Les données personnelles sont le nouvel or. La récente violation de données de 23andMe est un rappel brutal d’une réalité effrayante : nos informations personnelles les plus intimes ne sont peut-être pas aussi sécurisées que nous le pensons. C’est une condamnation accablante de la pure négligence des entreprises qui, tout en profitant de notre ADN, ne parviennent pas à le protéger.
La faille 23andMe a permis aux pirates informatiques d’accéder aux informations personnelles de 6,9 millions d’utilisateurs, notamment leurs arbres généalogiques, leurs années de naissance et leurs emplacements géographiques. Cela soulève quelques questions importantes : les entreprises en font-elles vraiment assez pour protéger nos données ? Devons-nous leur confier nos informations les plus intimes ?
Les entreprises promettent de protéger nos données, mais il y a quelques bizarreries ici. Les excès du gouvernement sont certainement une possibilité, car le FBI et toutes les agences de police du monde salivent probablement à l’idée d’avoir accès à un ensemble de données aussi énormes de séquences d’ADN. Cela pourrait être une mine d’or pour chaque affaire classée, d’ici au pôle Sud.
L’argument : « Mais si vous n’avez rien fait de mal, vous n’avez rien à craindre ! n’est que partiellement applicable, ici : Le problème est celui du consentement. À un moment donné, mon père a fait un test ADN et a découvert qu’il avait un demi-frère qui était sur le point d’avoir 80 ans. Un drame familial incroyable s’est produit lorsqu’ils ont commencé à creuser l’histoire et ont découvert tout un tas d’histoires familiales potentiellement problématiques.
Le problème n’est pas tant que mon père a choisi de faire ça, c’est que je n’ai pas consenti à figurer dans une base de données, et c’est là que les choses se compliquent. Je peux imaginer un avenir à la Black Mirror, dans lequel un membre de la famille est curieux de connaître son ascendance, se fait tester, et deux semaines plus tard, le FBI frappe à la porte de chaque personne qui partage 50 % d’ADN avec cette personne parce qu’elle est recherchée pour une sorte de crime.
L’audace de 23andMe et d’entreprises similaires est stupéfiante. Ils se présentent comme les gardiens de notre histoire génétique, les gardiens de notre passé ancestral et de notre avenir médical potentiel. Mais lorsque les puces sont en panne et que nos données sont divulguées, ils se cachent derrière le vieux « nous n’avons pas été piratés ; c’était l’excuse des anciens mots de passe des utilisateurs.
Cette logique équivaut à celle d’une banque disant : « Ce n’est pas de notre faute si votre argent a été volé ; tu aurais dû avoir une meilleure serrure sur ta porte d’entrée. C’est inacceptable et c’est une abdication flagrante de responsabilité.
Les entreprises qui traitent des données aussi sensibles devraient être tenues de respecter les normes les plus élevées possibles. Nous ne parlons pas ici uniquement de numéros de carte de crédit ou d’adresses e-mail. C’est notre ADN, le modèle même de notre existence. Si quelque chose doit être considéré comme « sacré » dans le domaine numérique, ce devrait sûrement être cela ?
Le fait que les données volées aient été présentées comme une liste de personnes dont les ancêtres ont été victimes de discrimination systémique dans le passé ajoute un autre aspect inquiétant à cette débâcle. Cela met en évidence le risque que ces données soient utilisées à mauvais escient de la manière la plus néfaste, notamment par des attaques ciblées et des discriminations.
L’industrie des tests ADN doit intensifier ses efforts. Elle doit veiller à ce que les mesures de sécurité en place soient non seulement adéquates, mais exceptionnelles. Ils devraient prendre la tête de la cybersécurité et donner l’exemple à tous les autres secteurs.
Il ne s’agit pas seulement de meilleurs mots de passe ou d’authentification à deux facteurs. Il s’agit d’un changement fondamental dans la façon dont ces entreprises perçoivent les données qui leur sont confiées. Il s’agit de reconnaître la profonde responsabilité qu’ils ont, non seulement envers leurs clients, mais envers la société dans son ensemble.
Ai-je bon espoir ? Pas même un peu. J’ai longtemps soutenu qu’après la violation d’Equifax, l’entreprise aurait dû recevoir l’équivalent de la peine de mort pour les entreprises. Au lieu de cela, il a été condamné à une amende de 700 millions de dollars. Je pense que c’est risible. Permettre qu’une violation d’une telle ampleur soit possible, sans parler de sa réalisation ? Vous ne méritez pas de continuer à être une entreprise. Je pense que c’est encore plus vrai pour les entreprises qui s’occupent de notre ADN.
Il est temps pour 23andMe et l’industrie des tests ADN dans son ensemble de réaliser qu’ils ne traitent pas uniquement des données. Ils s’intéressent à la vie des gens, à leur histoire et à leur avenir. Il est temps qu’ils commencent à traiter nos données avec le respect et le soin qu’elles méritent.