Cette semaine, Twitter a indiqué qu’il a détecté des vulnérabilités dans la manière dont il utilise les données personnelles pour le ciblage des annonces, ce qui signifie qu'il est possible que les données des utilisateurs soient partagées avec des partenaires publicitaires, même si un utilisateur lui avait expressément dit de ne pas le faire. Dans une publication sur son site officiel, Twitter a indiqué qu’il a détecté deux vulnérabilités liées aux choix des paramètres de publicité de ses utilisateurs. Selon l’entreprise, les fonctionnalités dont il est question n’ont tout simplement pas fonctionner comme prévu au départ.
« Sur Twitter, nous voulons vous donner le contrôle de vos données, y compris lorsque nous les partageons. Bien sûr, ces options ne sont utiles que si nous suivons les choix que vous faites et nous avons récemment détecté des problèmes pour lesquels vos choix de paramètres n'ont peut-être pas fonctionné comme prévu », a déclaré l’entreprise dans un poste sur la page d’aide de son site Web. Selon l’entreprise, il y a deux bogues. Le premier bogue concerne le suivi des conversions d'annonces et le deuxième problème concerne le suivi de la navigation Web des utilisateurs pour leur servir des publicités ciblées.
Dans le premier cas, le suivi des conversions d'annonces, cela signifie que si vous avez cliqué ou visionné une publicité pour une application mobile et que vous avez ensuite interagit avec celle-ci depuis mai 2018, Twitter a peut-être partagé certaines données (par exemple le code de pays, etc.) avec des partenaires de mesure et de publicité de confiance, même si vous ne leur en avez pas donné l’autorisation. Cela suggère que cette fuite de données se produit depuis plus d’un an. Elle a commencé presque en même temps que l'entrée en vigueur du nouveau cadre européen pour la protection de la vie privée, le RGPD.
Le règlement impose la divulgation des atteintes à la sécurité des données (ce qui explique pourquoi Twitter évoque toutes ces questions) et signifie que beaucoup dépendent de la manière dont Twitter a récemment « découvert » ces derniers bogues. Parce que le RGPD inclut également un régime d’amendes surdimensionné pour violation confirmée de la protection des données. Il reste à savoir si la technologie de Twitter, qui a laissé courir les données de ses utilisateurs, attirera l'attention des autorités réglementaires. Il faut noter que, qu’elle soit délibérée ou pas, cette fuite constitue une violation flagrante du RGPD.
Néanmoins, Twitter a spécifié qu'il n’a pas partagé les noms des utilisateurs, ni les adresses Twitter, ni les adresses électroniques, ni les numéros de téléphone des partenaires publicitaires. Cependant, il partage l'identifiant de périphérique mobile d'un utilisateur, qu’en Europe, le GDPR considère comme des données personnelles, car il agit là d’un identifiant unique. À l'aide de cet identifiant, les partenaires publicitaires de Twitter peuvent travailler ensemble pour associer un identifiant d'appareil à d'autres données personnelles liées à l'identité qu'ils détiennent collectivement sur le même utilisateur.
Cela permet de suivre leur utilisation d'Internet au sens large, permettant ainsi de profiler des utilisateurs.
Selon Reuters, les données sur les consommateurs constituent un outil puissant que les entreprises utilisent pour décider où placer leurs publicités, quel contenu présenter et quels consommateurs pourrait être intéressés par le produit. Par conséquent, les grandes entreprises du secteur de la technologie ont fait l’objet d’examens minutieux de la part des organismes de réglementation du monde entier en ce qui concerne leurs pratiques de partage des données. Pourtant, l’on continue toujours d’observer ce type de fuite.
Quant au deuxième bogue, il est en rapport avec le suivi plus large de la navigation Web des utilisateurs pour leur servir des publicités ciblées. Twitter a expliqué que dans le cadre d'un processus qu’il utilise pour essayer de diffuser des publicités plus pertinentes sur Twitter et d'autres services depuis septembre 2018, il vous a peut-être montré des publicités basées sur des déductions faites sur les appareils que vous utilisez, même si vous n’en aviez pas donné l'autorisation. Les données concernées sont restées sur Twitter et ne contenaient pas d'éléments tels que mots de passe, comptes de messagerie, etc.
Pareil au premier cas, cela ressemble également à une violation du RGPD, étant donné que dans les cas où l'utilisateur ne consent pas à être suivi pour une annonce ciblée sur Twitter, il n'existe pas de base légale pour le traitement de ses données personnelles. Toutefois, même se Twitter prétend que c’est accidentel, il les a quand même traitées. Ce type de ciblage d'annonces, basé sur ce que l'on appelle des « déductions », est rendu possible, car Twitter associe les appareils que vous utilisez (y compris les mobiles et les navigateurs) lorsque vous êtes connecté à son service avec votre compte Twitter, puis reçoit des informations.
Ces informations sont liées à ces mêmes identifiants d'appareil (adresses IP et éventuellement empreintes digitales du navigateur) auprès de ses partenaires publicitaires, probablement collectés via des cookies de suivi (y compris les plug-ins sociaux de Twitter), qui sont diffusés sur Internet afin de suivre votre apparence en ligne. Ces cookies publicitaires tiers associent les données de navigation des individus (transformés en intérêts supposés) à des identifiants uniques de périphérique/navigateur (liés à des individus) afin de permettre au secteur de la technologie informatique (plateformes, courtiers en données, échange d'annonces, etc.) de suivre les internautes partout.
Pour l’heure, Twitter a indiqué qu’il a résolu toutes les vulnérabilités mentionnées ci-dessus. « Nous avons résolu ces problèmes le 5 août 2019. Nous savons que vous voudrez savoir si vous avez été personnellement touché et combien de personnes au total ont été impliquées. Nous menons toujours notre enquête pour déterminer qui pourrait avoir été touché et si nous découvrons plus d'informations utiles, nous les partagerons », a déclaré la société à la fin de sa présentation des deux vulnérabilités. Cependant, certains estiment qu’il ne s’agit en aucun cas de bogues. Ces derniers préfèrent appeler cela des fuites délibérées de données. Selon eux, Twitter a été obligé de révéler l'existence de ces failles forcément pour échapper à un contrôle ou une amende. Il n'en est rien de plus.
Sources : Twitter, Reuters
Et vous ?
Qu'en pensez-vous ?
Voir aussi
Un bogue vieux de quatre ans sur Android a rendu public certains tweets protégés lorsque les titulaires apportaient des modifications à leurs comptes
Twitter recommande à ses utilisateurs de changer de mot de passe, suite à la découverte d'un bogue qui expose des mots de passe en clair
Twitter stocke tous vos messages directs, même ceux que vous croyez avoir supprimés depuis des années ou ceux provenant de comptes désactivés
Le PDG de Twitter sera auditionné sur les algorithmes de surveillance des contenus, les fake news seraient en abondance sur le réseau social
Twitter informe qu'il pourrait avoir utilisé des données d'utilisateurs sans permission pour de la publicité
à cause d'une faille de sécurité
Twitter informe qu'il pourrait avoir utilisé des données d'utilisateurs sans permission pour de la publicité
à cause d'une faille de sécurité
Le , par Bill Fassinou
Une erreur dans cette actualité ? Signalez-nous-la !