Twitter a accepté de payer une pénalité de 150 millions de dollars pour avoir utilisé les données personnelles de ses utilisateurs liées à l’authentification à deux facteurs à des fins publicitaires.

Une pratique qui a duré de 2013 à 2019

Cet accord a été établi avec la Federal Trade Commission (FTC), agence fédérale chargée d’appliquer le droit de la consommation et le contrôle des pratiques commerciales anticoncurrentielles telles que les monopoles déloyaux, ainsi qu’avec le Département de la Justice (DOP). Il concerne une pratique mise en place par Twitter entre mai 2013 et septembre 2019, durant laquelle la plateforme a utilisé les adresses mail et les numéros de téléphones des utilisateurs dans ses outils publicitaires sans les en notifier.

Le Département de la Justice explique : « Twitter a dit à ses utilisateurs qu'il recueillait leurs numéros de téléphone et leurs adresses électroniques à des fins de sécurité des comptes, mais n'a pas révélé qu'il utiliserait également ces informations pour aider les [...] entreprises à envoyer des publicités ciblées aux consommateurs. La plainte allègue en outre que Twitter a faussement prétendu se conformer aux cadres du bouclier de protection de la vie privée Union européenne-États-Unis et Suisse-États-Unis, qui interdisent aux entreprises de traiter les informations des utilisateurs d'une manière qui n'est pas compatible avec les fins autorisées par ces derniers ».

De cette manière, Twitter a violé un accord de 2011 établi avec la FTC qui l’interdisait notamment de faire de fausses déclarations sur la manière dont elle utilisait les informations de contact des particuliers. C’est le réseau social lui-même, en 2019, qui a signalé le problème : « Nous avons récemment découvert que lorsque vous avez fourni une adresse électronique ou un numéro de téléphone à des fins de sûreté ou de sécurité (par exemple, une authentification à deux facteurs), ces données peuvent avoir été utilisées par inadvertance à des fins publicitaires ».

La FTC veut mieux réguler les géants de la tech

« Comme le note la plainte, Twitter a obtenu les données des utilisateurs sous prétexte de les exploiter à des fins de sécurité, mais a fini par les utiliser également pour cibler les utilisateurs avec des publicités. Cette pratique a affecté plus de 140 millions d'utilisateurs de Twitter, tout en stimulant la principale source de revenus de Twitter », a déclaré Lina Khan, présidente de la Federal Trade Commission, mise en poste par l’administration Biden.

Le Capitole.

Le Capitole, à Washington D.C., symbole du pouvoir législatif américain. Photographie : Julien Gaud / Unsplash

Lina Khan est une fervente opposante aux monopoles exercés par les géants de la tech ainsi qu’à l’exploitation des données personnelles. D’ailleurs, elle a décidé d’étendre les pouvoirs de la FTC afin de mieux réguler et contrôler ces entreprises. La sanction de Twitter, qui reflète une pénalité de 5 milliards de dollars infligée à Facebook en 2020, suggère une extension de la manière dont les administrations précédentes ont utilisé les pouvoirs d'application existants, rapporte le Wall Street Journal.

« Il s'agit en grande partie d'une continuation. Mais c'est un ordre fort », a affirmé Jessica Rich, ancienne directrice du Bureau de la protection des consommateurs de la FTC, avant d’ajouter que la nouvelle ordonnance contient des dispositions « beaucoup plus solides ».

Twitter doit se plier à de nombreuses mesures

De son côté, Twitter a réagi de manière apaisée à cette décision : « Nous prenons très au sérieux la sécurité des données et le respect de la vie privée, et nous avons coopéré avec la FTC à chaque étape du processus. En parvenant à ce règlement, nous avons payé une pénalité de 150 millions de dollars américains et nous nous sommes alignés avec l'agence sur des mises à jour opérationnelles et des améliorations de programme pour garantir que les données personnelles des gens restent sécurisées et leur vie privée protégée ».

En plus de l’amende, qui représente 3 % des revenus annuels du réseau social, celui-ci doit aussi se plier à de nombreuses mesures. Ainsi, Twitter doit informer tous les utilisateurs concernés par cette faille, alerter la FTC en cas de futures violations de données et se soumettre à des audits de sécurité indépendants tous les deux ans pendant les vingt prochaines années. Depuis, la société a fourni aux utilisateurs des options d'authentification multifactorielle qui ne reposent pas sur des numéros de téléphone.

Pour rappel, l’actualité de Twitter, outre cette pénalité, est très mouvementée. Le milliardaire Elon Musk a récemment annoncé le rachat du réseau social, sur lequel il veut opérer de très nombreux changements.