Aux États-Unis, Twitter doit payer une amende de 150 millions de dollars (119 millions de livres sterling) après que des responsables de l’application de la loi l’ont accusé d’utiliser illégalement les données des utilisateurs pour aider à vendre des publicités ciblées.
La Federal Trade Commission (FTC) et le ministère de la justice affirment que Twitter a violé un accord conclu avec les autorités de réglementation, selon des documents judiciaires.
Twitter s’était engagé à ne pas communiquer aux annonceurs des informations personnelles telles que des numéros de téléphone et des adresses électroniques.
Les enquêteurs fédéraux affirment que la société de médias sociaux a enfreint ces règles.
Twitter a été condamné à une amende de 400 000 £ en décembre 2020 pour avoir enfreint les règles européennes de confidentialité des données GDPR.
La FTC est une agence indépendante du gouvernement américain dont la mission est l’application de la loi antitrust et la promotion de la protection des consommateurs.
Elle accuse Twitter d’avoir enfreint une ordonnance de la FTC de 2011 qui interdisait explicitement à l’entreprise de faire de fausses déclarations sur ses pratiques en matière de confidentialité et de sécurité.
Twitter tire l’essentiel de ses revenus de la publicité diffusée sur sa plateforme, qui permet aux utilisateurs, qu’il s’agisse de consommateurs, de célébrités ou d’entreprises, de publier des messages de 280 caractères, ou tweets.
Selon une plainte déposée par le ministère de la Justice au nom de la FTC, Twitter a commencé en 2013 à demander aux utilisateurs de fournir un numéro de téléphone ou une adresse électronique afin d’améliorer la sécurité de leur compte.
« Comme le note la plainte, Twitter a obtenu les données des utilisateurs sous prétexte de les exploiter à des fins de sécurité, mais a fini par les utiliser également pour cibler les utilisateurs avec des publicités », a déclaré Lina Khan, qui préside la FTC.
« Cette pratique a affecté plus de 140 millions d’utilisateurs de Twitter, tout en stimulant la principale source de revenus de Twitter. »
Violation de l’authentification
Ian Reynolds, directeur général de la société de sécurité informatique Secure Team, a déclaré à la BBC : « Une fois de plus, Twitter viole la confiance que ses utilisateurs ont dans sa plateforme en utilisant leurs informations privées à son propre avantage et en augmentant ses propres revenus. »
Il a ajouté : « Twitter a induit ses clients en erreur en acquérant leurs données en prétendant que c’était à des fins de sécurité et de protection de leur compte, mais a fini par utiliser ces données pour cibler ses utilisateurs avec des publicités.
« Cette réalité montre le pouvoir que les entreprises ont encore sur vos données et qu’il y a encore un long chemin à parcourir avant que les utilisateurs puissent être à l’aise en sachant qu’ils ont un contrôle total sur leur propre empreinte numérique. »
Afin d’authentifier un compte, Twitter demande aux gens de fournir un numéro de téléphone et une adresse électronique.
Ces informations aident également les gens à réinitialiser leurs mots de passe et à déverrouiller leurs comptes si nécessaire, ainsi que pour activer l’authentification à deux facteurs.
L’authentification à deux facteurs fournit une couche supplémentaire de sécurité en envoyant un code à un numéro de téléphone ou à une adresse électronique pour aider les utilisateurs à se connecter à Twitter avec un nom d’utilisateur et un mot de passe.
Mais, selon la FTC, jusqu’à au moins septembre 2019, Twitter utilisait également ces informations pour stimuler son activité publicitaire.
Il est accusé d’avoir permis aux annonceurs d’accéder aux informations de sécurité des utilisateurs.
En plus de l’amende, Twitter doit également :
- cesser d’utiliser les numéros de téléphone et les adresses électroniques qu’il a collectés illégalement.
- informer les utilisateurs de son utilisation abusive des informations de sécurité
- informer les utilisateurs de l’action répressive de la FTC
- expliquer comment désactiver les publicités personnalisées et revoir les paramètres d’authentification multifactorielle
- proposer des options d’authentification multifactorielle qui ne nécessitent pas de numéro de téléphone
- mettre en œuvre un programme renforcé de protection de la vie privée et de sécurité, qui comprend le signalement des incidents à la FTC dans les 30 jours.
« Le ministère de la Justice s’est engagé à protéger la confidentialité des données sensibles des consommateurs », a déclaré Vanita Gupta, procureur général adjoint des États-Unis.
« La pénalité de 150 millions de dollars reflète la gravité des allégations portées contre Twitter, et les nouvelles mesures de conformité substantielles qui seront imposées à la suite de l’accord proposé contribueront à prévenir d’autres tactiques trompeuses qui menacent la vie privée des utilisateurs. »