### La Californie prend des mesures contre 23andMe Le procureur général de Californie, **Rob Bonta**, a engagé une action en justice contre **23andMe**, qui opère désormais sous le nom de **Chrome Holding Co.**, invoquant le manquement de l'entreprise à protéger adéquatement les données des clients, ce qui a entraîné une violation importante en 2023. La violation a compromis les informations sensibles d'environ 7 millions d'utilisateurs, dont 855 541 résidents de Californie. ### Détails et impact de la violation L'incident a été révélé en octobre 2023 lorsque des acteurs malveillants ont commencé à proposer des enregistrements volés de **23andMe** à la vente et ont divulgué des échantillons de données pour vérifier l'authenticité des informations volées. L'entreprise a confirmé la violation, l'attribuant à une attaque par bourrage d'identifiants qui a exploité des comptes avec des mots de passe faibles. Les attaquants ont initialement ciblé les utilisateurs de la fonctionnalité 'DNA Relatives' avant d'accéder à un plus large éventail de comptes. Au total, la violation a exposé les données génétiques, les prédispositions à des maladies, les détails d'ascendance, les parents biologiques et les correspondances ADN d'environ 6,9 millions d'utilisateurs. ### Allégations de négligence et de déclarations trompeuses La poursuite allègue que **23andMe** n'a pas mis en œuvre de mesures de sécurité raisonnables pour prévenir les attaques par bourrage d'identifiants et a manqué des occasions de détecter l'intrusion. Elle affirme également que l'entreprise n'a pas identifié une erreur de codage dans la fonctionnalité 'DNA Relatives' qui a contribué à l'exposition généralisée des données. De plus, le procureur général accuse **23andMe** d'avoir fait des déclarations trompeuses concernant ses normes de sécurité avant la violation et d'avoir minimisé la gravité de l'incident par la suite. L'entreprise avait initialement suggéré que les données exposées étaient largement publiques et avait blâmé les utilisateurs pour la réutilisation de mots de passe, niant toute violation de ses propres systèmes. ### Violations légales et sanctions potentielles Le procureur général soutient que les actions de **23andMe** ont violé plusieurs lois californiennes, notamment le California Genetic Information Privacy Act, le California Reasonable Data Security Law, le California Consumer Privacy Act (**CCPA**), le False Advertising Law et le Unfair Competition Law. La poursuite demande une injonction pour prévenir de nouvelles violations et des sanctions statutaires allant de 1 000 $ à 7 500 $ par violation. ### Faillite et enquêtes en cours Cette poursuite fait suite à des défis juridiques et des enquêtes antérieures, y compris des amendes de plusieurs millions de dollars qui ont contribué à la déclaration de faillite de **23andMe**. Le bureau du procureur général a précisé que les procédures de faillite et la vente proposée des données génétiques des Californiens sont distinctes de cette action en justice.