Que se passe-t-il lorsqu’une entreprise perd un grand nombre de données utilisateur ? En général, ils s’excusent et demandent pardon d’un air penaud. Ce n’est pas le cas avec 23andMe. La célèbre société de génomique, qui a subi une violation de données assez terrible l'année dernière, a plutôt choisi de dire à ses clients énervés qu'ils auraient probablement dû choisir un meilleur mot de passe s'ils ne voulaient pas que leurs données soient améliorées.
Pour être plus clair, 23andMe est actuellement poursuivi – ou, plus précisément, légalement attaqué – par un grand nombre de personnes en raison du fait que de nombreux comptes d'utilisateurs ont été compromis par des cybercriminels l'année dernière. La nouvelle de la violation a été annoncée pour la première fois en octobre, lorsque les données des clients ont été mises en vente sur le dark web. À ce moment-là, 23andMe a déclaré au public que seulement environ 14 000 comptes avait été compromis. Cependant, une enquête ultérieure a révélé qu’en raison d’une fonctionnalité interne de partage de données liée à ces comptes, le nombre réel de personnes concernées était probablement d’environ 6,9 millions.
Donc, oui, les gens sont naturellement assez énervés et, par conséquent, tentent de poursuivre en justice la société de génomique. Le mot-clé ici est « essayer » car, en raison de certaines inclusions controversées dans les conditions de service de 23andMe, un litige de masse (comme un recours collectif) est assez difficile à réaliser. Au lieu de cela, les conditions d'utilisation de l'entreprise stipulent que les utilisateurs doivent renoncer à la possibilité de poursuivre l'entreprise en justice et s'essayer à un « arbitrage forcé », un voie légale alternative que les experts affirment est fortement pondéré en faveur des entreprises. Pourtant, un certain nombre de recours collectifs ont été déposés contre l'entreprise, apparemment dans le but de contourner l'accord initial de l'entreprise.
De manière assez humoristique, non seulement 23andMe choisit de rester en dehors du tribunal, mais il semble également nier qu'il était le principal coupable de la violation de données. Exemple concret : mercredi, TechCrunch signalé sur une lettre que la société de génomique avait envoyée aux cabinets d'avocats de l'un des cabinets en charge d'un procès contre elle, Tycko & Zavareei LLP, dans laquelle elle semblait nier tout acte répréhensible et, dans certains cas, pointait du doigt les clients concernés. Le lettrequi a été envoyé aux bureaux du cabinet d'avocats, dit, dans un de ces passages :
« … les utilisateurs ont recyclé par négligence et n'ont pas mis à jour leurs mots de passe à la suite de ces incidents de sécurité passés, qui ne sont pas liés à 23andMe… Par conséquent, l'incident n'était pas le résultat d'un prétendu manquement de 23andMe à maintenir des mesures de sécurité raisonnables… »
En d’autres termes, 23andMe semble dire que toute cette débâcle des données n’est pas vraiment de sa faute. Cela est cohérent avec ce que l'entreprise a déclaré précédemment, à savoir que le véritable coupable de toute cette affaire était la mauvaise sécurité des comptes et que ses propres systèmes n'ont jamais été violés par les criminels. Cependant, les critiques ont souligné que 23andMe aurait probablement dû exiger que les utilisateurs utilisent une authentification multifacteur, une pratique de sécurité standard de l'industrie qu'il n'avait pas respectée avant la violation. L'entreprise n'a institué le 2FA obligatoire qu'après le vol des données des utilisateurs.
En réponse à la lettre de 23andMe, l'avocat Hassan Zavareei a déclaré à Gizmodo que « 23andMe décline toute responsabilité pour la violation et blâme sans vergogne ses clients pour la violation au motif que les données ont été volées via les comptes de clients qui ont recyclé les identifiants de connexion d'autres sites ».
Lors d'une conversation téléphonique, Zavareei a également souligné le fait que 23andMe avait récemment mis à jour ses conditions d'utilisation pour rendre le processus d'arbitrage plus onéreux et plus difficile à gérer. Autre les juristes sont d'accord que les récents changements contractuels de l'entreprise ont rendu plus difficile pour les utilisateurs concernés de se regrouper et de poursuivre un « arbitrage de masse », un processus qui s'apparente davantage à un recours collectif et donc plus avantageux et plus pratique pour les victimes.
Existe-t-il un moyen de contourner la clause compromissoire ? Selon Zavareei, il existe certains scénarios hypothétiques dans lesquels les victimes pourraient intenter une action en justice traditionnelle.
« Ils [23andMe] pourrait renoncer à l’arbitrage et simplement accepter de plaider devant le tribunal et ne pas invoquer la clause d’arbitrage », a déclaré Zavareei. « Nous n'avons aucune indication quant à leur intention. Ils pourraient le faire s’ils voulaient simplement tout résoudre d’un seul coup plutôt que de recourir à des milliers d’arbitrages. [cases].» L'avocat a également déclaré que les plaignants dans ces cas pourraient « contester la clause d'arbitrage et dire que la clause d'arbitrage est inapplicable. Il existe un certain nombre de [legal] des arguments qui auraient pu autrefois faire valoir que la clause est inapplicable et inadmissible.
En d’autres termes, 23andMe pourrait décider de recourir à un processus contentieux plus traditionnel s’il estime que ce serait plus simple que de gérer des multitudes d’arbitrages individuels. Ou, hypothétiquement, les clients concernés pourraient contester la clause d'arbitrage de l'entreprise. Cela dit, ces deux possibilités ne semblent pas particulièrement probables.
Gizmodo a contacté 23andMe pour commenter mais n'a pas reçu de réponse. Nous mettrons à jour cette histoire si elle répond.
Vous pouvez lire l’article original (en Angais) sur le {site|blog}gizmodo.com