Twitter fait l'objet d'une enquête pour une violation potentielle du Règlement général sur la protection des données (RGPD) après avoir refusé de fournir à un universitaire des informations sur la façon dont il est suivi sur la plateforme.
Le réseau de médias sociaux utilise des liens t.co raccourcis comme moyen de suivre une poignée de points de données, y compris le nombre de clics que les liens plus longs reçoivent. Ils contribuent également à freiner la propagation des logiciels malveillants et des attaques de phishing, indique la plateforme.
Michael Veale, chercheur basé à l'University College London (UCL), a déposé une demande d'accès par sujet (SAR) pour savoir si ces liens suivent plus de données sur les utilisateurs que Twitter laisse faire.
Mais selon Fortune, la société de médias sociaux a rejeté sa demande au motif que fournir ces informations demanderait « un effort disproportionné ».
Veale a ensuite aggravé le problème avec une plainte auprès de la Commission irlandaise de protection des données (DPC), qui a confirmé dans un lettre de la semaine dernière indiquant qu'il enquêterait pour savoir si le refus de Twitter de répondre à la demande constitue un GDPR enfreindre.
Le DPC a également déclaré qu'il envisagerait d'engager le Comité européen de la protection des données, un organe consultatif indépendant qui s'efforce d'appliquer l'application cohérente du RGPD sur tout le continent.
"Le DPC a ouvert une enquête statutaire formelle concernant votre plainte," le régulateur a écrit.
"L'enquête examinera si Twitter s'est acquitté ou non de ses obligations en rapport avec l'objet de votre plainte et déterminer si des dispositions du RGPD ou de la loi [irlandaise sur la protection des données] ont été enfreintes par Twitter dans ce respect."
Le chien de garde des données irlandais traite l'affaire selon le principe du guichet unique du RGPD, dans lequel un enquêteur principal est nommé pour enquêter sur les violations transfrontalières.
Les droits des personnes concernées se sont considérablement renforcés depuis l'entrée en vigueur du RGPD le 25 mai. En vertu de la nouvelle réglementation, les organisations sont tenues de fournir toutes les données détenues sur leurs utilisateurs ou clients dans les 30 jours, sous réserve des exceptions prévues par la loi.
Ces demandes d'accès au sujet (SAR) fonctionnent également en tandem avec le droit à l'oubli, ce qui donne personnes le droit de demander que les données détenues à leur sujet par toute organisation soient supprimées, dans des conditions raisonnables circonstances.
Une étude publiée le mois dernier a montré seulement 35 % des entreprises basées dans l'UE remplissent les DAS dans le délai légal de 30 jours, ce qui est vrai pour 50% des entreprises basées hors d'Europe.
Ce dossier est traité dans le cadre du RGPD puisque la demande a été faite après l'entrée en vigueur de la nouvelle réglementation.
