La DPC de l’Irlande, son autorité de régulation des données, a infligé une amende de 450 000 € à Twitter, afin de sanctionner un bogue dans l’application pour Android, qui permit de lire les messages privés de façon publique, ce qui est en contravention avec le Règlement Général sur la Protection des Données (RGPD) de l’Union européenne.
Plus précisément, Twitter avait le devoir de documenter la brèche de données, ainsi que le devoir d’informer les autorités qu’elle fut victime d’une brèche de données dans les 72 heures.
Il s’agit de la première amende infligée par la DPC sur la base du RGPD.
La DPC devrait être l’autorité de régulation de données la plus active de l’UE, puisque la plupart des entreprises d’origine hors de l’Union y implantent leur siège social européen. D’après les directives de l’Union européenne, la DPC doit donc statuer au nom de tous les citoyens européens sur les agissements de ces entreprises.
Malheureusement, il n’en est rien, l’Irlande privilégiant une économie basée sur l’attractivité fiscale et le laxisme sur la protection des données. C’est pourquoi, par exemple, la multitude des violations des données personnelles et de la vie privée de Facebook et de ses filiales reste remarquablement impunie depuis plus de dix ans, en dépit des efforts prolongés de personnes clés, comme l’avocat autrichien Max Schrems.
Théoriquement, une entreprise qui ne respecte pas le RGPD peut recevoir une amende jusqu’à 4 % de son chiffre d’affaires annuel.
Mais la DPC estime que « l’amende de 450 000 € est une mesure effective, proportionnée et dissuasive. »
On peut douter de son effectivité et de son caractère dissuasif alors que l’amende représente moins d’un pourcent du résultat d’exploitation de Twitter au troisième trimestre, et une infime partie de son bénéfice net 2019 : 1,47 milliard de dollars.
On pourra tout juste se féliciter que, contrairement aux États-Unis, l’entreprise ne s’en sorte pas sans admettre aucune culpabilité.