Les équipes de confidentialité et de sécurité de Twitter sont en ébullition après que les modifications apportées par Elon Musk au service ont contourné ses processus standard de gouvernance des données. Désormais, un avocat de l'entreprise encourage les employés à demander la protection juridique des lanceurs d'alerte « si vous vous sentez mal à l'aise à propos de tout ce qu'on vous demande de faire ». Le responsable mondial de la confidentialité de Twitter, l'Irlandais Damien Kieran, a démissionné de l'entreprise suite à un exode de cadres supérieurs de la sécurité et de la confidentialité.
Les démissions surviennent après une semaine chaotique pour la plate-forme de médias sociaux, l'entreprise licenciant jusqu'à la moitié de son personnel, y compris le personnel clé de la sécurité, de la sûreté et de la conformité.
Le responsable de la confidentialité de l'entreprise Damien Kieran, le responsable de la sécurité de l'information Lea Kissner et le responsable de la conformité Marianne Fogarty ont tous démissionné, selon deux employés et un message interne. D'ailleurs, Kissner a confirmé son départ dans un tweet jeudi : « J'ai pris la dure décision de quitter Twitter. J'ai eu l'occasion de travailler avec des gens formidables et je suis très fier des équipes de confidentialité, de sécurité et d'informatique et du travail que nous avons accompli. J'ai hâte de découvrir la suite, en commençant par mes critiques pour @USENIXSecurity 😁 »
Dans une note publiée sur Slack de Twitter et visible par tout le personnel, un avocat de l'équipe de confidentialité de l'entreprise a écrit : « Elon a montré que sa seule priorité avec les utilisateurs de Twitter est de savoir comment les monétiser. Je ne crois pas qu'il se soucie des militants des droits de l'homme, les dissidents, nos utilisateurs dans des régions non monétisables et tous les autres utilisateurs qui ont fait de Twitter la place publique mondiale que vous avez tous passé si longtemps à construire, et que nous aimons tous ».
La FTC est parvenue à un accord avec Twitter en mai après que la société a été surprise en train d'utiliser des informations personnelles sur les utilisateurs pour cibler des publicités. Si Twitter ne respecte pas cet accord, la FTC peut infliger des amendes pouvant atteindre des milliards de dollars, selon la note de l'avocat aux employés.
La note poursuit en disant que son auteur a « entendu Alex Spiro (actuel responsable du service juridique) dire qu'Elon est prêt à prendre une énorme quantité de risques en relation à cette entreprise et à ses utilisateurs », car « Elon met des fusées dans l'espace, il n'a pas peur de la FTC ». Le nouveau service juridique de Musk demande maintenant aux ingénieurs de s'assurer eux-mêmes que ce qu'ils font respecte les règles de la FTC et d'autres lois sur la protection de la vie privée, selon la note de l'avocat et un autre employé familier avec le dossier, qui a demandé l'anonymat pour parler sans l'autorisation de l'entreprise.
L’employé a déclaré que le lancement cette semaine de l’abonnement remanié de Twitter Blue ne tenait pas compte de l’examen normal de la confidentialité et de la sécurité de l’entreprise, avec une « équipe rouge » examinant les risques potentiels la veille du lancement. « Les personnes normalement chargées de ce genre de choses ont reçu peu de préavis, peu de temps pour travailler sur le sujet et il était déraisonnable de penser que [l'examen de la confidentialité] était complet ». Aucune des recommandations de l'équipe rouge n'a été mise en œuvre avant la relance de Twitter Blue, a déclaré l'employé.
Musk a signalé que l'une de ses premières priorités était de reconstruire l'infrastructure de Twitter. Lors d'une conversation audio Twitter Spaces avec des annonceurs mercredi, il a déclaré qu'il souhaitait refaire la pile logicielle de l'entreprise afin que la même technologie alimente la pertinence des tweets et des publicités. « Nous devons être aventureux ici », a-t-il déclaré.
L'amende infligée par la FTC
« Twitter doit payer une amende de 150 millions de dollars pour avoir prétendument rompu ses promesses en matière de protection de la vie privée - une nouvelle fois », a écrit la FTC dans un billet en mai, annonçant l'accord conclu avec Twitter et le DOJ. Selon les documents judiciaires, la FTC et le DOJ ont accusé Twitter d'avoir violé un accord conclu en 2011 avec les régulateurs, dans lequel la société s'engageait à ne pas utiliser les données recueillies à des fins de sécurité, comme les numéros de téléphone et les adresses électroniques des utilisateurs, pour aider les annonceurs à cibler les personnes avec des publicités.
La plainte allègue que Twitter a donné une fausse image de ses politiques aux utilisateurs entre 2013 et 2019. Pendant plus de six ans, la grande enseigne américaine des médias sociaux encourageait les utilisateurs à ajouter un numéro de téléphone ou une adresse électronique pour activer des mesures de sécurité comme l'authentification à deux facteurs (2FA). Mais selon la plainte, en réalité, Twitter a également intégré ces informations dans ses données de ciblage publicitaire. La société se serait excusée de cette pratique en 2019, affirmant qu'elle avait « par inadvertance » acheminé les adresses et les numéros dans son système publicitaire.
En sus, la plainte allègue également que, pendant cette période, Twitter prétendait faussement se conformer aux cadres du bouclier de protection de la vie privée Union européenne-États-Unis et Suisse-États-Unis, qui limitaient la manière dont les entreprises pouvaient réutiliser les données des utilisateurs. Les enquêteurs fédéraux ont affirmé que Twitter n'a tenu aucune de ces promesses. « Comme l'indique la plainte, Twitter a obtenu des données des utilisateurs sous le prétexte de les exploiter à des fins de sécurité, mais a fini par les utiliser également pour cibler les utilisateurs avec des publicités », a déclaré Lina Khan, présidente de la FTC.
Selon les procureurs fédéraux, plus de 140 millions d'utilisateurs auraient fourni ce type d'informations personnelles en se basant sur « les déclarations trompeuses de Twitter ». « Si vous dites aux gens que vous utilisez leurs numéros de téléphone pour sécuriser leurs comptes, puis que vous les utilisez à d'autres fins, vous les trompez et enfreignez la loi », a déclaré Sam Levine, qui dirige le Bureau de la protection des consommateurs de la FTC. La procureure américaine Stephanie Hinds pour le district Nord de la Californie a déclaré que les consommateurs ont le droit de savoir si leurs informations privées sont utilisées à des fins de ciblage publicitaire.
« La pénalité de 150 millions de dollars reflète la gravité des allégations portées contre Twitter, et les nouvelles mesures de conformité substantielles qui vont être imposées à la suite de l'accord proposé aujourd'hui contribueront à prévenir d'autres tactiques trompeuses qui menacent la vie privée des utilisateurs », s'est félicitée Vanita Gupta, procureure générale adjointe des États-Unis, dans un communiqué. Pour rappel, la FTC s'est attaquée à Facebook pour une pratique similaire en 2019, infligeant à l'entreprise une amende de 5 milliards de dollars pour cela et d'autres violations de la vie privée.
Damien Kieran, qui était encore le responsable de la protection de la vie privée de Twitter en mais, a reconnu dans un billet de blogues que les données personnelles des utilisateurs « ont pu être utilisées par inadvertance à des fins publicitaires ». Il a précisé que Twitter ne vend plus aux annonceurs les données recueillies à des fins de sécurité. « La sécurité des données et le respect de la vie privée sont des éléments que nous prenons extrêmement au sérieux, et nous avons coopéré avec la FTC à chaque étape du processus », a écrit Kieran. Selon les termes de l'accord proposé, Twitter a accepté de ne plus tirer profit des informations recueillies à des fins de sécurité.
Elon Musk tente de calmer les employés
Après la publication de ces éléments, un porte-parole anonyme de la FTC a déclaré que l'agence « suivait les développements récents sur Twitter avec une profonde inquiétude. Aucun PDG ou entreprise n'est au-dessus de la loi, et les entreprises doivent suivre nos décrets de consentement. Notre ordonnance de consentement révisée nous donne de nouveaux outils pour assurer la conformité, et nous sommes prêts à les utiliser.*»
L'ancienne avocate externe de Twitter, Riana Pfefferkorn, a noté dans un tweet que l'ordonnance de consentement de la FTC de la société exige que la société procède à des examens de la confidentialité avant d'apporter des modifications au produit. Cette même ordonnance de consentement de la FTC exige que Twitter soumette à la FTC un avis de conformité signé par des responsables prédéterminés de la société 14 jours après un changement de contrôle de la société – ce qui signifie que Twitter devait à la FTC un avis de conformité hier, 14 jours après la prise de fonction d'Elon Musk.
« Je prévois que vous subirez tous des pressions de la part de la direction pour apporter des changements qui conduiront probablement à des incidents majeurs », a écrit l'avocat de Twitter dans le message Slack.
Jeudi soir, Musk a envoyé un e-mail aux employés pour répondre aux préoccupations concernant l'ordonnance de consentement de la FTC : « Je ne saurais trop insister sur le fait que Twitter fera tout ce qu'il faut pour respecter à la fois la lettre et l'esprit du décret de consentement de la FTC », a-t-il écrit. « Tout ce que vous lisez et qui prétend le contraire est absolument faux. Il en va de même pour toutes les autres questions réglementaires gouvernementales où Twitter opère ».
Voici ce que l'avocat de Twitter a écrit dans Slack de Twitter
Twitter est un lieu de travail à distance et fonctionne comme tel depuis des années. C'est un changement fondamental de nos contrats de travail que d'exiger 40 heures par semaine au bureau. Personnellement, je ne crois pas que les employés de Twitter aient l'obligation de reprendre leurs fonctions. Certainement pas sans préavis (voire pas du tout).
Je rappelle également à tous les Tweeps (au moins aux États-Unis) que nous avons une politique illimitée de congés payés. Tous les Tweeps sont capables de prendre des congés payés. Aujourd'hui est peut-être une bonne journée pour se reposer et se ressourcer.
Tout le monde ici doit également savoir que notre CISO, Chief Privacy Officer et Chief Compliance Officer ALL ont démissionné hier soir. Cette nouvelle sera enterrée dans le drame du retour au bureau. Je crois que c'est intentionnel.
Au cours des deux dernières semaines. Elon a montré qu'il ne se soucie que de récupérer les pertes qu'il subit en raison de son incapacité à se soustraire à son obligation contraignante d'acheter Twitter. Il a choisi de conclure cet accord ! Nous sommes tous confrontés à cela en raison des choix qu'il a faits.
Elon a montré que sa seule priorité avec les utilisateurs de Twitter est de savoir comment les monétiser. Je ne crois pas qu'il se soucie des militants des droits de l'homme, des dissidents, de nos utilisateurs dans des régions non monétisables et de tous les autres utilisateurs qui ont fait de Twitter la place publique mondiale que vous avez tous passé si longtemps à construire, et que nous aimons tous.
J'ai entendu Alex Spiro (actuel directeur juridique) dire qu'Elon est prêt à prendre énormément de risques vis-à-vis de cette société et de ses utilisateurs, car « Elon met des fusées dans l'espace, il n'a pas peur de la FTC ». J'ai entendu un autre responsable du service juridique dire qu'en raison des SLA serrés (de deux*semaines*?*!) entre la création du produit et son lancement, le service juridique « devra transférer la charge aux ingénieurs » pour certifier eux-mêmes la conformité aux exigences de la FTC et autres lois. Cela fera peser une énorme quantité de risques personnels, professionnels et juridiques sur les ingénieurs*: je prévois que vous serez tous poussés par la direction à mettre en place des changements qui entraîneront probablement des incidents majeurs.
Tout cela est extrêmement dangereux pour nos utilisateurs. De plus, étant donné que la FTC peut (et va*!) infliger des MILLIARDS de dollars d'amende à Twitter conformément à l'ordonnance de consentement de la FTC, ce qui est extrêmement préjudiciable à la longévité de Twitter en tant que plate-forme. Nos utilisateurs méritent tellement mieux que cela.
Si vous vous sentez mal à l'aise à propos de tout ce qu'on vous demande de faire, vous pouvez appeler la ligne d'assistance téléphonique en matière d'éthique de Twitter ou soumettre un rapport àethicalhelpline.twitter.com. Veuillez également noter le numéro de la FTC. Vous vous souvenez peut-être aussi que Mudge a contacté whistlebloweraid.org
Je vous souhaite bonne chance. Ce fut un tel honneur de travailler avec vous tous. Et je vais prendre une journée de congés payés aujourd'hui.
Sources : Twitter (1, 2, 3) FTC
Et vous ?
Êtes-vous surpris de voir autant de démission de cadres supérieurs ?
Les propos rapportés par un avocat de l'entreprise, à savoir qu'Alex Spiro aurait dit « Elon met des fusées dans l'espace, il n'a pas peur de la FTC », vous semblent-ils crédibles ? Pourquoi ?
Que pensez-vous de la démarche de l'avocat de l'entreprise vis-à-vis des employés ? Pour ou contre ? Dans quelles mesures ?
Elon Musk expose Twitter à des milliards d'amendes, prévient un avocat de l'entreprise.
« Elon met des fusées dans l'espace, il n'a pas peur de la FTC », aurait déclaré son avocat personnel
Elon Musk expose Twitter à des milliards d'amendes, prévient un avocat de l'entreprise.
« Elon met des fusées dans l'espace, il n'a pas peur de la FTC », aurait déclaré son avocat personnel
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !