Twitter reconnaît avoir utilisé des données personnelles sans autorisation

La question de l'utilisation des données personnelles des utilisateurs à des fins publicitaires est épineuse depuis les derniers scandales auxquels Facebook a fait face. C'est désormais le tour de Twitter, la plateforme de micro-blogging. Le réseau social a annoncé dans la nuit de mardi à mercredi que des informations personnelles avaient été utilisées pour de la publicité depuis mai 2018 et ce, sans le consentement explicite de leurs propriétaires. Le problème aurait été réglé le 5 août. 

Selon Twitter, cela concerne d'une part les utilisateurs qui ont regardé ou cliqué sur une publicité pour une application mobile et qui ont interagi ensuite avec cette application. Des données ont pu être partagées à des "partenaires publicitaires" sans accord de l'utilisateur, notamment le code du pays dans lequel il habite ou encore des informations telles que la date à laquelle a eu lieu l'interaction avec la publicité.

"Depuis septembre 2018, nous avons pu vous montrer des publicités basées sur des déductions que nous avons réalisées à partir de l'appareil que vous utilisez, même si vous ne nous en avez pas donné la permission. Les données concernées sont restées aux mains de Twitter et ne concernaient pas des informations comme les mots de passe ou les adresses mail", a expliqué le réseau dans une note explicative publiée sur son centre d'aide en ligne.

Twitter, qui présente ses excuses aux utilisateurs concernés, assure mettre en place les "étapes nécessaires" pour s'"assurer que cela ne se reproduira plus", et invite ses utilisateurs à contacter son bureau de protection des données via un formulaire.

Ces deux problèmes, liés au respect du consentement explicite des utilisateurs dans l'usage de leurs données personnelles, sont apparus après l'entrée en vigueur, en mai 2018, du Règlement européen de protection des données (RGPD). Ce texte a notamment imposé aux plateformes et sites internet de s'assurer du consentement explicite des utilisateurs pour collecter leurs données, notamment à des fins de ciblage publicitaire et lorsque cette collecte se fait pour des entreprises tiers.

Le RGPD oblige également toute entreprise victime d'une perte de données personnelles d'en avertir les autorités compétentes du pays où se trouve son siège européen, en l'occurrence pour Twitter l'Irlande, dans les 48 heures suivants la découverte de cette fuite, et les personnes concernées le plus tôt possible.