Le personnel de sécurité de Twitter a maintenu l'entreprise en conformité en désobéissant à Musk, selon la FTC.

Les employés de sécurité de Twitter ont empêché Elon Musk de violer le règlement sur la vie privée de l’entreprise avec le gouvernement américain, selon la présidente de la Federal Trade Commission (FTC), Lina Khan. Après avoir racheté Twitter fin 2022, Musk avait donné à Bari Weiss et à d’autres journalistes l’accès à des documents internes de l’entreprise dans l’incident appelé « Twitter Files ».

Les « Twitter Files » sont un ensemble d’extraits de correspondances internes à Twitter, publiés sur le réseau social par les journalistes, dont Weiss et Matt Taibbi. Le nom Twitter Files (« dossiers Twitter ») a été créé par Elon Musk lui-même. Taibbi ne précise pas comment il a obtenu ces documents, mais il faisait peu de doutes à l'époque qu’ils lui avaient été transmis par Musk, qui avait promis de rendre publiques les discussions internes à Twitter sur un certain nombre de sujets.

L’accès accordé à des personnes extérieures avait soulevé des inquiétudes quant au fait que Twitter (qui s’appelle actuellement X) ait violé un accord de 2022 avec la FTC, qui contient des exigences visant à prévenir les répétitions des précédentes failles de sécurité. Certains des principaux responsables de la vie privée et de la sécurité de Twitter avaient également démissionné peu après le rachat de Musk, invoquant des craintes que les changements rapides de Musk ne puissent entraîner des violations de l’accord.

Le personnel de la FTC a interrogé d’anciens employés de Twitter et « a appris que l’accès fourni aux personnes extérieures s’était avéré plus limité que ce que les tweets et les autres rapports publics des personnes avaient indiqué », a écrit Khan dans une lettre envoyée au représentant américain Jim Jordan (R-Ohio). La lettre de Khan a déclaré que l’accès était limité parce que les employés ont refusé de se conformer aux demandes de Musk :

Khan : la FTC “avait raison d’être inquiète”

Jordan est le président de la commission judiciaire de la Chambre et a critiqué l’enquête, affirmant que « la FTC a harcelé Twitter à la suite du rachat de M. Musk ». La lettre de Khan à Jordan soutient que l’enquête de la FTC était justifiée.

« L'enquête de la FTC a confirmé que le personnel avait raison de s'inquiéter, étant donné que le nouveau PDG de Twitter avait ordonné à ses employés de prendre des mesures qui auraient violé l'ordonnance de la FTC », a écrit Khan. « Une fois que le personnel a appris que l'ordonnance de la FTC avait permis de s'assurer que les employés de Twitter prenaient les mesures appropriées pour protéger les informations privées des consommateurs, le personnel chargé de la conformité n'a plus posé de questions à Twitter ou à quiconque sur ce sujet ».

Khan a également écrit que les importantes réductions de personnel qui ont suivi l'acquisition de Musk et les démissions des principaux responsables de la protection de la vie privée et de la conformité de Twitter ont eu pour conséquence « qu'il n'y avait plus personne au sein de l'entreprise chargé d'interpréter et de modifier les politiques et les pratiques en matière de données afin de s'assurer que Twitter se conformait à l'ordonnance de la FTC visant à protéger les données personnelles des Américains ». La lettre se poursuit ainsi :


Les reproches de la FTC concernant Twitter

Cette conclusion risque de ne pas satisfaire les opposants de Musk, qui considéraient l'ordonnance de la FTC comme l'un des rares contrôles que le gouvernement fédéral exerçait sur sa direction du réseau social, rebaptisé depuis X.

En mai 2022, la FTC a condamné Twitter a payé une amende de 150 millions de dollars.

Dans sa plainte, la FTC avançait que Twitter a donné une fausse image de ses politiques aux utilisateurs entre 2013 et 2019. Pendant plus de six ans, l'entreprise encourageait les utilisateurs à ajouter un numéro de téléphone ou une adresse électronique pour activer des mesures de sécurité comme l'authentification à deux facteurs (2FA). Mais selon la FTC, en réalité, Twitter a également intégré ces informations dans ses données de ciblage publicitaire. La société se serait excusée de cette pratique en 2019, affirmant qu'elle avait acheminé « par inadvertance » les adresses et les numéros dans son système publicitaire.

En sus, la plainte allègue également que, pendant cette période, Twitter prétendait faussement se conformer aux cadres du bouclier de protection de la vie privée Union européenne-États-Unis et Suisse-États-Unis, qui limitaient la manière dont les entreprises pouvaient réutiliser les données des utilisateurs. Les enquêteurs fédéraux ont affirmé que Twitter n'a tenu aucune de ces promesses. « Comme l'indique la plainte, Twitter a obtenu des données des utilisateurs sous le prétexte de les exploiter à des fins de sécurité, mais a fini par les utiliser également pour cibler les utilisateurs avec des publicités », a déclaré Lina Khan, présidente de la FTC.

Voici les différents points auxquels Twitter devait se conformer dans le cadre de l'accord :

• il est interdit à Twitter d'utiliser les numéros de téléphone et les adresses électroniques qu'il a collectés illégalement pour diffuser des publicités ;
• Twitter doit informer les utilisateurs de l'utilisation abusive des numéros de téléphone et des adresses électroniques, leur parler de l'action en justice de la FTC et leur expliquer comment désactiver les publicités personnalisées et revoir leurs paramètres d'authentification multifactorielle ;
• Twitter doit proposer des options d'authentification multifactorielle qui ne nécessitent pas de fournir un numéro de téléphone ;
• Twitter doit limiter l'accès des employés aux données personnelles des utilisateurs ;
• Twitter doit mettre en œuvre un programme de protection de la vie privée et un programme de sécurité de l'information renforcés, comprenant plusieurs nouvelles dispositions énoncées dans l'ordonnance, obtenir des évaluations de la protection de la vie privée et de la sécurité par un tiers indépendant approuvé par la FTC et signaler les incidents liés à la protection de la vie privée ou à la sécurité à la FTC dans les 30 jours.

D'anciens employés ont averti depuis novembre 2022 que les réductions d'effectifs et les lancements rapides de produits effectués par Musk pourraient aller à l'encontre de l'ordonnance. De telles ordonnances de consentement ont fait de la FTC le régulateur de facto de la protection de la vie privée dans le domaine de la technologie, en l'absence d'action du Congrès sur des propositions visant à réglementer l'industrie.

« Lorsque nous avons entendu des rapports publics crédibles faisant état de violations potentielles des protections des données des utilisateurs de Twitter, nous avons rapidement ouvert une enquête », a expliqué Douglas Farrar, porte-parole de la FTC, dans un communiqué. « L'ordonnance reste en vigueur et la FTC continue de déployer les outils prévus par l'ordonnance pour protéger les données des utilisateurs de Twitter et s'assurer que l'entreprise reste en conformité ».

« X reste fidèle à son engagement de protéger la vie privée de ses utilisateurs et continuera à travailler avec la FTC pour répondre aux exigences définies dans le décret de consentement », a déclaré Renato Monteiro, responsable mondial de la protection de la vie privée chez X.

Source : lettre de la présidente de la FTC

Voir aussi :

Que pensez-vous de l’attitude d’Elon Musk envers la vie privée des utilisateurs de Twitter ?
Trouvez-vous que les employés de sécurité de Twitter ont bien agi en désobéissant à Musk ?
Quelles sont les conséquences possibles d’un accès non autorisé aux données personnelles des utilisateurs de Twitter ?
Comment la FTC devrait-elle réguler les pratiques de sécurité des entreprises de réseaux sociaux ?
Quel est votre avis sur le rachat de Twitter par Musk et le changement de nom en X ?