascendance
- Emplacements
- Photos de profil
- Années de naissance
Dans certains cas, des informations encore plus sensibles, telles que des données génétiques, peuvent avoir été compromises. Bien que 23andMe affirme que les données génétiques cryptées n’ont pas été divulguées, les experts restent préoccupés par la possibilité que des pirates informatiques piratent le cryptage à l’avenir.
Le recours collectif indique que 23andMe n’a pas réussi à mettre en œuvre une conservation appropriée des données
Un recours collectif a déjà été lancé contre 23andMe. Selon un projet de recours collectif déposé devant la Cour suprême de la Colombie-Britannique, il est allégué que 23andMe n’a pas réussi à mettre en œuvre et à maintenir des pratiques appropriées de conservation et de protection des donnéesentraînant le vol et la vente d’informations clients sur le dark web.
Le principal plaignant dans la poursuite est un résident anonyme de la Colombie-Britannique, dont l’identité est protégée par une interdiction de publication, comme l’a déclaré l’avocat Sage Nematollahi. Le cabinet de Nematollahi, KND Complex Litigation, et YLaw Group, basé à Vancouver, travaillent ensemble pour poursuivre ce recours collectif.
Nematollahi a rapporté que «milliers» des Canadiens ont contacté son cabinet d’avocats à la suite de la violation de données, cherchant à se joindre au recours collectif. Il a décrit le volume des demandes de renseignements comme «sans précédent» dans sa carrière.
Le procès allègue que 23andMe s’est engagé dans «conduite volontaire, consciente ou imprudente» en ne protégeant pas correctement les données des clients. En conséquence, l’entreprise aurait exposé des informations sensibles et précieuses sur ses clients à des parties non autorisées et à des cybercriminels.
Le recours collectif proposé vise des dommages pécuniaires non précisés, y compris le prix payé par les clients affectés pour les services de 23andMe, ainsi que des dommages supplémentaires résultant de la violation de données. Le procès est ouvert à toute personne résidant au Canada dont les informations personnelles ont été divulguées par 23andMe.
Comment lancer un recours collectif contre 23andMe après les nouvelles conditions d’utilisation
Les conditions d’utilisation mises à jour rendent beaucoup plus difficile la participation à un recours collectif contre 23andMe. Cependant, il est toujours possible d’engager une action en justice si vous avez été concerné par une violation de données de 23andMe, mais par le biais d’un arbitrage individuel. Voici ce que vous devez faire :
Désinscription à l’arbitrage
Les nouvelles conditions d’utilisation obligent les utilisateurs à régler les litiges par l’arbitrage, qui est un processus privé avec des droits limités pour les consommateurs. Vous pouvez toutefois vous désinscrire de cette disposition en envoyant un email à [email protected] dans les 30 jours suivant votre première utilisation du service ou la date d’entrée en vigueur des conditions mises à jour.
Trouver d’autres clients concernés
Vous devez trouver d’autres clients qui ont été touchés par la violation de données et qui sont prêts à se joindre au procès. Cela peut être fait via les réseaux sociaux, les forums en ligne ou en contactant un avocat.
Embaucher un avocat
Vous devrez faire appel à un avocat spécialisé dans les recours collectifs. Ils pourront évaluer la viabilité de votre dossier et vous guider tout au long du processus juridique.
Déposer une plainte
Une fois que vous avez rassemblé suffisamment de preuves et trouvé d’autres clients concernés, vous pouvez intenter un recours collectif devant le tribunal. Le procès devra désigner 23andMe comme défendeur et préciser les poursuites judiciaires contre l’entreprise.
Découverte et litige
Le processus de découverte implique la collecte de preuves et la préparation du procès. Cela peut être un processus long et coûteux.
Règlement ou procès
L’affaire peut être réglée avant le procès, ou elle peut aller jusqu’au procès. Si l’affaire est jugée, le jury décidera si 23andMe est responsable des dommages causés par la violation de données.
Voici les défis auxquels vous pourriez être confronté :
- La clause compromissoire: Les nouvelles conditions d’utilisation de 23andMe exigent que la plupart des litiges soient résolus par arbitrage, ce qui favorise l’entreprise et limite vos droits légaux.
- Le coût d’un litige: Les recours collectifs peuvent être coûteux à intenter. Vous devrez peut-être payer des frais juridiques et d’autres dépenses
- L’engagement de temps: Les recours collectifs peuvent prendre des années à être résolus. Vous devrez être patient et persévérant tout au long du processus
- La fenêtre de désinscription: Vous ne disposez que de 30 jours pour vous désinscrire de la clause compromissoire. Si vous ne respectez pas ce délai, vous serez obligé de résoudre tout litige par voie d’arbitrage.
Garde en tête que:
- Le date limite pour intenter un recours collectif contre 23andMe est d’un an à compter de la date à laquelle la réclamation ou la cause d’action est survenue
- Tout litige doit être déposé auprès de l’État ou tribunaux fédéraux situés dans le comté de Santa ClaraCalifornie
- Vous avez le droit de renoncer à votre droit à un procès devant jury
Bien qu’il soit difficile d’engager un recours collectif contre 23andMe, cela pourrait être le seul moyen de tenir l’entreprise responsable de la violation de données et de récupérer des dommages et intérêts. Si vous envisagez cette option, il est important de comprendre les défis impliqués et de demander un avis juridique.
Crédit image en vedette: Andrea De Santis/Unsplash.
