Le désir d’Elon Musk de remuer la merde conspiratrice en donnant à certains étrangers alignés sur son programme conservateur l’accès aux systèmes et aux données de Twitter pourrait entraîner l’homme le plus riche du monde dans un sérieux doodoo avec les régulateurs des deux côtés de l’Atlantique.
Ces derniers jours, cet accès accordé par Musk à quelques journalistes externes a conduit à la publication de ce que lui et ses pom-pom girls présentent comme un exposé de l’approche antérieure de la plateforme en matière de modération de contenu.
Jusqu’à présent, ces versions de «Twitter Files», comme il les a appelées, ont été un pétard humide en termes de révélations dignes d’intérêt – à moins que l’idée qu’une entreprise avec un grand volume de contenu généré par les utilisateurs A) emploie du personnel de confiance et de sécurité qui discute de la façon dont pour mettre en œuvre des politiques, y compris dans B) des situations évoluant rapidement où tous les faits concernant des éléments de contenu peuvent ne pas encore être établis ; et C) a également mis en place des systèmes de modération qui peuvent être appliqués pour réduire la visibilité d’un contenu potentiellement dangereux (comme alternative à sa suppression) est un flash d’information particulièrement sauvage.
Mais ces vidages de données fortement amplifiés pourraient encore créer des nouvelles difficiles pour Twitter – si la tactique de Musk d’ouvrir ses systèmes aux journalistes externes revenait sous la forme de sanctions réglementaires.
La Commission irlandaise de protection des données (DPC), qui est (du moins pour l’instant) le principal régulateur de la protection des données de Twitter dans l’Union européenne, demande plus de détails à Twitter sur la question de l’accès aux données externes.
« La DPC a été en contact avec Twitter ce matin. Nous nous engageons avec Twitter sur la question pour établir de plus amples détails », a déclaré une porte-parole à TechCrunch.
Plus tôt dans la journée, Bloomberg a également signalé des inquiétudes concernant l’étang concernant l’accès de tiers aux données des utilisateurs de Twitter – citant des tweets de l’ancien CISO de Facebook, Alex Stamos, qui a déclaré publiquement qu’un fil Twitter publié hier par l’un des journalistes auxquels Musk avait accès « devrait suffire ». pour que la FTC ouvre une enquête sur le décret de consentement ».
Le décret de consentement FTC de Twitter remonte à 2011 – et concerne des allégations selon lesquelles la société a déformé la « sécurité et la confidentialité » des données des utilisateurs pendant plusieurs années.
La société de médias sociaux a déjà été condamnée à une amende de 150 millions de dollars en mai pour avoir enfreint l’ordonnance. Mais les sanctions futures pourraient être beaucoup plus sévères si la FTC juge qu’elle enfreint de manière flagrante les termes de l’accord. Et les signes sont inquiétants, étant donné que la FTC a déjà averti Twitter le mois dernier – avertissant qu ‘ »aucun PDG ou entreprise n’est au-dessus de la loi ».
Une autre considération ici est le règlement général sur la protection des données (RGPD) de l’Union européenne – qui contient une exigence légale selon laquelle les données personnelles sont protégées de manière adéquate.
C’est ce que l’on appelle le principe de sécurité – ou « intégrité et confidentialité » – du RGPD, qui stipule que les données personnelles doivent être :
traitées de manière à garantir une sécurité appropriée des données personnelles, y compris la protection contre le traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels, en utilisant des mesures techniques ou organisationnelles appropriées (« intégrité et confidentialité »).
Transmettre les données des utilisateurs (et/ou l’accès aux systèmes qui pourraient exposer les données des utilisateurs) à des non-employés pour qu’ils les examinent pourrait donc soulever des questions quant à la conformité totale de Twitter avec le principe de sécurité du RGPD. Il y a une autre question à considérer ici aussi – de savoir sur quelle base juridique Twitter s’appuie pour transmettre des données d’utilisateurs (non publiques) à des étrangers, si c’est bien ce qui se passe.
À première vue, les utilisateurs de Twitter n’auraient guère consenti en connaissance de cause à un traitement aussi extraordinaire en vertu de ses conditions générales standard. Et il n’est pas clair quelles autres bases juridiques pourraient raisonnablement s’appliquer ici. (de Twitter termes invoquer la nécessité contractuelle, les intérêts légitimes, le consentement ou l’obligation légale, de diverses manières, en ce qui concerne le traitement des messages directs des utilisateurs ou d’autres communications non publiques en fonction du scénario de traitement – mais laquelle de ces bases conviendrait, si elle remet effectivement cela type de données utilisateur non publiques à des non-employés qui ne sont ni des fournisseurs de services Twitter ni des entités telles que les forces de l’ordre, etc., est discutable.)
Interrogée sur ce point, Lilian Edwards – professeur de droit, d’innovation et de société à la faculté de droit de Newcastle – nous a dit que la façon dont le RGPD s’applique ici n’est pas tranchée, mais elle a suggéré que Twitter divulgue des données à des tiers imprévus (« qui pourrait le partager bon gré mal gré ») pourrait constituer une violation du principe de sécurité.
« Si vous avez consenti [to Twitter’s expansive terms], avez-vous autorisé ces utilisations — donc pas de faille de sécurité ? Je pense qu’il doit y avoir un élément flagrant ici », a-t-elle expliqué. « Dans quelle mesure vous ne vous y attendiez pas et dans quelle mesure cela vous laisse-t-il ouvert aux menaces de sécurité et de confidentialité – par exemple, s’il inclut des informations personnelles telles que des mots de passe ou des numéros de téléphone? »
« C’est délicat », a-t-elle ajouté – citant les directives publiées par l’autorité britannique de protection des données qui note que les mesures de sécurité requises en vertu du RGPD « devraient chercher à garantir que les données : ne peuvent être consultées, modifiées, divulguées ou supprimées que par ceux que vous avez autorisés à le faire (et que ces personnes n’agissent que dans le cadre de l’autorité que vous leur donnez ».
« Eh bien, Musk les a bien autorisés, mais devrait-il ? Sont-ils des risques de sécurité ? Je pense qu’un DPA raisonnable examinerait cela assez sévèrement.
Au moment de la rédaction de cet article, il n’est pas clair quelles données exactement ou combien de systèmes d’accès Twitter fournit à ses journalistes étrangers choisis – il n’est donc pas clair si des données d’utilisateurs non publiques ont été transmises ou non.
L’un des journalistes auxquels Twitter a donné accès, le journaliste Bari Weiss, a affirmé dans un tweeter fil (qui fait référence à quatre autres écrivains associés à la publication qu’elle a fondée qui rendront compte des données) que: «Les auteurs ont un accès large et élargi aux fichiers de Twitter. La seule condition que nous avons acceptée était que le matériel soit d’abord publié sur Twitter.
Un autre de ces écrivains, Abigail Shrier, plus loin revendiqué: « Notre équipe a reçu un accès étendu et non filtré à la communication et aux systèmes internes de Twitter. »
Pourtant, les deux tweets manquent de détails spécifiques sur le type de données auxquelles ils peuvent accéder.
Twitter a également – par l’intermédiaire d’un employé – nié avoir fourni aux journalistes un accès en direct à des données d’utilisateurs non publiques en réponse à une alarme concernant le niveau d’accès accordé. La nouvelle responsable de la confiance et de la sécurité de l’entreprise, Ella Irwin, a tweeté au cours des dernières heures pour affirmer que les captures d’écran d’une vue système interne des comptes partagés en ligne, montrant apparemment les détails de l’accès interne fourni aux étrangers par Twitter, n’ont pas dépeignent l’accès en direct à ses systèmes.
Elle a plutôt déclaré qu’elle avait elle-même fourni ces captures d’écran de cette vue d’outil interne aux journalistes – « à des fins de sécurité ».
Le tweet d’Irwin affirmait également que cette méthodologie de partage de capture d’écran avait été choisie pour « s’assurer qu’aucune PII [personally identifiable information] a été exposé ».
« Nous n’avons pas donné cet accès aux journalistes et non, les journalistes n’accédaient pas aux DM des utilisateurs », a-t-elle ajouté en réponse à un utilisateur de Twitter qui avait soulevé des problèmes de sécurité concernant l’accès des journalistes à ses systèmes (et potentiellement aux DM). Irwin n’a rejoint Twitter qu’en juin en tant que chef de produit pour la confiance et la sécurité – mais a été élevé au poste de responsable de la confiance et de la sécurité le mois dernier (via The Information) pour remplacer l’ancien chef, Yoel Roth, qui a démissionné après seulement deux semaines de travail sous Musk over les inquiétudes concernant «l’édit dictatorial» de Musk prenant le relais d’une application de bonne foi de la politique.
Mis à part la question de savoir pourquoi la nouvelle responsable de la confiance et de la sécurité de Twitter passe son temps à capturer des données internes à partager avec des non-employés dont le but est de publier des rapports incorporant de telles informations, son choix de nomenclature est ici remarquable : « PII » n’est pas un terme que vous trouverez n’importe où dans le RGPD. C’est un terme préféré par les entités américaines désireuses de réduire l’idée de « vie privée de l’utilisateur » à son strict minimum (c’est-à-dire le nom réel, l’adresse e-mail, etc.), plutôt que de reconnaître que la vie privée des personnes peut être compromise de bien d’autres façons que par l’exposition directe de PII.
Ceci est important car la terminologie juridique pertinente dans le RGPD est « données personnelles » – qui est beaucoup plus large que les PII, englobant une variété de données qui pourraient ne pas être considérées comme des PII (telles que l’adresse IP, les identifiants d’annonceur, l’emplacement, etc.). Donc, si la principale préoccupation d’Irwin est d’éviter d’exposer les « PII », elle ne comprend pas – ou ne donne pas la priorité – à la sécurité des données personnelles telle que la comprend le RGPD de l’UE.
Cela devrait inquiéter les régulateurs de l’Union européenne.
Alors que le DPC irlandais est actuellement le principal superviseur des données pour Twitter, depuis que Musk a repris l’entreprise fin octobre – et s’est mis à réduire les effectifs et à inciter des dizaines d’autres employés à partir de leur propre gré, y compris un trio de responsables de la sécurité, de la confidentialité et responsables de la conformité qui ont démissionné simultanément il y a un mois – des questions ont été soulevées sur le statut de sa prétention à être «principalement établie» en Irlande pour le RGPD.
Comme nous l’avons déjà signalé, la prise de décision unilatérale basée aux États-Unis par Musk risque de faire tomber Twitter du mécanisme de guichet unique (OSS) du RGPD, car elle nécessite une prise de décision qui affecte les données des utilisateurs de l’UE pour impliquer l’entité irlandaise de Twitter. Et si l’entreprise perdait sa prétention au statut d’établissement principal en Irlande, elle augmenterait immédiatement son risque réglementaire car les contrôleurs de données dans toute l’UE, et pas seulement le DPC, pourraient ouvrir leurs propres enquêtes s’ils estimaient que les données des utilisateurs locaux étaient à risque.
Alors que Musk ouvre désormais les systèmes de Twitter à des étrangers inattendus, il présente un spectacle très public qui soulève de grandes questions sur les risques de sécurité et de confidentialité qui – à défaut d’une surveillance solide par le DPC – pourraient rendre d’autres autorités de protection des données de l’UE de plus en plus préoccupées par l’intégrité de l’irlandais de Twitter. surveillance aussi. (Et le GDPR permet des interventions d’urgence par des DPA non principaux s’ils voient un risque pressant pour les données des utilisateurs locaux afin que Twitter puisse faire l’objet d’un examen minutieux ailleurs dans l’UE, même s’il est encore ostensiblement à l’intérieur de l’OSS, comme TikTok a récemment en Italie.)
Depuis que Musk a repris l’entreprise, Twitter a fermé sa fonction de communication – il n’a donc pas été possible de poser des questions à un bureau de presse sur le niveau d’accès aux données fourni par Twitter aux journalistes extérieurs ou sur la base juridique sur laquelle il s’appuie pour le partage. cette information. Mais nous sommes heureux d’inclure une déclaration de Twitter s’il souhaite en envoyer une.