L’autorité de protection des données irlandaise (DPC[1]) a sanctionné la société Twitter[2] pour ne pas avoir déclaré la perte de données à caractère personnel dans le délai imposé par le RGPD[3].

Dû à un bug de son application mobile Android suite à un changement du code de l’application effectué le 4 novembre 2014, les tweets de certains[4] utilisateurs qui avaient choisi de restreindre leurs publications aux abonnés étaient en réalité publics et consultables par tous.

Un sous-traitant[5] de Twitter a pris connaissance de cet incident le 3 janvier 2019[6] et a informé Twitter le 7 janvier, qui l’a déclaré aux autorités le 8 janvier. La Commission irlandaise considère cependant que Twitter aurait dû déclarer l’incident au plus tard le 6 janvier, c’est-à-dire 72 heures[7] après la date où le sous-traitant de Twitter a pris connaissance de l’incidence, conformément aux exigences du RGPD.

Twitter a justifié ce retard de déclaration par problème de transmission de l’information au sein de l’entreprise.

Par ailleurs, la Commission reproche également à Twitter l’imprécision de sa déclaration d’incident.

Une sanction de 450 000 € a été prononcée à l’encontre de la société, soit 0,015 % du chiffre d’affaires[8] de la société.

Lire :

Notes et références

  1. DPC : Data Protection Commission (dataprotection.ie).
  2. La société qui a fait l’objet de la sanction est Twitter International Company (TIC), la filiale européenne, basée à Dublin (Irlande) de Twitter Inc, maison mère de Twitter basée aux États-Unis.
  3. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  4. Les tweets des utilisateurs qui ont fait un changement d’adresse e-mails sont concernés par cet incident. Twitter indique que 88 726 utilisateurs sembles êtres concernés, même si ce nombre ne peut être exact, car le journal d’événement des années passées n’est pas nécessairement conservé.
  5. Le responsable de traitement est, dans ce cas, la société TIC, la filiale européenne de Twitter, et la société Twitter Inc est considérée comme sous-traitante.
  6. Un internaute a envoyé les détails de ce bug à Twitter, le 26 décembre 2018, via une plateforme de prime pour bugs mise en place par Twitter. Les détails ont été ensuite analysés par Twitter, qui a considéré, le 3 janvier 2019, qu’il s’agissait d’un incident impliquant des données à caractères personnel.
  7. Les entreprises doivent déclarer à l’autorité de contrôle la divulgation de données à caractère personnel dans les meilleurs délais, au maximum 72 heures après l’incident. Voir « Quand doit-on déclarer la perte ou la divulgation de données à caractère personnel aux autorités ? ».
  8. Même si la décision concerne TIC, la filiale européenne de Twitter, le chiffre d’affaires de Twitter Inc, la maison mère, a été pris en compte, soit 3 milliards de dollars.