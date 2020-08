C’est l’Européen qui donne du fil à retordre aux géants technologiques américains. Le jeune activiste autrichien réussit à lui seul à faire évoluer la législation internationale sur le respect de nos données personnelles.

Pandémie oblige, nous nous entretenons avec Max Schrems par vidéoconférence. De ma bulle belge, je l’aperçois dans le bureau de son appartement à Vienne. Sa silhouette découpe sa bibliothèque en arrière-plan. Un décor neutre et discret pour une discussion professionnelle, comme s’il appliquait la première règle de la nouvelle "étiquette" Zoom. À moins que cela ne confirme un trait de son caractère, qui fonde le combat qui l’a rendu célèbre: ma vie privée n’est pas votre affaire. Sur un rayon, j’entrevois d’ailleurs le logo de l’ASBL qu’il a créée il y a trois ans pour porter son combat pour le respect du caractère privé de nos données personnelles: NOYB, pour "None Of Your Business".

Le jeune Autrichien (33 ans) peut s’enorgueillir d’avoir remporté une (nouvelle) grande victoire judiciaire. Le mois dernier, la Cour européenne de Justice (CEJ) a rejeté l’accord conclu entre l’Union européenne et les États-Unis relatif à l’échange de données personnelles, le (mal nommé) Bouclier de protection. Ce "Privacy Shield" était censé assurer aux États-Unis un niveau de protection des données personnelles des citoyens européens équivalent à celle en vigueur sur le Vieux continent. Max Schrems n’en croyait pas un mot et avait attaqué Facebook devant un tribunal en Irlande, où est établi le siège européen du plus grand réseau social du monde. Le dossier était remonté jusqu’à la CEJ qui s’est donc prononcée en grande partie en faveur de Max Schrems.

Législations UE-USA toujours antagonistes

Il n’en saute pas de joie pour autant: "En fait, le problème n’est pas résolu. Les règles européennes de protection de la vie privée se heurtent toujours à la législation américaine en matière de surveillance. Les Européens restent désarmés s’ils se plaignent que les services de renseignements américains consultent les données dont disposent les entreprises technologiques américaines à leur propos."

Max Schrems: "Le second accord UE-USA, qui vient d'être invalidé, était une resucée du premier, avec simplement un nouveau nom et un nouveau logo."

Le récent arrêt de la CEJ porte le nom de "Schrems II". Parce qu’il y a déjà eu en 2015 un arrêt "Schrems I", qui avait d’ailleurs propulsé le jeune Autrichien, à moins de 30 ans, au-devant de la scène médiatique. Il y a cinq ans, la CEJ avait invalidé le précédent accord UE-USA, appelé "Safe Harbour", qui avait été conclu après les révélations fracassantes d’Edward Snowden en 2013: le monde apprenait ainsi que la NSA, l’agence de renseignement américaine, espionnait à une grande échelle les données intimes des citoyens de la planète. La CEJ avait rejeté "Safe Harbour" à la suite d’une plainte de Max Schrems qui s’était demandé alors ce que Facebook faisait des données qu’il lui confiait. L’examen du dossier avait révélé un niveau de protection totalement insuffisant.

Max Schrems ne s’étonne pas que la CEJ ait invalidé successivement "Safe Harbour" et "Privacy Shield" : "Le second accord était une resucée du premier, avec simplement un nouveau nom et un nouveau logo." À ses yeux, cela illustre parfaitement la légèreté, voire la condescendance avec laquelle on considère les questions liées au respect de la vie privée: "Certes, il s’agit ici d’un domaine juridique encore jeune. Mais il concerne un droit fondamental. Et on semble dire: ce n’est pas bien de violer la loi, mais ne vous inquiétez pas si vous ne la respectez pas."

Ignorance crasse des internautes

Les gens semblent cependant accorder moins d’importance à cette question qu’à leur liberté d’expression, comme si la confidentialité de leurs données personnelles était un problème secondaire. "Malheureusement, celle-ci n’est pas tangible. Les gens ignorent tout de ce qu’on fait de leurs données. Elles sont analysées, décortiquées dans les moindres détails. Ces outils de ‘big data analytics’ réussissent même à calculer votre orientation sexuelle, alors que vous n’en avez jamais rien dit sur les réseaux sociaux. Mais ces traitements nous échappent complètement."

"J’examine les méthodes de Facebook, au niveau technique et juridique, depuis neuf ans déjà, sans doute plus que quiconque, et je ne les comprends toujours pas. Cela fonctionne en tout cas si bien que les gens continuent à croire qu’ils sont ‘écoutés’ sur Facebook parce qu’ils voient apparaître des publicités sur des objets dont ils ont parlé. En fait, l’analyse des données est si puissante qu’on a l’impression d’être espionné. Cela démontre au passage que nous avons vraiment besoin d’autorités de contrôle qui disposent de l’expertise nécessaire. Nous trouvons cela normal et légitime dans tous les domaines. Nous ne ferions jamais rouler un train à 300 km/h sans que le régulateur comprenne bien comment cela fonctionne et vérifie si les mesures de sécurité ont bien été mises en place. Mais dans l’environnement digital, nous faisons porter la responsabilité sur l’utilisateur. C’est complètement irréaliste.»

L'épidémie justifie de déroger aux règles de base du RGPD

La pandémie vient y ajouter une nouvelle dimension. Les impératifs de santé publique viennent buter sur les règles du respect de la vie privée. Nous serions tenus de partager nos rencontres, nos allées et venues, avec des applications et des opérateurs de call centers. Mais, ici, Max Schrems ne voit pas le problème: "Les règles du Règlement général sur la protection des données (RGPD) avaient anticipé l’éventualité d’une pandémie. Dans ce type de situation, il est parfaitement légal d’utiliser des données personnelles. Mais on ne peut pas faire n’importe quoi. Le système doit être bien conçu et reste autant que possible anonyme."

Max Schrems nous montre l’appli corona autrichienne qui fonctionne bien depuis longtemps, alors qu’on l’attend toujours en Belgique. "En fait, c’est le nom qui posait problème, on l’avait appelée ‘tracing app’. Or, 70% des Autrichiens refusaient une app ‘qui vous suit à la trace’. Une réaction irrationnelle. Les personnes qui utilisent l’application de rencontres holebi Grindr communiquent instantanément leurs données à au moins 4.000 entreprises via des traceurs intégrés. Comme c’est une appli de ‘dating’, cela ne leur pose pas de problèmes. Mais pour une appli de la Croix-Rouge, ils faisaient la fine bouche."

Le jeune Autrichien n’apprécie que moyennement d’être devenu l’icône européenne de la lutte pour le respect de la vie privée. "Au début, je refusais de voir apparaître mon nom et ma photo. Maintenant, j’ai appris comment les médias fonctionnaient. Mais il n’est pas normal qu’un simple étudiant comme moi ait dû, au départ, ruer dans les brancards, pour un remake numérique de David contre Goliath. Ce sont les autorités publiques de surveillance qui auraient dû mener ce combat. Elles pourraient se regrouper au niveau de l’UE pour muscler leur force de frappe. Mais rien ne se passe.»

Il a vraiment pris conscience du problème lorsqu’il a assisté à une conférence d’un avocat de Facebook durant ses études de droit dans la Silicon Valley. "Il savait qu’il y avait un Européen dans la salle et s’est voulu narquois: 'Si vous violez la loi en Europe, il n’y a aucune réaction. Alors, nous continuons'." Max Schrems en a fait son sujet de mémoire. Durant ses recherches, il a demandé à Facebook à pouvoir consulter toutes les informations dont l’entreprise disposait sur lui: pas moins de 1.200 pages, qui répertoriaient tous les éléments sur lesquels il avait cliqué et tous les messages privés qu’il avait envoyés!

Mais, en définitive, Max Schrems a été moins choqué par la violation de sa vie privée que par la culture régnant au sein des géants de la technologie. Il les situe dans une sorte de partenariat public-privé avec le gouvernement américain dans le domaine de la surveillance. Ils s’estiment ainsi au-dessus de la loi. "C’est d’ailleurs ce qu’on enseigne dans les facultés de droit aux États-Unis: faites une analyse des risques. Et si la probabilité d’une conséquence négative est inférieure à la probabilité d’un gain, continuez à vous placer en rupture des règles. C’est l’approche agressive de la Silicon Valley. ‘That is how we roll’, comme ils disent. Cela va si loin qu’ils ont même réussi à nous insuffler l’idée que c’est cool ou innovant de briser les règles."

Le droit du citoyen reste lettre morte

«J’en ai encore eu la confirmation après un échange avec un employé de Google. Nous disposons depuis peu du droit de lui demander toutes les informations que l’entreprise détient à notre propos. Google prétend avoir développé le meilleur outil pour faire valoir ce droit. Résultat: les informations qu’on obtient sont très loin de correspondre aux exigences de la loi. On leur fait remarquer. Ils répondent: oui, nous pourrions faire mieux... et blablabla. En attendant, votre droit de citoyen reste lettre morte."