Max Schrems, l'Autrichien anti-Facebook: «La protection des données, tout le monde s’en plaint mais personne ne fait jamais rien»

Max Schrems a perdu la dernière de ses batailles contre Facebook, mais il en prévoit d’autres. En 2015, cet Autrichien avait permis l’invalidation par la Cour de justice de l’Union européenne l’invalidation du Safe Harbor, l’accord permettant à plusieurs entreprises américaines du Web de transférer vers les Etats-Unis les données de leurs utilisateurs européens.

En novembre 2017, l’avocat de la Cour de justice de l’UE a rejeté la possibilité d’une action collective initiée par Max Schrems contre Facebook, au nom de consommateurs de nationalités différentes. Mais il peut toujours le faire devant une juridiction autrichienne. Le 28 novembre, il a lancé une nouvelle plate-forme, NOYB.eu (pour « None of your business », « ce n’est pas tes affaires »), pour défendre les intérêts des consommateurs européens face aux géants du Web en matière de protection des données privées. Max Schrems revient pour 20 Minutes sur son combat pour la protection des données personnelles des citoyens.

Comment vous êtes-vous intéressé aux questions de protection des données personnelles ?

J’ai toujours été intéressé par les ordinateurs, puis j’ai commencé à étudier le droit et il est intéressant de constater, dans le domaine de la protection de la vie privée, l’écart entre ce que la loi dit et ce que les entreprises font dans la réalité. J’ai fait des études d’avocat en Californie pendant un semestre, et j’avais un projet à rendre pour boucler mon diplôme. J’ai décidé de demander à Facebook une copie de toutes les données qu’ils avaient sur moi, tout le monde a le droit de le faire.

C’était intéressant de voir que tout avait été conservé, 1.200 pages sur un CD-Rom. C’était la première fois que je faisais quelque chose, mais j’avais commencé à m’intéresser à ces histoires de données publiques avant, car je crois que tout est affaire de data. La question intéressante est de savoir qui a le pouvoir sur ces données.

Que reprochez-vous à Facebook ?

Plusieurs points. Leur politique de privacy est tellement complexe et contraire à la loi. Par exemple, ils sont censés vous dire ce qu’ils font exactement avec vos données, pour que vous puissiez donner votre accord ou pas, mais ils ne le font jamais. Le cas le plus extrême est l’envoi de données au renseignement américain, mais il y aussi des exemples qui parlent aux personnes lambdas. Quand j’avais obtenu le rapport complet de mes données, je m’étais rendu compte qu’ils conservaient des choses que j’avais supprimées. Tu penses que c’est effacé, et tu te rends compte que tout est en réalité stocké depuis le début.

Ça fonctionne sur deux plans : d’une part, le problème de la surveillance de masse, qui intéresse les journalistes et les activistes ; d’autre part, pour l’internaute lambda, ça peut être une photographie ou un message embarrassant qu’il pensait avoir supprimé, et qui existe en fait toujours.

Avez-vous d’autres géants du Web en vue ?

À titre personnel, je m’intéresse principalement à Facebook. Ça a plus de sens de se concentrer sur une seule entreprise et d’en parler beaucoup, plutôt qu’un peu sur toutes. Mais je me dis souvent que j’aurais pu faire la même chose avec n’importe quelle entreprise, parce que ces pratiques ne sont pas spécifiques à Facebook, elles le font toutes. Mais il m’en fallait une en particulier.

Que pensez-vous du règlement européen sur la protection des données, qui entrera en application en mai 2018 ?

C’est mitigé. Globalement, le niveau de protection sera bon, mais le problème est qu’il est compliqué à suivre pour les entreprises. Il aurait été possible de faire plus en matière de privacy sans imposer autant de contraintes, surtout pour les boîtes qui ne font rien de particulier avec les données. La « qualité » de la loi n’est pas très bonne, elle n’est pas rédigée comme il le faudrait, bien que le contenu soit intéressant.

Qu’auriez-vous fait autrement ?

Attention, ça va devenir un peu technique. Ce sont de petites choses dans la façon dont la loi est construite. Par exemple, c’est une directive et pas un règlement. Cela aurait permis d’être imposé dans chaque Etat de l’UE au niveau national, plutôt que d’en faire une loi au niveau européen non adaptée et donc pas forcément applicable en fonction des spécificités de chaque pays. Le texte aurait également dû intégrer la possibilité qu’un Etat-membre puisse amender, modifier certaines choses si ça entre en confrontation avec la loi nationale. Mais je le redis, les bases de la loi sont bonnes. Nous n’avons pas un problème de quantité de législation sur le sujet en Europe, le souci, c’est son application. Là-dessus, il y a des améliorations.

Quel est le combat dont vous êtes le plus fier ?

L’invalidation du Safe Harbor, je pense. C’était la big thing. Mais par-dessus tout, le plus important est de montrer que nous avons des droits fondamentaux sur la vie privée dont nous sommes très fiers, alors que nous ne les faisons pas respecter ni appliquer. Je me suis souvent demandé pourquoi les gens s’intéressaient à mes plaintes… Tout le monde parle de protection de la vie privée, mais il y a rarement quelqu’un pour dire « j’ai des droits et j’aimerais bien que vous les respectiez ». Je suis ce gars (rires).

Quel est l’objectif de votre nouvelle plate-forme NOYB ?

Mettre toutes les expériences en commun depuis toutes ces années afin d’être le plus efficace possible. Le but est de travailler au niveau européen sur les droits des utilisateurs, en lien avec d’autres organisations. Au départ, on a pensé à l’internaute moyen qui n’a pas la possibilité de comprendre ce que son application fait quand il commande une pizza en rentrant chez lui. Il y a plusieurs experts juridiques et des associations de défense du consommateur qui nous accompagnent.

a

L’idée est en outre de rassembler suffisamment de main-d’œuvre et de temps pour se pencher sur d’autres entreprises que Facebook. Par exemple, si un groupe de hackers berlinois trouve quelque chose d’anormal dans une application et qu’une association française est intéressée, nous pouvons les mettre en contact et être plus efficaces. Car actuellement, les affaires de protection de la vie privée se limitent avant tout au niveau national.

Allez-vous poursuivre Facebook juste en votre nom ?

On a lancé une page Kickstarter pour financer la procédure. Je préviens que c’est totalement bénévole pour moi, mais on a besoin d’argent et d’aide pour monter le dossier. D’un point de vue juridique, c’est complexe. L’action de groupe n’est pas possible car il faut être un consommateur direct. Exemple : si vous achetez un cadeau de Noël sur Amazon pour votre compagne, elle ne sera pas considérée comme consommatrice, c’est vous l’acheteur. Et si elle a un problème avec, elle devra aller au Luxembourg, elle ne pourra pas s’adresser à la justice à Paris. Mais avec le règlement européen sur la protection des données, il sera possible de faire des actions groupées. Nous avons peut-être perdu dernièrement, mais nous pourrons de nouveau porter le dossier dans quelques mois.

Vous avez souvent affirmé ne pas vouloir être le visage de cette lutte contre Facebook. Quand comptez-vous vous retirer de ce type de combat ?

Dès que possible ! Ce qui est amusant, c’est que j’ai découvert tellement de choses que je n’imaginais pas en démarrant. Beaucoup de personnes se plaignent de toutes sortes de choses chaque jour, mais la spécificité de la protection des données est que tout le monde s’en plaint mais personne ne fait jamais rien. J’avais mis mes premières découvertes sur une petite page Web, et deux semaines plus tard, je me retrouvais en Une de Bild, parce qu’enfin quelqu’un faisait quelque chose à propos de ça ! Je crois que les problématiques de vie privée sont extrêmement importantes et intéressantes, mais ce n’est pas l’histoire de ma vie. C’est aussi pour ça que j’ai monté le NOYB, une structure plus stable qu’un étudiant tout seul dans son appartement. Ça a pris du temps, c’est de longue haleine, car nous ne gagnerons pas ce combat juste entre étudiants.