Le réseau social a utilisé les adresses électroniques et les numéros de téléphone de ses utilisateurs, à leur insu, pour envoyer des messages publicitaires ciblés.
Le 25 mai 2022, un accord a été trouvé entre l’entreprise Twitter et le ministère américain de la justice (Department of Justice ou DOJ) pour mettre un terme à une procédure judiciaire lancée en 2019 concernant la collecte illicite des données personnelles de ses utilisateurs par le réseau social. L’entreprise Twitter est condamnée à payer une amende de 150 millions de dollars, cet accord restant à valider par un juge fédéral.
Selon la plainte déposée par le ministère de la justice au nom de la Federal Trade Commission (FTC), autorité de la concurrence américaine qui veille dans cette affaire au respect du droit de la consommation, l’entreprise Twitter a violé la loi fédérale (FTC Act), ainsi qu’une précédente ordonnance prise par la Federal Trade Commission en vertu d’un accord passé avec le réseau social en 2011. Pour avoir « mis en danger la vie privée des consommateurs en ne protégeant pas leurs informations personnelles », la FTC interdisait déjà explicitement à Twitter de présenter « de manière inexacte la mesure dans laquelle la société maintient et protège la sécurité, la vie privée, la confidentialité ou l’intégrité de toute information non publique concernant les consommateurs ».
De 2014 à 2019, plus de 140 millions d’utilisateurs du réseau social ont fourni leur numéro de téléphone ou leur adresse électronique, « afin de sécuriser leur compte », à la demande de Twitter. Ces informations personnelles ont été utilisées pour réinitialiser un mot de passe, débloquer un compte ou procéder à une double authentification – ce qui consiste à envoyer un code par SMS ou par mail pour se connecter à l’application, en plus de son nom d’utilisateur et de son mot de passe. Toutefois, Twitter a omis de mentionner que les données personnelles requises serviraient aussi à envoyer des messages publicitaires ciblés, ce que condamnent aujourd’hui les autorités fédérales, FTC et DOJ.
Selon la FTC, « Twitter a utilisé les numéros de téléphone et les adresses électroniques pour permettre aux annonceurs de cibler des publicités spécifiques sur certains consommateurs en rapprochant ces informations des données dont ils disposaient déjà ou qu’ils avaient obtenues auprès de courtiers en données ». L’entreprise, dont l’essentiel des revenus provient de la publicité, a donc tiré profit de cette collecte de données personnelles en mettant ces informations à la disposition des annonceurs. « Les consommateurs qui partagent leurs informations privées ont le droit de savoir si ces informations sont utilisées pour aider les annonceurs à cibler les clients, a déclaré le procureur Stephanie M. Hinds du tribunal du district nord de la Californie. Les sociétés de médias sociaux qui ne sont pas honnêtes avec les consommateurs sur la façon dont leurs informations personnelles sont utilisées seront tenues pour responsables. »
De son côté, Twitter a reconnu un « incident », les données personnelles ayant été transmises à des fins publicitaires « par inadvertance », selon Damien Kieran, responsable de la protection de la vie privée. Le réseau social a expliqué y avoir remédié en septembre 2019. La somme à payer de 150 millions de dollars équivaut à environ 3 % du chiffre d’affaires de Twitter en 2021. Facebook, quant à lui, avait été condamné par la FTC en 2019, pour manquements au respect de la vie privée de ses utilisateurs, à une amende d’un montant record de 5 milliards de dollars (voir La rem n°52, p.77).
La sanction pécuniaire dont doit s’acquitter Twitter est assortie d’obligations. Outre l’interdiction de tirer profit de données collectées de manière trompeuse, le réseau social devra informer les utilisateurs concernés de la manière abusive dont leurs données personnelles ont été exploitées. Il devra permettre une authentification multifacteur qui ne repose pas sur un numéro de téléphone, mettre en œuvre un programme exhaustif de sécurité des données personnelles, se soumettre à des audits indépendants tous les deux ans pendant les vingt prochaines années et, de surcroît, évaluer les risques potentiels de tout nouveau produit ou service impliquant la collecte de données personnelles.
Alors qu’il est légitime de s’interroger sur l’efficacité des sanctions prononcées, la présidente de la FTC Lina Khan, nommée par le président Biden en juin 2021, s’est engagée à ce que le pouvoir de contrôle de la Commission soit davantage exercé sur les pratiques des entreprises en matière de données personnelles et potentiellement à interdire certains comportements. Sur cette question, la stratégie de la FTC pourrait désormais dépasser le simple cadre de la notification assortie d’un consentement en retour pour la collecte des informations personnelles. Selon Lina Khan, limiter le contrôle des pratiques déloyales ou trompeuses dans cette optique risque d’éluder notamment « la question fondamentale de savoir en premier lieu si certains types de collecte et de traitement des données devraient être autorisés ».
L’accord trouvé entre le ministère de la justice et Twitter en mai 2022 intervient au moment où le réseau, valorisé plus de 40 milliards de dollars, fait l’objet d’une offre d’achat par l’homme le plus riche du monde, Elon Musk, patron du groupe Tesla.
Sources :
- « FTC Charges Twitter with Deceptively Using Account Security Data to Sell Targeted Ads », Press Release, Federal Trade Commission, www.ftc.gov, May 25, 2022.
- « Confidentialité des données : Twitter accepte de payer 150 millions de dollars d’amende », AFP, tv5monde.com, 26 mai 2022.
- « Twitter to Pay $150 Million Privacy Fine as Elon Musk Deal Looms », David Uberti, www.wsj.com, May 26, 2022.