Depuis le milieu de l'année 2022, l'affaire est devenue publique. Un pirate informatique a récupéré et même partagé publiquement environ 5,4 millions de données d'utilisateurs Twitter de personnes privées et d'entreprises, contenant entre autres des numéros de téléphone, des adresses e-mail et d'autres données sensibles relatives à des personnes individuelles. Le pirate a eu accès à ces données sensibles et personnelles des utilisateurs du réseau social Twitter par le biais d'une interface de programmation d'applications (API) non sécurisée, apparemment obsolète et non mise à jour par l'exploitant de la plateforme. L'entreprise Twitter a certes annoncé au début de l'année, en janvier 2022, que cette interface avait été "corrigée", mais elle a également admis qu'elle avait été exploitée auparavant.
En juillet de cette année, le pirate a tenté de vendre les données d'utilisateurs Twitter obtenues sur un forum pour 30 000,00 dollars, mais il les a ensuite partagées en ligne avec le public. Dans le détail, le problème de ce scandale de données Twitter résidait dans le fait que l'API Twitter déjà mentionnée permettait de tester arbitrairement des numéros de téléphone et des adresses e-mail afin de trouver l'identifiant Twitter correspondant. L'année dernière, le pirate responsable a ainsi pu associer en détail ces données d'utilisateurs Twitter à un ID Twitter, c'est-à-dire à un compte Twitter.
On sait également que d'autres données d'utilisateurs de Twitter ont été échangées ou partagées sur des réseaux fermés, mais pas dans quelle mesure. On peut donc supposer que beaucoup plus d'utilisateurs du réseau social Twitter sont concernés par ce scandale de données et doivent donc craindre que leurs données personnelles sensibles soient désormais en possession de réseaux douteux aux ambitions criminelles. Vol de propriété, vol de données, usurpation d'identité ou même pillage de comptes bancaires menacent les personnes concernées dans le pire des cas. Il est donc conseillé de faire appel à un avocat pour savoir si les données personnelles ont été détournées et, si c'est le cas, de s'y opposer.
Concrètement, il s'agit des données d'utilisateurs Twitter suivantes :
Le scraping, souvent appelé screen scraping ou web scraping, est une fonction qui permet, à l'aide d'un script, de lire et d'enregistrer des informations sur un site web ou des services en ligne, par exemple des plateformes de médias sociaux. Google utilise également de telles méthodes, par exemple à l'aide de robots qui "explorent" les pages web pour les indexer ensuite. Cette pratique est en grande partie dans l'intérêt des exploitants de sites web et de plateformes, car une telle indexation permet d'augmenter le chiffre d'affaires ou d'atteindre une plus grande portée. Toutefois, le scraping peut également causer des dommages importants s'il est utilisé de manière abusive.
Dans le cas du scandale du scraping sur Facebook, qui a fait beaucoup de bruit, les pirates ont utilisé une fonction de la plate-forme qui permettait à l'utilisateur de télécharger son répertoire téléphonique, de sorte que les amis et les connaissances étaient directement créés ou identifiés dans le profil. Les pirates se sont servis de cette fonction d'importation de contacts pour consulter les ensembles de profils d'utilisateurs et récupérer les données sensibles obtenues. données personnelles extraire via le profil public.
Le "scraping" de données accessibles au public n'est par définition pas illégal, dans la mesure où il ne nécessite pas le franchissement de dispositifs techniques de protection. Toutefois, ce qui est fait ensuite avec les données obtenues n'est pas non plus sans importance. En effet, si par exemple des images, des articles ou d'autres données sont récupérés et publiés sans autorisation, il s'agit d'une violation manifeste du droit d'auteur. Il convient également de mentionner que l'utilisation de ces données dans le cadre de campagnes d'hameçonnage constitue également une violation claire de la loi.
Dans ce contexte, la situation devient toutefois précaire pour l'exploitant de la plateforme ou du site web, car selon GDPR des directives claires et sans ambiguïté concernant la collecte et le stockage de données personnelles doit respecter. L'exploitant doit avoir un motif légitime ou doit obtenir le consentement exprès de l'utilisateur pour collecter et enregistrer ses données personnelles sensibles. En outre, cela ne doit se faire que dans la mesure nécessaire à l'accomplissement de la fonction prévue. est nécessaire et non plus. En outre, de nombreux opérateurs de réseaux sociaux excluent d'emblée le scraping dans leurs conditions générales.
Il semblerait qu'il y ait eu par le passé une fuite de données bien plus importante concernant le vol de données d'utilisateurs de Twitter. Il s'agirait même de plus de 17 millions de comptes d'utilisateurs et des données personnelles sensibles qui y sont liées et qui ont été diffusées dans les milieux des pirates informatiques.
En 2016 déjà, Twitter avait révélé qu'une fuite de données avait permis à un pirate informatique de s'emparer d'au moins 32 millions de comptes Twitter et des mots de passe correspondants, et d'essayer de vendre ces données d'accès sur le Darknet. L'ensemble des données volées comprenait alors des e-mails, des noms d'utilisateur et des mots de passe correspondants. Twitter n'avait alors pas d'autre choix que de bloquer tous les comptes d'utilisateurs concernés jusqu'à ce que ces derniers réinitialisent et créent un nouveau mot de passe après avoir été informés séparément de l'incident par l'exploitant. Là encore, on peut se demander qui était responsable de cette affaire ou de cette faille de sécurité du côté de l'exploitant de la plate-forme.
Le risque pour la personne dont les données personnelles ont été obtenues dans un tel scénario est que les données obtenues à tort puissent être distribuées ou partagées avec d'autres tiers. Ces derniers pourraient utiliser les données personnelles d'un utilisateur, par exemple ses numéros de téléphone et son adresse électronique, pour lancer des attaques de phishing ou même, dans le pire des cas, pour commettre une usurpation d'identité sur Internet.
L'hameçonnage est un terme dérivé du mot anglais "fishing", qui signifie pêche, et qui décrit la tentative d'un agresseur d'obtenir des données personnelles en envoyant des courriers indésirables, des pages web fictives ou des messages directs sur le téléphone portable de la victime. Cette méthode a pour but de commettre un vol de propriété, un vol de données, un vol d'identité et même, dans le pire des cas, un pillage du compte de la personne concernée à l'aide des données obtenues / récupérées de la victime. De nombreux pirates utilisent également les données de la victime, par exemple pour s'emparer de PayPal, eBay ou Amazon et effectuer ainsi des achats au détriment de la victime.
L'hameçonnage est généralement pratiqué de manière très générale par les pirates, ce que vous pouvez facilement reconnaître au vu des formulations des "e-mails d'hameçonnage". Il existe toutefois une forme plus raffinée d'hameçonnage, appelée "spear phishing". Cette méthode consiste à personnaliser les messages envoyés à la victime à l'aide de données déjà lues sur celle-ci, afin de donner l'impression d'un message authentique.
Il est donc toujours conseillé d'être sceptique face à tout type de message qui vous est adressé et qui demande des informations personnelles.
Bien sûr, oui ! En effet, selon la jurisprudence et le règlement général sur la protection des données (RGPD) en vigueur, l'exploitant du réseau social, c'est-à-dire Twitter dans ce cas, est responsable de la mise en place et de l'application de mesures de sécurité appropriées afin d'éviter que les données personnelles sensibles des utilisateurs de Twitter ne soient lues et stockées de la manière décrite précédemment, par le biais du scraping. Conformément à la RGPD, article 25, paragraphes 1 et 2L'opérateur responsable, Twitter, est tenu d'assurer la protection des données. de prendre des mesures, de nature technique et organisationnelle, pour garantir que les données personnelles ne peuvent pas être rendues accessibles à un nombre indéterminé de personnes physiques sans intervention de la personne.
En outre, ce manquement du réseau social Twitter constitue une violation de la loi sur la protection des données. Article 5, paragraphe 1e, et paragraphe 1f, du RGPD de la vie privée. Étant donné que ces "principes de traitement des données à caractère personnel" stipulent que les données à caractère personnel ne peuvent être traitées que s'il peut être garanti qu'elles ne sont identifiables qu'aux fins et pendant la période de traitement et non de manière continue, ceci afin de protéger les droits et libertés des personnes concernées et ne peut être rompu qu'à des fins d'intérêt public, d'archives, de recherche scientifique et historique, ainsi qu'à des fins statistiques.
Article 5, paragraphe 1f du RGPD stipule que le responsable du traitement doit veiller à ce que les données à caractère personnel sensibles stockées soient classées et conservées de manière à garantir une protection contre le traitement non autorisé, illégal, la perte accidentelle, la destruction accidentelle ou les dommages accidentels à la personne concernée.
En tant que personne potentiellement concernée par ce scandale des données de Twitter, chacun a la possibilité de demander à être informé de la situation. Art. 15 GDPR faire valoir un droit d'accès auprès de Twitters. Une personne concernée peut donc, après Art. 15 GDPR demander à Twitter de lui indiquer si ses données sensibles sont concernées par la fuite de données. Si Twitter ne fournit pas d'informations ou si elles sont incomplètes, la personne concernée peut prétendre à des dommages et intérêts conformément à la loi sur la protection des données. Art. 82 du RGPDLe droit de l'utilisateur de faire valoir ses droits à l'encontre de Twitter est limité.
En effet, dans un grand nombre de cas similaires, comme le scandale des données Facebook ou le scandale des données WhatsApp, les tribunaux allemands ont accordé aux plaignants des dommages et intérêts élevés sur la base de la loi sur la protection des données. Art. 82 du RGPD de dommages et intérêts en résultant. Cela s'explique notamment par le fait que de tels dommages résultant de Violations du RGPD Les montants des dommages et intérêts qui en résultent doivent avoir un effet dissuasif sur les exploitants de plateformes et de sites web, afin que le règlement général sur la protection des données (RGPD) en vigueur continue d'être respecté, notamment par ces derniers.
En ce qui concerne la revendication de dommages et intérêts en tant que personne concernée par le scandale des données Twitter, il est toutefois indispensable de chercher une assistance juridique pour faire valoir vos droits, sous la forme d'un avocat spécialisé dans le droit de la protection des données. En effet, dans un tel litige avec une grande entreprise comme Twitter, il serait négligent et inutile d'essayer de le résoudre seul si vous voulez obtenir gain de cause.
Tout d'abord, après avoir reçu une information détaillée du responsable, en l'occurrence Twitter, celle-ci doit être examinée de manière approfondie afin de déterminer s'il y a eu violation des "principes relatifs au traitement des données à caractère personnel", article 5, paragraphe 1 du RGPD. Il est important de savoir s'il est évident que l'entreprise responsable du traitement a rempli les critères suivants. En résumé, l'information fournie est examinée sous l'angle de la légalité, du traitement loyal, de la transparence, de la finalité, du respect de la minimisation des données et de la limitation du stockage, ainsi que de l'exactitude, de l'intégrité et de la confidentialité. Si cet examen effectué par l'avocat permet de constater que les données de la personne concernée n'ont pas été traitées conformément au RGPD, la situation est extrêmement mauvaise pour l'entreprise.
Il convient également de mentionner que si l'entreprise Twitter ne répond pas à la demande d'information de manière détaillée ou dans un délai de 4 semaines, cela constitue également une violation du RGPD et justifie ainsi une demande de dommages-intérêts de la part du demandeur d'information en vertu de la loi.
En outre, il convient de chiffrer le dommage lorsqu'il est établi qu'il existe une demande de dommages et intérêts. Dans le cas d'un dommage matériel, c'est assez simple, puisqu'il est demandé à la partie adverse de payer l'intégralité des dommages et intérêts. Dans le cas d'un dommage immatériel, c'est un peu plus compliqué, car dans la plupart des cas, celui-ci est évalué à un taux fixe de 5000,00 EUR, à moins qu'il n'existe une présomption justifiant un montant plus élevé.
Il convient toutefois de mentionner que des dommages et intérêts de 6.500,00 EUR à 12.500,00 EUR ont déjà été versés par le passé en raison d'une correspondance électronique non cryptée entre l'entreprise et le consommateur, ainsi que de l'envoi non autorisé de newsletters à des personnes qui n'avaient pas donné leur accord pour les recevoir ou les inclure dans la liste de diffusion.
Il faut donc partir du principe qu'en raison de la preuve de cette violation de données et de l'aveu médiatisé de mesures de sécurité insuffisantes de la part de l'entreprise Twitter, il est tout à fait possible de réclamer des montants bien plus élevés, dépassant les 5000,00 euros.
Notre mission consiste à aider les personnes concernées à faire valoir leurs droits. Tout d'abord, conformément à l'article 15 du RGPD, nous demandons à Twitter de nous fournir des informations sur toutes les données à caractère personnel traitées concernant notre client, ainsi que la preuve qu'elles n'ont pas été récupérées ou stockées par une personne non autorisée.
Si cette information n'est pas fournie, si elle constitue une violation des obligations selon l'article 5, paragraphe 1 du RGPD ou si elle est incomplète, même en partie, nous formulerons le plus rapidement possible avec notre client une demande d'indemnisation aussi élevée et réaliste que possible, conformément à l'article 82 du RGPD. Ensuite, nous tenterons d'abord de trouver un accord extrajudiciaire avec la partie adverse, l'entreprise Twitter, et en cas d'échec de cette démarche, nous déposerons ensuite une plainte contre Twitter auprès du tribunal compétent.
Un exemple de cas similaires à celui de Twitter est celui de Facebook, une entreprise du groupe Meta, où, suite à une fuite de données au printemps 2021, des millions de données de comptes d'utilisateurs de la plateforme de médias sociaux ont été publiées sur un forum de pirates. Cet incident a fait sensation et a donné lieu à une véritable vague de plaintes de la part des personnes concernées.
Le 14 septembre 2022, le tribunal de grande instance de Zwickau a pris une décision phare concernant ce type d'incidents, car il a accordé au plaignant, une personne lésée dont les données ont été, de manière avérée, siphonnées et extraites dans cette affaire, et a condamné Facebook à verser 1000,00 euros de dommages et intérêts dans cette procédure. Le motif de cette décision était que l'utilisateur avait subi un préjudice moral au sens du règlement européen sur la protection des données (AZ : 7 O 334/22), car l'entreprise n'avait pas suffisamment protégé ces données sensibles contre les attaques de pirates. Un exemple clair et la preuve que les consommateurs peuvent tout à fait se défendre contre de tels abus de la part des grands groupes.
En principe, si la personne concernée souhaite faire valoir sa demande de dommages et intérêts par l'intermédiaire d'un avocat, elle a tout intérêt à souscrire une assurance de protection juridique pour couvrir les frais. Si ce n'est pas le cas, la personne concernée doit prendre en charge les frais de l'avocat pour l'examen de la demande de dommages et intérêts et pour la mise en œuvre extrajudiciaire et judiciaire de celle-ci.
Il convient également de mentionner que, dans le meilleur des cas, le client fait une demande de couverture auprès de son assurance protection juridique avant même de prendre contact avec l'avocat, en exposant les faits et en demandant la prise en charge des frais d'avocat. Dans le meilleur des cas, l'assurance de protection juridique donne même déjà son accord pour la prise en charge des frais d'avocat. Cela accélère énormément le processus de traitement rapide du mandat pour l'avocat, qui peut ainsi se consacrer exclusivement et de manière ciblée aux faits juridiques.
Bureau principal - Kerpen
M. Patrick Baumfalk, avocat
147, rue principale
50169 Kerpen
Allemagne
Branch - Witten
M. Patrick Baumfalk, avocat
Rue de Berlin 4
58452 Witten
Allemagne
Notre partenaire de coopération aux États-Unis, FL, Merritt Island, Spacecoast et Miami, États-Unis :
M. Alexander Thorlton, Esq. - German American Real Estate & Immigration Law Center, LLC
Conception web et référencement de Services Baumfalk