Le 25 mai 2022, Twitter a conclu un règlement proposé de 150 millions de dollars avec le ministère de la Justice (“DOJ”) et la Federal Trade Commission pour résoudre les allégations selon lesquelles la société aurait utilisé de manière trompeuse les coordonnées d’utilisateurs non publics obtenues à des fins de sécurité du compte pour diffuser des publicités ciblées aux utilisateurs de Twitter. Dans une plainte déposée devant un tribunal fédéral, le gouvernement a allégué que Twitter avait violé à la fois la loi sur la FTC et une ordonnance de la FTC de 2011 en déformant la mesure dans laquelle la société maintenait et protégeait les informations de contact non publiques des utilisateurs. Le règlement proposé obligerait Twitter à payer 150 millions de dollars de sanctions civiles et à mettre en œuvre un programme complet de protection de la vie privée et de la sécurité de l’information “avec des procédures étendues pour protéger les informations des utilisateurs et évaluer les risques de confidentialité des données internes et externes.”
La plainte alléguait que de mai 2013 à septembre 2019, Twitter avait collecté les numéros de téléphone et les adresses e-mail de plus de 140 millions d’utilisateurs à des fins de sécurité du compte, mais n’avait pas divulgué que les coordonnées des utilisateurs seraient également utilisées pour diffuser des publicités ciblées aux utilisateurs.
Dans la plainte, le DOJ et la FTC ont allégué que la conduite de Twitter violait une ordonnance existante de la FTC, en plus de l’article 5(a) de la Loi sur la FTC. L’ordonnance existante de la FTC, en vigueur depuis 2011, interdit à Twitter de déformer la mesure dans laquelle il maintient et protège la confidentialité et la sécurité des informations non publiques sur les consommateurs. L’ordonnance de la FTC de 2011 a été finalisée après que Twitter a accepté de régler les allégations selon lesquelles les pratiques de sécurité des données de l’entreprise avaient permis aux acteurs de la menace d’accéder à des informations d’utilisateurs non publiques et à des tweets privés.
La plainte alléguait en outre que Twitter avait déformé sa conformité aux cadres du Bouclier de protection des données UE-États-Unis et Suisse-États-Unis, qui interdisent chacun le traitement des informations personnelles d’une manière incompatible avec les finalités pour lesquelles elles ont été collectées ou autorisées par l’utilisateur auquel elles se rapportent.
Le règlement proposé obligerait Twitter à respecter de nombreuses obligations en matière de rapports et de tenue de dossiers, notamment en effectuant des examens de la confidentialité et des rapports écrits avant de mettre en œuvre tout nouveau produit ou service collectant des informations personnelles non publiques des utilisateurs, et en obtenant régulièrement des évaluations de son programme de confidentialité et de sécurité de l’information par un évaluateur indépendant approuvé par la FTC. En outre, le règlement proposé interdirait à Twitter d’utiliser les coordonnées des utilisateurs non publics précédemment collectées pour diffuser des publicités ciblées et obligerait Twitter à informer les utilisateurs susceptibles d’avoir été touchés par le problème.