La Data Protection Commission (DPC) sanctionne Twitter d'une amende de 450 000 €. La sanction est prononcée dans le cadre d'une infraction au Règlement général sur la protection des données (RGPD) en vigueur en Europe. Elle fait suite à la conclusion d'une enquête débutée en janvier 2019.

Selon la commission irlandaise pour la protection des données, Twitter a enfreint deux dispositions du RGPD. Elles font référence à la notification à l'autorité de contrôle - la DPC - d'une violation de données à caractère personnel.

En l'occurrence, Twitter a dépassé le délai imparti de 72 heures et n'a pas fourni une documentation adéquate.

" La DPC a imposé une amende administrative de 450 000 euros à Twitter comme mesure efficace, proportionnée et dissuasive ", écrit l'autorité irlandaise qui souligne la consultation de toutes les autorités de supervision européennes.

Twitter

Mauvais timing de notification pour Twitter

Twitter déclare avoir travaillé en étroite collaboration avec la DPC au cours de son enquête et dit respecter la décision qui est en rapport avec " une défaillance de notre processus de réponse aux incidents. "

Cette défaillance est présentée comme une conséquence inattendue d'une baisse des effectifs entre Noël 2018 et le Nouvel An. " Nous avons apporté des modifications afin que tous les incidents leur soient signalés dans les temps. "

Le 17 janvier 2019, Twitter avait communiqué publiquement au sujet d'un problème ayant touché des utilisateurs de son application pour Android. Avec certaines modifications apportées aux paramètres d'un compte, la protection des tweets (une visibilité pour les seuls abonnés Twitter à un compte) était désactivée. Twitter avait par exemple cité une modification de l'adresse email associée à un compte.

La faille a été corrigée le 14 janvier 2019, mais le bug remontait en réalité à novembre 2014. En rappelant que le RGPD est pour sa part entré en vigueur en mai 2018. Le réseau social de microblogging avait eu connaissance du bug le 26 décembre 2018, à la suite d'un rapport via son programme de bug bounty. La DPC n'a reçu une notification que le 8 janvier 2019.