Un article de Fortune du 12 octobre 2018 fait état d'une enquête menée par les autorités irlandaises dans le cadre du RGPD envers Twitter. Tout est partie d'une demande pourtant anodine d'un utilisateur concernant le service t.co (liens raccourcis), refusée par Twitter et contraire au règlement européen en matière de protection des données personnelles. Twitter pourrait être puni de plusieurs millions de dollars d'amendes si l'infraction si révèle confirmée.
L'histoire a débuté lorsque Michael Veale, chercheur en protection de la vie privée au University College London, a demandé à Twitter les données que le service de raccourcissement d'URL t.co récupère auprès des utilisateurs. En effet, la documentation officielle de Twitter évoque que le service permet d'obtenir des données de trafic et de mesurer les clics sur les liens. Or, Michael Veale pense que cela ne s'arrête pas là et que Twitter récupère d'autres données qui lui permettraient de déposer potentiellement des cookies, etc.
Twitter a explicitement refusé de fournir les données au chercheur, en se justifiant que cela demanderait des efforts disproportionnés pour les extraire. Michael Veale s'est alors plaint à la Data Protection Commission (DPC) en Irlande afin de faire entendre sa voix et sa demande, qui vient d'ouvrir une enquête à l'encontre de Twitter. L'Irlande étant un paradis fiscal pour les entreprises, le siège européen de Twitter se situe dans ce pays avantageux, ce qui explique pourquoi la plainte a été déposée volontairement dans ce pays.
Il faut savoir que les entreprises sont théoriquement obligées de fournir des données lorsqu'elles concernent directement les utilisateurs. Facebook est l'autre réseau social dans le viseur pour les mêmes raisons. Le rôle de la DPC est d'identifier ou non l'infraction, mais aussi de transmettre la plainte à la nouvelle commission européenne en charge de ce type de dossier. Bon nombre d'entreprises ont peur que les utilisateurs leur demandent des données ou informations sensibles comme pour t.co, et s'exposent donc à des sanctions du RGPD. Reste à savoir si Twitter sera puni pour violation des données personnelles et si ce cas fera jurisprudence en Europe. Peut-être comprendrons-nous enfin ce qui se cache derrière le raccourcisseur d'URL de Twitter... ^^
Pour la première fois depuis la mise en place du RGPD, Twitter se retrouve à la mauvaise place plutôt rencontré par Facebook et Google en général. Si le RGPD n'a pas encore trop frappé en termes d'amende (250 000 € pour Optical Center et 75 000 € pour l'ADEF notamment), il faut bien avouer que les autorités pourraient rapidement rattraper les géants du marché, souvent peu enclins à respecter les règles en matière de vie privée et de protection des données personnelles. Avec une amende pouvant atteindre 4% du chiffre d'affaires annuel mondial en cas d'infraction flagrante, Twitter pourrait être pénalisé jusqu'à 96 millions de dollars.