Après Facebook et Snapchat, c’est au tour de Twitter de se retrouver une nouvelle fois au cœur d’un scandale lié à l'utilisation des données personnelles de ses utilisateurs. Le réseau social aux 330 millions d'internautes a annoncé dans la nuit de mardi à mercredi que des données personnelles de ses usagers avaient été utilisées à des fins publicitaires depuis mai 2018 sans leur consentement explicite.
Le réseau précise que l'erreur a été corrigée lundi et qu'une enquête est en cours pour déterminer combien d'utilisateurs ont pu être concernés. Il conseille à ses utilisateurs de revoir leurs réglages en matière de partage des données.
"Les mots de passe ou les adresses mail" ne sont pas concernés
"Depuis septembre 2018, nous avons pu vous montrer des publicités basées sur des déductions que nous avons réalisées à partir de l'appareil que vous utilisez, même si vous ne nous en avez pas donné la permission", a expliqué le réseau social dans une note explicative publiée sur son centre d'aide en ligne (document en anglais). Selon Twitter, cela concerne deux cas de figure particulier : si un utilisateur a regardé ou cliqué sur une publicité pour une application mobile d'une part, ou en envoyant des publicités basées sur l'appareil utilisé pour se connecter au réseau d'autre part.
"Les données concernées sont restées aux mains de Twitter et ne concernaient pas des informations comme les mots de passe ou les adresses mail", a poursuivi Twitter. L'entreprise, qui présente ses excuses aux utilisateurs concernés, assure mettre en place les "étapes nécessaires pour nous assurer que cela ne se reproduira plus", et invite ses utilisateurs à contacter son bureau de protection des données via un formulaire.
Une utilisation encadrée par le RGPD
Ces deux problèmes, liés au respect du consentement explicite des utilisateurs dans l'usage de leurs données personnelles, sont apparus après l'entrée en vigueur du Règlement européen de protection des données (RGPD) en mai 2018.
Le RGPD impose notamment aux plateformes et sites web de s'assurer du consentement explicite des utilisateurs pour collecter leurs données, notamment à des fins de ciblage publicitaire et lorsque cette collecte se fait pour des entreprises tiers.
Le RGPD oblige également toute entreprise victime d'une perte de données personnelles d'en avertir les autorités compétentes du pays où se trouve son siège européen, l'Irlande en ce qui concerne Twitter, dans les 48 heures après la découverte de cette fuite, et les personnes concernées le plus tôt possible.