À l’heure où Google et Amazon se sont vu sanctionnés lourdement par la CNIL (100 millions pour Google et 35 millions pour Amazon), d’autres entreprises siégeant en Irlande n’ont pas été oubliées pour autant, c’est le cas de la fameuse firme à l’oiseau bleu.
Ainsi, le 15 décembre 2020, la Data Protection Commission (DPC), homologue irlandaise de la CNIL en France, a estimé que Twitter n’avait pas respecté le RGPD, en particulier l’obligation faite de notifier dans les temps l’autorité de contrôle en cas de faille de sécurité. De plus, la DPC a considéré que le réseau social n’avait pas suffisamment documenté ladite brèche.
Un Bug Bounty est un programme de récompenses proposé par de nombreux sites web et développeurs de logiciel qui offre des récompenses aux personnes qui rapportent des bugs, surtout ceux associés à des vulnérabilités.
C’est justement dans le cadre d’un Bug Bounty que Twitter avait découvert cette faille, le 26 décembre 2018 pour être notifiée à la DPC seulement le 8 janvier 2019.
De ce fait, Twitter a enfreint l’article 33 du règlement pour la protection des données, et plus particulièrement les points 1 et 5 de cet article. En d’autres termes, l’entreprise américaine n’a pas notifié suffisamment vite les autorités d’une violation des données personnelles ayant eu lieu sur son service, et n’a pas documenté cette violation, ses conséquences et les mesures prises pour y remédier.
Nous rappelons que le responsable de traitement doit informer l’autorité dans les 72 heures, Twitter a pris ces mesures seulement au bout de 13 jours, ce qui témoigne d’un manque de réactivité de Twitter.
Il est intéressant de préciser que la décision a été prise en comité pour la première fois. C’est-à-dire avec une concertation entre la DPC et toutes les autres autorités de régulation Européennes, d’après l’article 65 du RGPD.
La faille remontait au 4 novembre 2014 et près de 90 000 utilisateurs furent affectés.
Ainsi, la DPC affirme que « l’amende administrative de 450.000 euros est efficace, proportionnée et dissuasive ». En réalité, l’amende est bien inférieure à ce qui aurait pu être décidé sur la base du RGPD, qui prévoyait que Twitter puisse subir une amende équivalente à 4% de son chiffre d’affaires mondial annuel, soit jusqu’à 140 millions de dollars compte tenu de revenus de 3,5 milliards de dollars en 2019.
Les géants américains du numérique ont installé en Irlande leur siège européen, attirés par une fiscalité avantageuse, et il revient donc à Dublin de les encadrer pour le compte de l’Union européenne, en particulier pour ce qui concerne l’utilisation des données personnelles. Ainsi, la Commission irlandaise pour la protection des données a ouvert de nombreuses enquêtes (une vingtaine sont en cours d’après le site d’information TechCrunch) mais n’avait jusqu’à présent pas infligé d’amende significative.
« Nous assumons pleinement la responsabilité de cette erreur et restons engagés dans la protection de la vie privée et des données de nos clients », commente le directeur de la vie privée de Twitter.
Une réponse assez détendue, surtout lorsqu’on sait qu’en l’état, il faudra moins de 2 heures à Twitter pour générer les 450 000 € nécessaires au paiement de cette amende…