Recevez chaque jour toute l'actualité du numérique

x

Violation de données : Twitter condamné à 450 000 euros d'amende par la Cnil irlandaise

Twitter doit payer 450 000 euros pour avoir incorrectement notifié une violation de données intervenue en 2018 qui a rendu public des tweets protégés. Il devient ainsi la première grande entreprise américaine à être condamné par la Cnil irlandaise au titre du RGPD.  
Twitter Facebook Linkedin Flipboard Email
×

Violation de données : Twitter condamné à 450 000 euros d'amende par la Cnil irlandaise
Violation de données : Twitter condamné à 450 000 euros d'amende par la Cnil irlandaise © Sara Kurfeß/Unsplash

La Data Protection Commission (DPC), l'équivalent de la Cnil en Irlande, vient de rendre une décision très attendue sur Twitter qui se voit infligé une amende de 450 000 euros.

D'après le communiqué de presse, l'entreprise américaine a violé l'article 33 du Règlement général sur la protection des données personnelles (RGPD) qui prévoit un ensemble de règles à respecter pour notifier à une autorité de contrôle une violation de données.

Un bug qui a exposé des tweets protégés
Lancée en novembre 2018, cette enquête portait sur un bug dans l'application Android de Twitter qui avait rendu public les tweets protégés de certains utilisateurs. La question était de savoir si le réseau social avait prévenu le régulateur dans les temps.

En vertu du RGPD, le responsable du traitement doit notifier "dans les meilleurs délais" une violation de données, et, si possible, 72 heures au plus tard après en avoir pris connaissance. Il doit également "documenter la violation de données" en indiquant les faits, ses effets et les mesures prises pour y remédier. Twitter n'a pas donc respecté ces deux obligations.

Twitter ne fera pas appel de la sanction
Contacté par Techcrunch, le réseau social à l'oiseau bleu a déclaré qu'il se plierait à la décision de la DPC et ne ferait pas appel. "Nous assumons la responsabilité de cette erreur et restons pleinement engagés à protéger la confidentialité et les données de nos clients, y compris par le biais de notre travail pour informer rapidement et de manière transparente le public des problèmes qui surviennent", explique Damien Kieran, responsable de la protection des données de Twitter.

Mais Twitter tente quand même de se dédouaner. Le retard dans la notification serait "une conséquence imprévue du manque de personnel entre le jour de Noël 2018 et le jour de l'an", détaille Damien Kieran. Il ajoute que des "modifications" ont été faites pour que "tous les incidents soient signalés à la DPC en temps opportun".

Vingt enquêtes, une première sanction
Cette sanction, même si son montant est loin d'être exceptionnel, reste importante car il s'agit de la première sanction prise par DPC à l'encontre d'une grande entreprise technologique, après l'ouverture d'une vingtaine d'enquêtes sur les pratiques des big tech.

Cette décision a été adoptée à la suite de négociations difficiles avec les Cnil des autres Etats membres. Pour rappel, le RGPD a introduit un principe de "guichet unique" qui commande que les infractions soient constatées par une autorité "cheffe de file", généralement l'autorité de protection des données du pays où la société incriminée a son siège européen (l'Irlande pour la majorité des Gafam). Dans un souci d'harmonisation, elle doit ensuite consulter ses homologues pour valider ses conclusions.

Ainsi, en août dernier, la DPC reconnaissait ne pas réussir à convaincre ses pairs. "Un certain nombre d'objections ont été soulevées par les instances d'autres pays avec lesquelles la DPC a engagé un processus de consultation", expliquait Graham Doyle, commissaire adjoint à la DPC, sans préciser la nature de ces réserves. C'est le Comité européen de la protection des données, autorité qui chapeaute les Cnil nationales, qui a du trancher le conflit. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

1 commentaire

Antoine Bourbon
22/12/2020 09h17 - Antoine Bourbon

On peut s'interroger : si l'autorité de contrôle met 2 ans pour instruire un cas simple dans lequel la constatation du défaut de notification dans les 72h est une question factuelle et binaire, combien de temps prendra-t-elle pour instruire des cas plus complexes ? C'est une grande faiblesse dans le dispositif RGPD que d'avoir une autorité de contrôle timorée/sous-équipée/sous influence politique (rayez les mentions inutiles).

Répondre au commentaire | Signaler un abus