La CNIL irlandaise a infligé une amende de 450 000 euros à Twitter pour non-respect du RGPD. La Data Protection Commission (DPC) estime que le réseau social n’a pas suffisamment protégé les données personnelles de ses utilisateurs.
Après avoir enquêté pendant deux ans, la Data Protection Commission (DPC) a infligé une amende de 450 000 euros à Twitter pour ne pas avoir suffisamment protégé les données personnelles de ses utilisateurs. Chargé de la protection des données numériques, l’équivalent de la CNIL en Irlande a conclu que le réseau social « ne lui a pas notifié à temps » une faille informatique. De plus, la DPC indique que Twitter n’a pas suffisamment documenté cette brèche de sécurité. Démarrée en janvier 2019, cette enquête liée au RGPD et à la CNIL irlandaise s’est appuyée sur l’article 33 du « règlement général sur la protection des données » pour sanctionner le réseau social.
Les points 1 et 5 de cet article prévoient que les entreprises victimes d’une intrusion informatique ou d’une cyberattaque alertent les autorités de leur pays dans les 72 heures. Si cela n’est pas possible, l’entreprise concernée doit justifier les motifs du retard. Cette dernière doit également apporter des précisions sur la nature des données impliquées dans l’incident et sur les « effets et les mesures prises pour y remédier ». Ces différents éléments n’ont pas pu être constatés par le régulateur qui estime que cette amende administrative de 450 000 euros est « efficace, proportionnée et dissuasive ».
Les fêtes de fin d’année coûtent cher à Twitter
Entrée en vigueur en 2018, le RGPD doit donner plus de pouvoir aux différents régulateurs pour mieux protéger les utilisateurs face à la domination des GAFAM. Si le réseau social à l’oiseau bleu n’est pas un membre à part entière de ce Big Five, il écope de la première décision notable prise par l’autorité irlandaise dans le cadre de ce règlement. Par le biais d’un communiqué repris par TechCrunch, le responsable de la protection des données et de la vie privée de Twitter, Damien Kieran, reconnaît une erreur : « Twitter a travaillé en étroite collaboration avec la DPC pour l’aider dans son enquête (…) Nous assumons la responsabilité de cette erreur et restons pleinement engagés à protéger la vie privée et les données de nos clients, notamment par notre travail visant à informer rapidement et de manière transparente le public des problèmes qui surviennent ».
Le réseau social tente néanmoins de minimiser la situation et de justifier son retard dans la notification. La firme assure que le dépassement du délai légal « est la conséquence imprévue de la baisse de personnel entre Noël 2018 et le Nouvel An ». Avant d’ajouter : « Nous avons apporté des modifications afin que tous les incidents soient signalés dans les temps à la DPC ». Concernant la faille qui a valu cette amende, il s’agissait d’un problème relatif aux tweets protégés. Le réseau social avait révélé publiquement, en janvier 2019, que le paramètre Protéger mes Tweets pouvait être désactivé si certaines modifications, comme un changement d’email, étaient apportées au compte.
