Quelques jours après l’amende de 100 millions d’euros infligée à Google par la CNIL, son homologue irlandais sanctionne cette fois Twitter. Le montant n’est pas le même : 450 000 euros, mais la base juridique est différente et ne concerne pas les cookies et la directive ePrivacy.
Cette fois, la Data Protection Commission (DPC) estime que Twitter n’a pas respecté le RGPD, en particulier l’obligation faite de notifier dans les temps l’autorité de contrôle en cas de faille de sécurité. L’homologue irlandais de la CNIL considère aussi que le réseau social n’a pas suffisamment documenté ladite brèche.
La faille avait été découverte, dans le cadre d’un programme de bug bounty, le 26 décembre 2018 pour être notifiée à la DPC seulement le 8 janvier 2019. La faille remontait au 4 novembre 2014. Près de 90 000 utilisateurs furent affectés. Ces 450 000 euros ont été considérés comme des mesures effectives, proportionnées et dissuasives.
C’est la première décision à éprouver la procédure de l’article 65 du RGPD, sur la résolution des litiges orchestrée par le Comité. C’est aussi la première où l’ensemble des autres autorités de contrôle européennes fut consulté par l’autorité cheffe de file.
