L’autorité irlandaise de protection des données (DPC[1]) a sanctionné la société Twitter[2] pour ne pas avoir déclaré une divulgation de données personnelles conformément aux exigences du RGPD[3].

Suite à une modification du code de son application mobile Android, les tweets de certains[4] utilisateurs qui avaient choisi de restreindre leurs publications aux abonnés étaient en réalité publics et consultables par tous.

Le détail des événements a été retracé pour permettre à la Commission irlandaise de déterminer la date exacte à laquelle Twitter aurait dû déclarer cet incident :

  • le 4 novembre 2014, le code de l’application mobile Android a été modifié ;
  • le 26 décembre 2018, un internaute a envoyé les détails de ce bug à Twitter via une plateforme de « prime pour bugs » mise en place par la société ;
  • le 3 janvier 2019, soit 8 jours plus tard, un sous-traitant[5] de Twitter a pris connaissance de ce bug ;
  • le 7 janvier 2019, soit 4 jours plus tard, le sous-traitant à informé Twitter ;
  • le 8 janvier, soit 24 heures plus tard, Twitter a déclaré l’incident aux autorités.

La Commission irlandaise a rappelé Twitter que la déclaration d’une violation de données doit intervenir « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance »[6]. Dans ce cas, la Commission considère que la déclaration aurait dû être réalisée au plus tard le 6 janvier, soit 72 heures après la date où le sous-traitant de Twitter a pris connaissance de l’incidence.

Par ailleurs, la Commission reproche également à Twitter l’imprécision de sa déclaration d’incident.

Une sanction de 450 000 € a été prononcée à l’encontre de la société, soit 0,015 % de son chiffre d’affaires et 0,037 % de son résultat[7].

Lire :

Notes et références

  1. DPC : Data Protection Commission (dataprotection.ie).
  2. La société qui a fait l’objet de la sanction est la société Twitter International Company (TIC), la filiale européenne, basée à Dublin (Irlande) de Twitter Inc, maison mère de Twitter basée aux États-Unis.
  3. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  4. Seuls les tweets des utilisateurs qui ont fait un changement d’adresse e-mails sont concernés par cet incident. Twitter indique que 88 726 utilisateurs semblent êtres concernés, même si ce nombre ne peut être exact, car le journal d’événements des années passées n’est pas nécessairement conservé.
  5. Le responsable de traitement est, dans ce cas, la société TIC, la filiale européenne de Twitter, et la société Twitter Inc est considérée comme sous-traitante.
  6. Le RGPD demande aux responsables de traitement de déclarer à l’autorité de contrôle la divulgation de données à caractère personnel « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance » (source : RGPD, article 33-1). Voir « Quand doit-on déclarer la perte ou la divulgation de données à caractère personnel aux autorités ? ».
  7. Même si la décision concerne TIC, la filiale européenne de Twitter, le chiffre d’affaires de Twitter Inc, la maison mère, a été pris en compte, soit $3 milliards en 2018 pour un résultat de $1,2 milliards (source : twitterinc.com, Annual Report 2018, page 46).