Le réseau social Twitter a été condamné à une amende de 450.000 euros (547.000 $) par le principal organisme de surveillance de la protection des données de l’Union européenne pour avoir omis de donner « un avertissement opportun concernant des violations de la vie privée des utilisateurs ».

« Twitter a enfreint les règles de protection des données de l’UE en ne signalant pas une violation dans les 72 heures requises », a précisé la Commission irlandaise de protection des données (DPC) dans un communiqué.

La DPC estime que le réseau social « ne lui a pas notifié à temps » une faille informatique qui a permis des violations de la vie privée des utilisateurs, soulignant que « l’amende administrative de 450.000 euros est efficace, proportionnée et dissuasive ».

L’année dernière, le réseau social avait averti la DPC d’un paramètre de confidentialité potentiellement désactivé qui mettrait en danger certains appareils fonctionnant sur le système d’exploitation mobile « Android » de Google.

L’enquête de la commission irlandaise a commencé en janvier 2019. Etant donné que cette faille affectait potentiellement les utilisateurs de l’UE, le régulateur a dû envoyer les conclusions de son enquête à d’autres autorités, retardant ainsi un processus qui, selon des critiques, « a pris beaucoup trop de temps ».

Le réseau social s’est toutefois excusé de cette faille dans un communiqué. « Nous sommes désolés que ce soit arrivé », a déclaré Damien Kieran, responsable de la protection de la vie privée chez Twitter.

La société a également déclaré que son incapacité à notifier la violation à temps était due à une « conséquence imprévue de la dotation en personnel entre le jour de Noël 2018 et le jour de l’an », ajoutant qu’elle avait depuis apporté des modifications « de sorte que tous les incidents qui ont suivi ont été signalés ».

Les affaires devant le régulateur irlandais de la protection des données se sont accumulées depuis l’entrée en vigueur du règlement général sur la protection des données (RGPD) en mai 2018. La lenteur des enquêtes a suscité les critiques des défenseurs de la protection de la vie privée et d’autres régulateurs de l’UE, qui n’ont pas le pouvoir de décider des violations européennes par des entreprises ayant une base irlandaise dans l’UE.

Le RGPD permet aux régulateurs d’imposer des sanctions allant jusqu’à 4% du chiffre d’affaires annuel d’une entreprise pour les violations les plus graves. La plus grosse amende à ce jour en vertu des règles de protection des données de l’UE était une amende de 50 millions d’euros infligée à Google par le régulateur français CNIL.