Parallèlement à l’avertissement inquiétant de la FTC sur Twitter d’Elon Musk hier – selon lequel « aucun PDG ou entreprise n’est au-dessus de la loi » – le principal régulateur de la plateforme de microblogging dans l’Union européenne est sur son cas dans le sillage des cadres supérieurs en charge de la sécurité et de la confidentialité la conformité en sortant.
Graham Doyle, commissaire adjoint à la Commission irlandaise de protection des données (DPC), qui dirige actuellement la surveillance de Twitter dans le cadre du règlement général sur la protection des données (RGPD) de l’UE, a déclaré à TechCrunch qu’il était en contact avec l’entreprise suite aux rapports des médias hier selon lesquels son responsable de la protection des données ( DPO) avait démissionné.
Une réunion entre le DPC et Twitter aura lieu au début de la semaine prochaine, selon Doyle. Il nous a également confirmé que Twitter n’avait pas informé le régulateur du départ du DPO avant les reportages des médias.
Obtenir des éclaircissements sur la situation du DPO sera en tête de l’ordre du jour de la réunion, selon Doyle.
Mais il a dit que le régulateur avait maintenant une autre préoccupation qu’il voulait discuter avec Twitter – pour savoir si l’établissement principal de Twitter, aux fins du RGPD, est toujours situé en Irlande…
Prochaine étape : guichet unique arrêté ?
« L’un des problèmes dont nous voulons discuter est le problème de l’établissement principal », a déclaré Doyle à TechCrunch. « Ils sont obligés d’avoir un délégué à la protection des données en place et de nous fournir les détails, mais également, en vertu de la [GDPR] mécanisme de guichet unique (OSS) afin qu’un établissement principal s’engage auprès d’un régulateur, les processus de prise de décision – en termes de traitement des données de l’UE – doivent avoir lieu dans ce pays. C’est l’un des principes de l’établissement principal. Et ce que nous voulons établir, c’est que cela continue d’être le cas pour Twitter.
L’Irlande étant le principal régulateur de Twitter pour le GDPR dans le cadre de l’OSS est important car cela place le chien de garde irlandais aux commandes lorsqu’il s’agit d’ouvrir des enquêtes (ou non), ou d’agir autrement sur les préoccupations concernant la conformité de Twitter (comme le suivi de l’onu -a notifié la démission de son DPO maintenant). Du point de vue de Twitter, l’arrangement est avantageux car il rationalise la conformité puisqu’il n’a besoin d’assurer la liaison qu’avec un régulateur (principal) sur tous les problèmes, plutôt que de gérer les entrées de plusieurs agences de protection des données (potentiellement dans différentes langues).
L’Irlande a un rôle de superviseur principal pour Twitter parce que la société a pu notifier son bureau de Dublin comme son « établissement principal » dans l’UE – ce que le règlement appelle soit le lieu de « l’administration centrale dans l’Union » ou « où le principal les activités de traitement ont lieu dans l’Union ».
Cependant, si Twitter devait être considéré comme n’ayant plus cette base de traitement en Irlande, il y aurait une reconfiguration réglementaire immédiate et les autorités de protection des données à travers le bloc, de n’importe lequel des 27 États membres de l’UE, pourraient lancer des enquêtes ou agir elles-mêmes sur les plaintes locales. la complexité réglementaire, la vitesse et le risque pour les activités européennes de Twitter.
Alors que Musk a réduit de 50% les effectifs de Twitter dans le monde la semaine dernière – et un «carnage» signalé dans le bureau irlandais, selon un rapport de l’Irish Times qui a déclaré que plus de 50% du personnel local ont été touchés – des questions se sont posées à Dublin sur la stabilité de son statut d’établissement principal pour le RGPD.
« Nous avons pris contact avec Twitter. Et pour nous, l’un des problèmes dont nous voulons discuter avec eux est la question de l’établissement principal – y a-t-il un changement ? Avec l’annonce des départs – y compris le DPO – existe-t-il des plans pour modifier le processus de prise de décision en place qui leur permet de profiter de l’établissement principal », a réitéré Doyle.
Des informations selon lesquelles tout n’allait pas bien aux échelons supérieurs de la fonction de sécurité et de confidentialité de Twitter se sont répandues sur Twitter hier après-midi.
Les journalistes de Platformer, Casey Newton et Zoë Schiffer, ont rapporté que le CISO, le responsable de la confidentialité et le responsable de la conformité de Twitter avaient tous démissionné – citant des messages partagés sur Twitter Slack qu’ils avaient obtenus.
Peu de temps après, Cat Zakrzewski du Washington Post tweeté que le DPC irlandais « cherchait plus d’informations » sur Twitter.
Twitter CISO Lea Kissner a confirmé plus tard son départ dans un tweet – tout comme Damien Kiéran, l’ancien directeur de la confidentialité de Twitter. Tandis que Marianne Fogarty, la (prétendument ex) directrice de la conformité de Twitter, tweeté ce qui pourrait être une confirmation indirecte trop tard hier – en écrivant : « Les jeudis de thérapie ont pris un nouveau sens ces derniers temps. #LoveTwitter ».
Les demandes de renseignements auprès de la ligne de presse de Twitter sont restées sans réponse depuis que Musk a pris le relais, il n’a donc pas été possible d’obtenir une ligne officielle sur ce qui se passe.
Le service des communications de l’entreprise semble avoir été l’une des principales victimes de la réduction de 50 % des effectifs que Musk a rapidement appliquée lors de sa prise de fonction, les membres du personnel de presse étant entièrement ou presque entièrement licenciés.
On ne sait pas non plus combien d’employés de Twitter en Irlande ont été licenciés la semaine dernière. L’entreprise n’est pas tenue de déclarer le nombre total de licenciements à la DPC. Les critères qu’un régulateur devrait utiliser pour évaluer l’établissement principal ne sont pas non plus clairs, car ils ne sont pas stipulés dans le RGPD lui-même – mais plutôt laissés aux régulateurs pour déterminer. (Sur la détermination de l’établissement principal, le règlement stipule : « L’établissement principal d’un responsable du traitement dans l’Union doit être déterminé selon des critères objectifs et doit impliquer l’exercice effectif et réel d’activités de gestion déterminant les principales décisions quant aux finalités et aux moyens du traitement. par le biais d’arrangements stables » – stipulant en outre que « le critère ne devrait pas dépendre du fait que le traitement des données à caractère personnel est effectué à cet endroit » et que « la présence et l’utilisation de moyens techniques et de technologies pour le traitement des données à caractère personnel ou les activités de traitement » ne devraient pas être déterminantes critères. Il est donc plutôt plus définitif sur ce que n’est pas nécessaire pour déclarer l’établissement principal que ce qui l’est, ce qui donne aux régulateurs une certaine marge de manœuvre dans les évaluations qu’ils font à ce sujet.)
Interrogé sur l’évaluation de l’établissement principal, Doyle a déclaré que le statut dépend de l’installation de prise de décision pour le traitement des données de l’UE située dans le pays – bien qu’il ait déclaré que cela ne signifie pas nécessairement que le DPO doit lui-même être basé localement. (Le désormais ancien DPO de Twitter, Kieran, semble avoir été basé à San Francisco, selon son profil LinkedIn.)
« L’essentiel pour nous, c’est d’être notifiés, de savoir qui est le DPO, d’avoir les coordonnées et [the DPO is] joignable à tout moment où nous avons besoin de le contacter. Selon la loi, ils n’ont pas à se trouver géographiquement dans un endroit spécifique », nous a-t-il également dit. «Nous devons savoir qui ils sont et avoir tous les détails. Mais l’élément clé est que la prise de décision – afin de bénéficier de l’établissement principal – doit se dérouler dans le pays où vous êtes principalement établi.
« Si cela change – et que la prise de décision ne se produit pas ici en Irlande – toutes les autorités de contrôle sont compétentes pour les réglementer », a ajouté Doyle.
Que Musk soit capable de comprendre ce qui est en jeu pour Twitter ici est un point discutable. Avec tant de membres du personnel de conformité de base de Twitter maintenant à la porte – et un cercle restreint de techniciens et de oui-hommes entourant le milliardaire et encourageant sa pêche à la traîne – cela semble très discutable.
Musk a également une histoire de régulateurs à la traîne, il n’est donc pas inconcevable qu’il soit intensément détendu à l’idée d’ignorer les implications pour la conformité légale de Twitter – ce qui augmenterait (ou devrait) augmenter les inquiétudes du DPC, rendant plus probable une perte du statut d’établissement principal. Après quoi Rubicon traversant, Musk n’arrêtant pas de rigoler de « baiser » à « découvrir », il arriverait à un point zéro réglementaire pour la protection des données dans l’UE – dans lequel toute DPA à travers le bloc qui juge qu’il existe un risque pour les informations des utilisateurs de Twitter dans son pays serait habilitée à s’en prendre directement à son entreprise. Donc, fondamentalement, un superviseur réglementaire libre pour tous contre un superviseur principal soigneusement cultivé.
(Pour un exemple de la différence que cela peut faire, voir La CNIL française a reçu une amende anticipée du RGPD infligée à Google en 2019 – avant que ce dernier ne revendique son établissement principal en Irlande et ne réachemine les problèmes transfrontaliers via l’Irlande, mettant ainsi un frein à l’application du RGPD alors que la vitesse de la surveillance réglementaire s’est enfoncée dans le goulot d’étranglement de l’OSS ; toujours pas d’amendes GDPR majeures pour Google depuis celles de la CNIL.)
DPO ou GTFO
En ce qui concerne le problème du DPO, le problème de Twitter est plus petit, mais il pourrait toujours s’agir d’un problème de type « pointe de l’iceberg ».
Il devra certainement nommer un remplaçant pour Kieran – du moins tant que son service restera disponible pour les utilisateurs de la région. En vertu du RGPD, les entités traitant certains types de données (et/ou traitant des données personnelles à une échelle suffisante, comme le fait Twitter) sont tenues de nommer un délégué à la protection des données (DPO) — qui doit être un expert indépendant et doté des ressources adéquates pour faire le travail – d’où son départ par démission (avec plusieurs collègues seniors de la conformité) signale un problème.
Le rôle du DPO est d’agir en tant que point de contact pour les régulateurs (tels que le DPC) – ainsi que de conseiller et d’aider à surveiller la conformité interne aux obligations de protection des données, par exemple en fournissant des conseils pour la compilation des évaluations d’impact sur la protection des données (DPIA). L’expertise et l’indépendance sont requises pour le poste. (Donc – non – Musk ne peut pas simplement se nommer lui-même ou l’un de ses comparses idiots « Chief DPO » et s’attendre à ce que ce problème disparaisse.)
La conformité est également une exigence permanente, ce problème est donc un voyage sans fin, pas une destination. Au strict minimum, Twitter doit communiquer avec les régulateurs pour les informer des changements clés et – sous Musk – il ne le fait même pas.
Le développement de produits sous Musk ressemble également à un cauchemar de conformité. Sa version chaotique de Twitter Blue allait évidemment causer des problèmes d’usurpation d’identité – qui ont éclaté dès son lancement. Et se précipiter sans réfléchir sur des produits qui pourraient présenter des risques informationnels pour des centaines de millions d’utilisateurs va directement à l’encontre de l’esprit et de l’intention du règlement européen sur la protection des données.
Compte tenu du rythme rapide de lancement du produit d’abonnement Twitter Blue remanié de Musk, il est difficile de voir comment – par exemple – une DPIA aurait pu être correctement entreprise pour évaluer les risques avant le lancement – ce qui peut expliquer en partie la démission de Kieran et d’autres responsables de la conformité, s’ils estimaient qu’ils étaient tout simplement incapables de faire leur travail.
Quelle personne suffisamment qualifiée accepterait sciemment d’assumer un tel rôle dans ces conditions est une autre grande question. Toute personne suffisamment qualifiée pour être DPD de Twitter peut rapidement conclure qu’il n’est pas possible de faire le travail – pas sous l’actuel Chief Twit, du moins.
Et, comme indiqué ci-dessus, si Musk essaie de troller les régulateurs en faisant une blague de rendez-vous, cela ne fera qu’inviter à un examen plus minutieux et sapera davantage la relation de Twitter avec les organismes de surveillance, augmentant ainsi son risque réglementaire. (En plus du DPC, la FTC et la Commission européenne ont des raisons pressantes de garder un œil sur ce que fait Musk sur Twitter.)
Les sanctions pour non-conformité au RGPD peuvent aller jusqu’à 4 % du chiffre d’affaires annuel mondial pour les infractions les plus flagrantes (donc non négligeables au maximum théorique). Bien que les amendes pour avoir omis de nommer correctement un DPD (ou de notifier un départ) n’entrent généralement pas dans cette catégorie.
L’application de livraison de nourriture Glovo a été condamnée à une amende de 25 000 € par la DPA espagnole pour ne pas avoir nommé de DPO en 2020, par exemple, tandis que la DPA belge a infligé une amende de 50 000 € à une entité non divulguée la même année pour avoir nommé un responsable de la conformité, de l’audit et des risques. en tant que DPO – après avoir découvert que cela créait un conflit d’intérêts.
La seule amende GDPR de Twitter à ce jour, quant à elle, était une amende de 550 000 $ – émise en décembre 2020 – pour ne pas avoir déclaré et documenté rapidement une violation de données. Donc jolie petite bière.
Cependant, Twitter sous Musk est clairement un animal très différent. Et dans un contexte aussi radicalement changé, tous les paris sont ouverts sur la manière dont les régulateurs vont réagir.