La société de tests génétiques 23andMe a modifié ses conditions d'utilisation afin d'empêcher ses clients de déposer des recours collectifs ou de participer à des procès devant jury. Cette décision a été prise quelques jours seulement après que l'on ait appris que des pirates informatiques avaient eu accès aux données personnelles de près de 7 millions de personnes - la moitié des utilisateurs de l'entreprise - lors d'un piratage en octobre.
Dans un e-mail envoyé aux clients en début de semaine et consulté par Engadget, la société a annoncé qu'elle avait mis à jour la section "Résolution des litiges et arbitrage" de ses conditions générales "afin d'inclure des procédures qui encouragent la résolution rapide des litiges et rationalisent l'arbitrage en cas de réclamations multiples et similaires". Un clic permet aux clients d'accéder à la dernière version des conditions générales de l'entreprise, qui interdisent essentiellement aux clients d'intenter des recours collectifs, ce que davantage de personnes feront probablement maintenant que l'ampleur du piratage est plus claire.
"Dans la mesure où la loi applicable le permet, vous et nous convenons que chaque partie ne peut agir contre l'autre qu'à titre individuel et non dans le cadre d'un recours collectif, d'une action commune ou d'un arbitrage de groupe", peut-on lire dans les conditions mises à jour. 23andMe accepte automatiquement les nouvelles conditions, à moins que le client n'informe expressément la société de son désaccord dans les 30 jours suivant la réception de la notification par e-mail. S'ils ne le font pas, ils seront considérés comme ayant accepté les nouvelles conditions", indique l'entreprise dans son e-mail.
23andMe n'a pas répondu à une demande d'Engadget.
En octobre, la société de tests génétiques basée à San Francisco et dirigée par Anne Wojcicki a annoncé que des pirates informatiques avaient eu accès à des données sensibles sur les utilisateurs, notamment des photos, des noms complets, des emplacements géographiques, des informations sur l'arbre généalogique et même les noms de membres de la famille. L'entreprise a déclaré qu'aucun matériel génétique ou enregistrement d'ADN n'avait été divulgué. Quelques jours après l'attaque, les pirates ont mis en vente sur Internet les profils de centaines de milliers de juifs ashkénazes et de Chinois. Jusqu'à la semaine dernière, on ne savait toutefois pas combien de personnes avaient été touchées.
Dans une requête adressée à la SEC, 23andMe a expliqué que "plusieurs recours collectifs" avaient déjà été déposés contre l'entreprise, tant devant les tribunaux fédéraux et d'État de Californie et de l'Illinois que devant les tribunaux canadiens.
Comme le fait remarquer Axios, l'interdiction des recours collectifs cache au public des informations sur les procédures, car les parties impliquées tentent généralement de régler les litiges à huis clos avec des arbitres. Des experts comme Nancy Kim, professeur au Chicago Kent College of Law et spécialiste du droit des contrats en ligne, ont expliqué à Axios que la modification des conditions générales ne suffirait pas à protéger 23andMe devant les tribunaux.
Les nouvelles conditions générales de l'entreprise ont suscité l'indignation en ligne. "Wow, d'abord ils font des conneries et ensuite ils essaient d'arnaquer leurs utilisateurs en étant louches", a écrit sur X un utilisateur se faisant passer pour Daniel Arroyo. "On dirait qu'ils essaient vraiment de sauver leur peau", a écrit un autre utilisateur du nom de Paul Duke, "et d'éviter les poursuites judiciaires après avoir annoncé que des pirates avaient mis la main sur les données personnelles de clients".