La FTC (Federal Trade Commission) a infligé une amende de 150 millions de dollars à Twitter suite à l’utilisation des informations personnelles de ses utilisateurs à des fins de publicité ciblée.
L’entreprise a trouvé un accord avec la FTC et le département de la Justice des États-Unis, dans lequel il lui est demandé de modifier ses pratiques en matière de sécurité.
Des informations utilisées pour de la publicité privée sans le consentement des utilisateurs
Depuis 2013, Twitter demande à ses utilisateurs de fournir leur numéro de téléphone ou leur adresse email afin de sécuriser leur compte. Ces informations sont utilisées pour l’authentification à deux facteurs, pour réinitialiser son mot de passe ou encore récupérer un compte qui aurait été bloqué pour activités suspectes. Entre 2014 et 2019, plus de 140 millions d’utilisateurs auraient donné ces informations au réseau social, sans savoir qu’elles ne servaient pas uniquement à améliorer leur sécurité.
D’après la FTC et le département de la Justice des États-Unis, Twitter aurait également fourni ces informations à des annonceurs publicitaires, afin de leur permettre de cibler des utilisateurs précis en comparant ces informations avec celles qu’ils possédaient déjà ou avaient obtenues auprès de data brokers. Une combine profitable pour le réseau social, dont la majorité du chiffre d’affaires provient de la publicité. En agissant ainsi, l’entreprise aurait enfreint plusieurs lois, dont le bouclier de protection des données UE-États-Unis, et une ordonnance de la FTC de 2011 qui interdisait à l’entreprise de présenter de manière inexacte ses pratiques en matière de vie privée et de sécurité.
Twitter devra mettre en place de nouvelles pratiques de sécurité
La FTC, le département de la Justice et Twitter ont annoncé avoir trouvé un accord, qui comporte plusieurs obligations pour l’entreprise. En plus de l’amende de 150 millions de dollars, qui « reflète la gravité des allégations contre Twitter » selon les mots de la procureure générale associée Vanita Gupta, l’entreprise devra opérer des changements dans ses pratiques de sécurité :
- Autoriser les utilisateurs à utiliser d’autres moyens d’authentification multifacteurs, comme des applications mobiles d’authentification ou des clés de sécurité, qui ne requièrent pas que l’utilisateur fournisse son numéro de téléphone ;
- implémenter et maintenir un programme complet de protection de la vie privée et de sécurité qui exige de l’entreprise, entre autres, qu’elle examine et traite les risques potentiels de confidentialité et de sécurité des nouveaux produits ;
- limiter l’accès de ses employés aux données personnelles des utilisateurs ;
- informer la FTC dans le cas d’une brèche de données.
Le réseau social devra également prévenir les utilisateurs de l’utilisation inadéquate de leurs numéros de téléphone et adresses mail à des fins de publicité ciblée, et ne pourra plus profiter financièrement de l’utilisation de ces données. L’amende de 150 millions de dollars représente environ 13 % du chiffre d’affaires de Twitter durant le premier trimestre de 2022. Avant d’entrer en vigueur, cet accord doit encore être approuvé et signé par une Cour fédérale.
Sources : BleepingComputer , FTC