Données perso : Twitter a oublié le RGPD

Avec la mise en place du RGPD (règlement européen de protection des données) il y a un peu plus d’un an, impossible de dissimuler une fuite de données personnelles. Twitter a ainsi été contraint ce mercredi de confirmer que données personnelles de ses utilisateurs avaient été utilisées à des fins publicitaires depuis mai 2018 sans leur consentement explicite.

Twitter, qui présente ses excuses aux utilisateurs concernés, assure mettre en place les « étapes nécessaires pour nous assurer que cela ne se reproduira plus ». Le réseau précise que l'erreur a été corrigée lundi et qu'une enquête est en cours pour déterminer combien d'utilisateurs ont pu être concernés, conseillant au passage à ces derniers de revoir leurs réglages en matière de partage des données.

Sont concernés les utilisateurs ayant cliqué ou visionné une publicité pour une application mobile et qui ont ensuite interagi avec cette application mobile. Les données transmises vont du code pays en passant par le profilage publicitaire ou encore l’appareil utilisé.

Twitter est donc fautif. En violant l’aspect central du RGPD qui exige le consentement clair de l’utilisateur quant à la collecte, l’exploitation et le partage de ses données notamment à des fins publicitaires.

Le RGPD oblige par ailleurs toute entreprise victime d'une perte de données personnelles d'en avertir les autorités compétentes du pays où se trouve son siège européen, en l'occurrence pour Twitter l'Irlande, dans les 48 heures suivants la découverte de cette fuite, et les personnes concernées le plus tôt possible.

Sur ce point, Twitter a fait le boulot car la fuite et le bug correspondant ont été décelés le 5 août dernier, affirme l’oiseau bleu.

Incidents multiples

Le réseau social affiche en outre une certaine forme de transparence en publiant la liste complète des données publicitaires des utilisateurs ainsi exposées, ainsi que la liste des partenaires publicitaires qui ont pu recevoir l'information, mais n'a pas divulgué le nom des applications mobiles à l’origine de cette fuite.

Mais ce n’est pas tout. « Depuis septembre 2018, nous avons pu vous montrer des publicités basées sur des déductions que nous avons réalisées à partir de l'appareil que vous utilisez, même si vous ne nous en avez pas donné la permission. Les données concernées sont restées aux mains de Twitter et ne concernaient pas des informations comme les mots de passe ou les adresses mail », a expliqué le réseau dans une note explicative publiée sur son centre d'aide en ligne.

Concrètement, Twitter a donc ignoré le choix des utilisateurs qui avaient opté (dans les paramètres de l’application) pour le refus des publicités ciblés. Et ce, pendant près d’un an.

Et le problème avec Twitter, c’est que ce genre d’incidents n’est pas isolé. De nombreux bugs ont provoqué des fuites de données ou de messages censés être privés ces deux dernières années.

Le réseau pourrait ainsi être lourdement condamné, le RGPD prévoyant des amendes maximales correspondantes à 10% du chiffre d’affaires de l’entreprise coupable. En décembre 2018, Uber écopait en France de 400.000 euros, puis ce fut au tour de Google avec un record (à ce jour) de 50 millions d’euros.

Aux Etats-Unis, les affaires de fuite et de mauvaise protection des données personnelles commencent également à lasser les autorités. La société de crédit Equifax a ainsi accepté de débourser au moins 500 millions de dollars pour solder une affaire ayant compromis les données de 146 millions de ses utilisateurs. Sans oublier Facebook qui versera 5 milliards de dollars pour l’ensemble de son œuvre…