Suite à une vague de démissions de hauts responsables de la confidentialité et de la sécurité de Twitter à la fin de la semaine dernière, la société de médias sociaux a informé son principal régulateur de la protection des données dans l’Union européenne qu’elle avait nommé un remplaçant « intérimaire » pour l’un de ces postes : Le rôle clé de délégué à la protection des données (DPD).
Les départs abrupts de la RSSI de Twitter Lea Kissner ; le responsable de la confidentialité (et DPO) Damien Kieran ; et la responsable de la conformité, Marianne Fogarty, a immédiatement soulevé des questions sur sa capacité à répondre aux exigences réglementaires sous le nouveau balai qui bouleverse les normes, Elon Musk – qui n’a achevé son rachat de 44 milliards de dollars qu’à la fin du mois dernier.
Une entreprise qui traite des données personnelles à l’échelle de Twitter est obligée, en vertu du règlement général sur la protection des données (RGPD) de l’Union européenne, d’avoir au moins un DPO – au strict minimum.
Twitter a également un décret de consentement de 2011 avec la FTC qui l’oblige à soumettre des rapports réguliers sur la façon dont il respecte ses engagements en cours pour protéger les données des utilisateurs – de sorte que le départ soudain de hauts responsables de la confidentialité et de la sécurité a immédiatement déclenché la sonnette d’alarme. Y compris au Commission irlandaise de protection des données (DPC), responsable du contrôle des données de Twitter pour le RGPD de l’UE.
Une réunion entre le DPC et Twitter a suivi de près le trio de démissions – organisé la semaine dernière et ayant eu lieu hier – et lors de cette réunion, le DPC a déclaré que Twitter l’avait informé qu’il avait nommé un employé existant, Renato Monteiro, comme son » DPO faisant fonction.
Monteiro a été employé chez Twitter pendant deux ans neuf mois, selon son profil LinkedIn – à partir de Match 2020 à São Paulo, au Brésil, en tant que responsable de la protection des données pour l’Amérique latine, avant de déménager sur Twitter Irlande cet été pour assumer un rôle de directeur international responsable de la confidentialité et de la protection des données – gestion des équipes de confidentialité et de protection des données en Europe, au Moyen-Orient et en Afrique, en Amérique du Nord et du Sud et en APAC.
On ne sait pas pourquoi Monteiro n’a été nommé que DPD « intérimaire » – ou si sa nomination n’est destinée qu’à servir de solution provisoire pendant qu’un remplacement complet est recherché, ou non.
Depuis que Musk a repris Twitter, la société a cessé de répondre aux demandes de la presse, il n’est donc pas possible d’obtenir une confirmation via un canal officiel. Mais Musk semble avoir un penchant pour nommer des « acteurs » plutôt que des titres de poste réels, ainsi que pour jouer avec des titres de poste absurdes (comme se baptiser initialement « chef twit », après avoir licencié et pris la relève du PDG actuel; suivi par Musk devenant « l’opérateur de la ligne d’assistance téléphonique pour les plaintes sur Twitter », apparemment comme un commentaire sur les utilisateurs réagissant négativement à ses premières décisions concernant les produits et à d’autres changements).
Une question susceptible de se poser est donc de savoir si Monteiro est investi de l’intégralité des responsabilités et des devoirs requis par le rôle de DPO dans le cadre du RGPD – et, dans le cas contraire, si un encadrement « intérimaire » passera le cap auprès des régulateurs de l’UE.
Au moment d’écrire ces lignes, le DPC n’avait pas répondu à notre question sur ce point. Mais nous mettrons à jour ce rapport si nous obtenons une réponse.
La semaine dernière, le régulateur irlandais nous a dit qu’en plus d’utiliser la réunion de lundi avec Twitter pour lui demander des informations sur la situation du DPO, il prévoyait de discuter d’une préoccupation plus large – pour demander si l’entreprise revendique toujours son établissement principal (aux fins du RGPD) en Irlande.
Cette structure est importante car elle permet à Twitter de participer au mécanisme de guichet unique (OSS) du GDPR – qui définit le DPC comme son principal superviseur des données pour les questions de protection des données de l’UE et signifie que les plaintes déposées ailleurs dans le bloc sont généralement acheminées via Irlande – permettant à l’entreprise basée aux États-Unis de rationaliser sa conformité au RGPD et de réduire le risque réglementaire.
Cependant, compte tenu de tous les changements drastiques qui ont accompagné la prise de contrôle de Twitter par Musk – y compris, semble-t-il, l’abandon des processus standard d’examen de la confidentialité et de la sécurité – des doutes sont émis quant à savoir si Twitter peut toujours revendiquer de manière crédible un établissement principal en Irlande, comme nous l’avons signalé hier.
Le sous-commissaire du DPC, Graham Doyle, a refusé de fournir une mise à jour sur sa remise en question du statut d’établissement principal de Twitter après la réunion d’hier – disant seulement: « Nous continuons à nous engager avec Twitter. »
D’autres agences de protection des données de l’UE suivront probablement de très près les développements sur ce front.
Un porte-parole de la CNIL en France a déclaré à TechCrunch qu’il approcherait le DPC pour discuter de la nature et des « conséquences possibles » des changements qui auraient eu lieu sur Twitter depuis que Musk a pris le relais.
Bien que le régulateur nous ait également indiqué qu’à l’heure actuelle, il ne disposait pas « d’informations suffisantes » pour remettre en cause l’application de l’OSS.
« Jusqu’à présent, les preuves dont disposaient les autorités de contrôle les ont amenées à considérer que le principal établissement de Twitter dans l’UE se trouvait en Irlande, ce qui faisait de la DPC l’autorité chef de file. La CNIL entend se rapprocher de la DPC pour discuter de la nature et des éventuelles conséquences que les changements évoqués dans la presse sont susceptibles d’avoir sur le rôle et le statut de l’établissement irlandais de Twitter », a déclaré le porte-parole de la CNIL.
« A ce stade, la CNIL ne dispose pas d’éléments suffisants pour considérer que l’application du système de guichet unique est remise en cause. »