C'est une information qui a été communiquée cette semaine par la Data Protection Commission. Elle confirme l'amende d'un montant de 450 000 € prononcée contre Twitter. Cette amende administrative avait été annoncée le 15 décembre 2020.
-----
Actualité publiée le 16 décembre 2020
La Data Protection Commission (DPC) sanctionne Twitter d'une amende de 450 000 €. La sanction est prononcée dans le cadre d'une infraction au Règlement général sur la protection des données (RGPD) en vigueur en Europe. Elle fait suite à la conclusion d'une enquête débutée en janvier 2019.
Selon la commission irlandaise pour la protection des données, Twitter a enfreint deux dispositions du RGPD. Elles font référence à la notification à l'autorité de contrôle - la DPC - d'une violation de données à caractère personnel.
En l'occurrence, Twitter a dépassé le délai imparti de 72 heures et n'a pas fourni une documentation adéquate.
" La DPC a imposé une amende administrative de 450 000 euros à Twitter comme mesure efficace, proportionnée et dissuasive ", écrit l'autorité irlandaise qui souligne la consultation de toutes les autorités de supervision européennes.
Mauvais timing de notification pour Twitter
Twitter déclare avoir travaillé en étroite collaboration avec la DPC au cours de son enquête et dit respecter la décision qui est en rapport avec " une défaillance de notre processus de réponse aux incidents. "
Cette défaillance est présentée comme une conséquence inattendue d'une baisse des effectifs entre Noël 2018 et le Nouvel An. " Nous avons apporté des modifications afin que tous les incidents leur soient signalés dans les temps. "
An unanticipated consequence of staffing between Christmas Day 2018 and New Years’ Day resulted in Twitter notifying @DPCIreland outside the 72 hour statutory notice period. We have made changes so that all incidents following this have been reported to them in a timely fashion.
— Twitter Comms (@TwitterComms) December 15, 2020
Le 17 janvier 2019, Twitter avait communiqué publiquement au sujet d'un problème ayant touché des utilisateurs de son application pour Android. Avec certaines modifications apportées aux paramètres d'un compte, la protection des tweets (une visibilité pour les seuls abonnés Twitter à un compte) était désactivée. Twitter avait par exemple cité une modification de l'adresse email associée à un compte.
La faille a été corrigée le 14 janvier 2019, mais le bug remontait en réalité à novembre 2014. En rappelant que le RGPD est pour sa part entré en vigueur en mai 2018. Le réseau social de microblogging avait eu connaissance du bug le 26 décembre 2018, à la suite d'un rapport via son programme de bug bounty. La DPC n'a reçu une notification que le 8 janvier 2019.