L’oiseau bleu pourrait bien perdre des plumes si jamais l’enquête ouverte par la Data Protection Authority irlandaise le reconnaissait coupable d’avoir refusé, sans motif légitime, de transmettre à un utilisateur qui le demandait ses données personnelles que le réseau social a collecté.
Les liens publiés sur Twitter sont raccourcis par le biais de son service t.co, lequel permet en outre, selon le gazouilleur de mesurer combien de fois un lien a été cliqué, afin notamment de lutter contre la propagation de malwares. Mais selon Fortune un chercheur britannique, Michael Vaele, soupçonne le réseau social de dépasser ce seul usage pour traquer les internautes et leur navigation. RGPD à l’appui, Michael Vaele demande donc à Twitter de lui fournir ses données que l’entreprise a collectées.
Ce que l’oiseau bleu refuse, arguant du fait que répondre à sa demande constituerait un « effort disproportionné ». Ce faisant, le réseau social s’appuie lui aussi sur le RGPD, qui lève cette obligation d’accès sous certaines conditions. Dans ses considérants (62), le texte estime en effet qu’ « il n'est pas nécessaire d'imposer l'obligation de fournir des informations […] lorsque la communication d'informations à la personne concernée se révèle impossible ou exigerait des efforts disproportionnés ».
Considérer le considérant
Mais Michael Veale signale à Twitter qu’il fait une erreur d’interprétation, puisque cet « effort disproportionné », cité à l’article 14.5.b. du RGPD et à l’article 19, concerne d’une part les données qui « n'ont pas été collectées auprès de la personne concernée » et d’autre part la notification de rectification ou d’effacement de données. Ce qui n’est pas le cas des données auxquelles le chercheur réclame l’accès.
Michael Vaele a donc saisi l’autorité irlandaise de protection des données, qui a « ouvert une enquête statutaire officielle » rapporte Fortune. « L’enquête examinera si Twitter s’est acquittée ou non de ses obligations en ce qui concerne l’objet de votre plainte et déterminera si des dispositions du RGPD ou de la loi irlandaise sur la protection des données ont été enfreintes à cet égard ». En outre, la plainte sera probablement transmise au European Data Protection Board, le successeur du G29, l’autorité irlandaise considérant que l’affaire « implique un traitement transfrontalier ».