Les employés de sécurité de Twitter ont empêché Elon Musk de violer le règlement sur la vie privée de l’entreprise avec le gouvernement américain, selon la présidente de la Federal Trade Commission (FTC), Lina Khan. Après avoir racheté Twitter fin 2022, Musk avait donné à Bari Weiss et à d’autres journalistes l’accès à des documents internes de l’entreprise dans l’incident appelé « Twitter Files ».Les « Twitter Files » sont un ensemble d’extraits de correspondances internes à Twitter, publiés sur le réseau social par les journalistes, dont Weiss et Matt Taibbi. Le nom Twitter Files (« dossiers Twitter ») a été créé par Elon Musk lui-même. Taibbi ne précise pas comment il a obtenu ces documents, mais il faisait peu de doutes à l'époque qu’ils lui avaient été transmis par Musk, qui avait promis de rendre publiques les discussions internes à Twitter sur un certain nombre de sujets.
L’accès accordé à des personnes extérieures avait soulevé des inquiétudes quant au fait que Twitter (qui s’appelle actuellement X) ait violé un accord de 2022 avec la FTC, qui contient des exigences visant à prévenir les répétitions des précédentes failles de sécurité. Certains des principaux responsables de la vie privée et de la sécurité de Twitter avaient également démissionné peu après le rachat de Musk, invoquant des craintes que les changements rapides de Musk ne puissent entraîner des violations de l’accord.
Le personnel de la FTC a interrogé d’anciens employés de Twitter et « a appris que l’accès fourni aux personnes extérieures s’était avéré plus limité que ce que les tweets et les autres rapports publics des personnes avaient indiqué », a écrit Khan dans une lettre envoyée au représentant américain Jim Jordan (R-Ohio). La lettre de Khan a déclaré que l’accès était limité parce que les employés ont refusé de se conformer aux demandes de Musk :
Le témoignage des dépositions a révélé qu'au début du mois de décembre 2022, Elon Musk avait apparemment demandé à son personnel d'accorder à une personne extérieure tierce "un accès total et complet à tout ce qui se passe chez Twitter, sans aucune limite". Conformément aux instructions de Musk, la personne s'est d'abord vu attribuer un ordinateur portable de l'entreprise et un compte interne, avec l'intention d'accorder à la personne tierce des "privilèges élevés" au-delà de ce qu'un employé moyen de l'entreprise pourrait avoir.
Toutefois, craignant qu'un tel arrangement ne risque d'exposer des informations non publiques sur les utilisateurs, en violation potentielle de l'ordonnance de la FTC, des employés de longue date de Twitter chargés de la sécurité de l'information sont intervenus et ont mis en place des mesures de protection pour atténuer les risques. En fin de compte, les personnes tierces n'ont pas reçu d'accès direct aux systèmes de Twitter, mais ont travaillé avec d'autres employés de l'entreprise qui ont accédé aux systèmes en leur nom.
Toutefois, craignant qu'un tel arrangement ne risque d'exposer des informations non publiques sur les utilisateurs, en violation potentielle de l'ordonnance de la FTC, des employés de longue date de Twitter chargés de la sécurité de l'information sont intervenus et ont mis en place des mesures de protection pour atténuer les risques. En fin de compte, les personnes tierces n'ont pas reçu d'accès direct aux systèmes de Twitter, mais ont travaillé avec d'autres employés de l'entreprise qui ont accédé aux systèmes en leur nom.
Jordan est le président de la commission judiciaire de la Chambre et a critiqué l’enquête, affirmant que « la FTC a harcelé Twitter à la suite du rachat de M. Musk ». La lettre de Khan à Jordan soutient que l’enquête de la FTC était justifiée.
« L'enquête de la FTC a confirmé que le personnel avait raison de s'inquiéter, étant donné que le nouveau PDG de Twitter avait ordonné à ses employés de prendre des mesures qui auraient violé l'ordonnance de la FTC », a écrit Khan. « Une fois que le personnel a appris que l'ordonnance de la FTC avait permis de s'assurer que les employés de Twitter prenaient les mesures appropriées pour protéger les informations privées des consommateurs, le personnel chargé de la conformité n'a plus posé de questions à Twitter ou à quiconque sur ce sujet ».
Khan a également écrit que les importantes réductions de personnel qui ont suivi l'acquisition de Musk et les démissions des principaux responsables de la protection de la vie privée et de la conformité de Twitter ont eu pour conséquence « qu'il n'y avait plus personne au sein de l'entreprise chargé d'interpréter et de modifier les politiques et les pratiques en matière de données afin de s'assurer que Twitter se conformait à l'ordonnance de la FTC visant à protéger les données personnelles des Américains ». La lettre se poursuit ainsi :
Lors de l'évaluation par le personnel des réductions d'effectifs, l'un des principaux experts en sécurité et en protection de la vie privée de l'entreprise, récemment parti, a déclaré que Twitter Blue était mis en œuvre trop rapidement, de sorte que "l'examen de la sécurité et de la protection de la vie privée n'a pas été effectué conformément au processus de développement de logiciels de l'entreprise". Un autre expert a déclaré qu'il avait des doutes sur l'engagement de M. Musk à l'égard de la sécurité et de la confidentialité de l'organisation. Twitter, quant à lui, a déposé une requête visant à supprimer l'ordonnance de la FTC qui protégeait la confidentialité et la sécurité des données des Américains. Heureusement pour les millions d'utilisateurs de Twitter, cette tentative a échoué devant le tribunal.
L'intérêt public est servi par le fait que Twitter continue à respecter ses engagements juridiques en vertu de l'ordonnance, qui comprennent l'accord de Twitter de ne pas mentir aux consommateurs, l'exigence de maintenir un programme complet pour protéger les informations des consommateurs, et l'exigence d'offrir des fonctions de sécurité de compte améliorées d'une manière non trompeuse.
La semaine précédant la réception par la FTC de la lettre du Comité du 14 février 2024, le personnel de la FTC a indiqué que la Commission travaillait à fournir des informations supplémentaires au Comité. J'espère que ces informations complémentaires répondront à certaines de vos questions concernant l'enquête de la FTC sur l'accès de tiers aux informations des utilisateurs de Twitter et son examen des nombreux licenciements, mises à pied et démissions au sein de Twitter. En outre, la Commission produira des documents en même temps que cette lettre.
L'intérêt public est servi par le fait que Twitter continue à respecter ses engagements juridiques en vertu de l'ordonnance, qui comprennent l'accord de Twitter de ne pas mentir aux consommateurs, l'exigence de maintenir un programme complet pour protéger les informations des consommateurs, et l'exigence d'offrir des fonctions de sécurité de compte améliorées d'une manière non trompeuse.
La semaine précédant la réception par la FTC de la lettre du Comité du 14 février 2024, le personnel de la FTC a indiqué que la Commission travaillait à fournir des informations supplémentaires au Comité. J'espère que ces informations complémentaires répondront à certaines de vos questions concernant l'enquête de la FTC sur l'accès de tiers aux informations des utilisateurs de Twitter et son examen des nombreux licenciements, mises à pied et démissions au sein de Twitter. En outre, la Commission produira des documents en même temps que cette lettre.
Les reproches de la FTC concernant Twitter
Cette conclusion risque de ne pas satisfaire les opposants de Musk, qui considéraient l'ordonnance de la FTC comme l'un des rares contrôles que le gouvernement fédéral exerçait sur sa direction du réseau social, rebaptisé depuis X.
En mai 2022, la FTC a condamné Twitter a payé une amende de 150 millions de dollars.
Dans sa plainte, la FTC avançait que Twitter a donné une fausse image de ses politiques aux utilisateurs entre 2013 et 2019. Pendant plus de six ans, l'entreprise encourageait les utilisateurs à ajouter un numéro de téléphone ou une adresse électronique pour activer des mesures de sécurité comme l'authentification à deux facteurs (2FA). Mais selon la FTC, en réalité, Twitter a également intégré ces informations dans ses données de ciblage publicitaire. La société se serait excusée de cette pratique en 2019, affirmant qu'elle avait acheminé « par inadvertance » les adresses et les numéros dans son système publicitaire.
En sus, la plainte allègue également que, pendant cette période, Twitter prétendait faussement se conformer aux cadres du bouclier de protection de la vie privée Union européenne-États-Unis et Suisse-États-Unis, qui limitaient la manière dont les entreprises pouvaient réutiliser les données des utilisateurs. Les enquêteurs fédéraux ont affirmé que Twitter n'a tenu aucune de ces promesses. « Comme l'indique la plainte, Twitter a obtenu des données des utilisateurs sous le prétexte de les exploiter à des fins de sécurité, mais a fini par les utiliser également pour cibler les utilisateurs avec des publicités », a déclaré Lina Khan, présidente de la FTC.
Voici les différents points auxquels Twitter devait se conformer dans le cadre de l'accord :
- il est interdit à Twitter d'utiliser les numéros de téléphone et les adresses électroniques qu'il a collectés illégalement pour diffuser des publicités ;
- Twitter doit informer les utilisateurs de l'utilisation abusive des numéros de téléphone et des adresses électroniques, leur parler de l'action en justice de la FTC et leur expliquer comment désactiver les publicités personnalisées et revoir leurs paramètres d'authentification multifactorielle ;
- Twitter doit proposer des options d'authentification multifactorielle qui ne nécessitent pas de fournir un numéro de téléphone ;
- Twitter doit limiter l'accès des employés aux données personnelles des utilisateurs ;
- Twitter doit mettre en œuvre un programme de protection de la vie privée et un programme de sécurité de l'information renforcés, comprenant plusieurs nouvelles dispositions énoncées dans l'ordonnance, obtenir des évaluations de la protection de la vie privée et de la sécurité par un tiers indépendant approuvé par la FTC et signaler les incidents liés à la protection de la vie privée ou à la sécurité à la FTC dans les 30 jours.
D'anciens employés ont averti depuis novembre 2022 que les réductions d'effectifs et les lancements rapides de produits effectués par Musk pourraient aller à l'encontre de l'ordonnance. De telles ordonnances de consentement ont fait de la FTC le régulateur de facto de la protection de la vie privée dans le domaine de la technologie, en l'absence d'action du Congrès sur des propositions visant à réglementer l'industrie.
« Lorsque nous avons entendu des rapports publics crédibles faisant état de violations potentielles des protections des données des utilisateurs de Twitter, nous avons rapidement ouvert une enquête », a expliqué Douglas Farrar, porte-parole de la FTC, dans un communiqué. « L'ordonnance reste en vigueur et la FTC continue de déployer les outils prévus par l'ordonnance pour protéger les données des utilisateurs de Twitter et s'assurer que l'entreprise reste en conformité ».
« X reste fidèle à son engagement de protéger la vie privée de ses utilisateurs et continuera à travailler avec la FTC pour répondre aux exigences définies dans le décret de consentement », a déclaré Renato Monteiro, responsable mondial de la protection de la vie privée chez X.
Source : lettre de la présidente de la FTC
Voir aussi :
Que pensez-vous de l’attitude d’Elon Musk envers la vie privée des utilisateurs de Twitter ? Trouvez-vous que les employés de sécurité de Twitter ont bien agi en désobéissant à Musk ? Quelles sont les conséquences possibles d’un accès non autorisé aux données personnelles des utilisateurs de Twitter ? Comment la FTC devrait-elle réguler les pratiques de sécurité des entreprises de réseaux sociaux ? Quel est votre avis sur le rachat de Twitter par Musk et le changement de nom en X ? 
Envoyé par Stéphane le calme
