Max Schrems: «L’hypocrisie des

empires du numérique sur nos

données est sans limite»
L’avocat autrichien, pourfendeur des géants de la
tech, sera de passage lundi à l’EPFL pour une
conférence publique. Dans une interview au
«Temps», il évoque son long et ardu combat
pour faire respecter les lois touchant à nos
données personnelles
Publié le 08 mars 2024 à 19:47. / Modifié le 09 mars 2024 à 09:26.

Max Schrems. — © JOE KLAMAR / AFP

C’est une personnalité majeure du monde des données que reçoit

l’EPFL lundi soir prochain: Max Schrems. Depuis quinze ans, cet
avocat autrichien mène une lutte sans merci face aux géants de la
tech qui ne respectent ni leurs utilisateurs, ni les lois. Avec à la clé
des succès importants: Max Schrems a obtenu notamment en 2023
la condamnation en Europe de Meta, maison mère de Facebook, à
une amende de 1,2 milliard d’euros pour transfert illégal de données
vers les Etats-Unis.

Le Temps: Sentez-vous que de plus en plus de personnes font

attention à leur vie privée?

Max Schrems: Oui, désormais chacun a le sentiment qu’il a quelque

chose à cacher, et cela de manière positive, et qu’il a intérêt à
protéger sa vie privée. De plus en plus de gens pensent que les
autres sont assez idiots pour partager beaucoup trop d’informations
:
 personnelles en ligne, alors qu’eux se protègent. Donc oui, je pense
que la situation a évolué, de moins en moins d’internautes pensent
qu’ils n’ont rien à cacher.

Vous êtes souvent présenté comme un activiste. Ce terme vous

convient-il?

Je suis avant tout un avocat. Etre activiste, c’est essentiellement agir

sur le terrain politique via des campagnes publiques. Mon travail,
avec mon association, est de faire appliquer des lois, de contraindre
les géants de la tech à appliquer les règles. Les activistes sont
importants pour faire comprendre aux gens ce qui se passe.

Cela fait bientôt quinze ans que vous luttez pour faire appliquer
ces lois. Quel est votre bilan?

Dans les cas qui ont été tranchés par la justice, nous avons eu
beaucoup plus de victoires que de défaites. Mais notre plus gros
problème, ce sont les autorités qui n’appliquent tout simplement pas
ces lois. Des plaintes ne sont carrément pas traitées. Nous n’allons
en justice que lorsque nous avons des preuves manifestes, claires et
évidentes de violation de la loi de la part des géants du numérique.
De manière générale, l’Europe crée des lois et souvent ce sont les
Etats membres qui doivent les faire appliquer et qui ne le font tout
simplement pas. Pourquoi? Parce qu’ils protègent parfois des
intérêts nationaux, parce qu’ils n’ont pas de volonté politique, pas
assez de connaissances ou de moyens.

Lire aussi: Une révolution débute dans nos téléphones: six questions
pour comprendre le nouveau règlement européen sur le numérique

Ce dernier point est important: les autorités de régulation

semblent largement sous-dotées…
:
 Nous avons comparé les moyens que possèdent les autorités de
protection des données en Espagne et en Irlande [là où se trouvent
la plupart des sièges européens des géants de la tech, ndlr]: leurs
moyens sont comparables. Mais le régulateur irlandais publie autant
de décisions par année que son homologue espagnol le fait par…
jour. Ce n’est donc pas une question de moyens, c’est une question
de volonté.

En face, le comportement des entreprises évolue-t-il?

Nous venons de publier une enquête s’adressant aux responsables

de la protection des données dans de nombreuses entreprises. Nous
leur avons demandé ce qui convaincrait leur directeur de se
conformer aux lois. Leur réponse: uniquement des amendes élevées.
Et c’est exactement ce que les autorités ne font pas. Bien sûr, on voit
des pays, mais aussi la Commission européenne, infliger des
amendes importantes une ou deux fois par an. Mais c’est avant tout
pour le show. L’immense majorité des entreprises qui ne respectent
pas la loi ne sont pas inquiétées. Nous estimons que 74% des
entreprises ne respectent pas le RGPD. Imaginez trois quarts des
entreprises de construction ou pharmaceutiques qui n’obéiraient pas
à la loi: ce serait inimaginable.

Lire aussi: Vingt ans après ses débuts, pourquoi Facebook conserve-
t-il un tel pouvoir d’attraction?

Parlons du RGPD. Cinq ans après son arrivée, quel bilan en

faites-vous?

L’Union européenne est très forte pour créer de nouvelles lois, qui
sont en grande partie bien conçues, mais très faible pour les faire
appliquer. De manière générale, le RGPD est un bon règlement. Mais
il est très peu appliqué. Ce qui m’intéresse avant tout, c’est
l’efficacité, notamment de nos actions en justice. Souvent, les
:
 autorités de régulations nationales nous contestant même le droit de
porter des actions en justice, alors que nous sommes légitimés à le
faire, en avançant des arguments absurdes. Certaines autorités
passent davantage de temps à combattre nos plaintes qu’à les
traiter, afin de s’en débarrasser le plus tôt possible. C’est le monde à
l’envers. En cinq ans, nous n’avons jamais vu une autorité nationale
frapper à la porte d’un géant de la tech et demander des preuves, un
accès au code informatique, à de la documentation. Jamais. Ces
autorités se contentent des lettres que leur envoient ces entreprises.
C’est totalement ridicule.

Lire aussi: Accusé de «tuer des enfants» et d’avoir «du sang sur les
mains», Mark Zuckerberg s’excuse. Mais rien ne changera

Il y a de quoi être pessimiste…

En face des autorités de régulation, il y a des multinationales avec

des moyens quasi illimités, des armées de consultants et d’avocats…
En général, vous vous conformez à la loi car vous savez qu’il risque
d’y avoir des sanctions, vous ne conduisez donc pas trop vite sur la
route. Mais pas dans le domaine de la protection des données. La
majorité des entreprises savent qu’il n’y a aucun risque réaliste
qu'elles soient sanctionnées en cas de mauvais comportement.
Dans ces conditions, comment voulez-vous que les responsables
des données au sein d’entreprises soient écoutés par leur direction?
Les dirigeants leur répondent: «Super, merci pour vos conseils, mais
nous n’allons pas appliquer ce que vous nous conseillez.»
:
 Max Schrems. — © JOE KLAMAR / AFP

Malgré tout, les géants de la tech ont-ils modifié leurs

pratiques?

Non. Ces entreprises, que ce soit Apple ou Meta, ont une approche
très agressive des lois européennes, cherchant tous les arguments
pour les contourner. Elles savent très bien que même si des
amendes devaient in fine être décidées, elles ne correspondraient
qu’à une fraction du chiffre d’affaires réalisé durant toutes les années
passées à combattre ces décisions. C’est aussi simple que cela. D’un
autre côté, oui, ces multinationales sont davantage transparentes sur
les données récoltées et traitées. Car cela ne cause aucun tort à
leurs affaires. Vous avez beau être transparent, si vous continuez à
mal agir et à piller les données de vos utilisateurs en contournant la
loi, cela ne sert à rien… On voit aussi ces sociétés transférer toute la
responsabilité aux utilisateurs en leur disant «vous n’avez qu’à lire
les conditions générales, tout y est écrit»… L’hypocrisie des empires
:
 du numérique sur nos données est sans limite.

Lire aussi: «Nous avons perdu le contrôle de nos données»

Depuis peu, il est possible d’utiliser Facebook et Instagram sans

publicité, mais en payant un abonnement. Pourquoi est-ce une
mauvaise idée selon vous?

C’est même la pire des choses. D’abord, Facebook et Instagram

continuent à vous surveiller en ligne et à récolter des données sur
vous. Ils n’utilisent juste pas ces données pour de la publicité. Autre
point: imaginez si toutes les apps vous proposaient de payer pour ne
pas être traqué pour de la publicité: cela coûterait des milliers
d’euros par an à chaque famille. Les budgets modestes ne pourraient
se l’offrir. J’ajoute que le prix de 10 euros par mois et par
abonnement est beaucoup trop élevé par rapport à la valeur de nos
données pour de la publicité. Donc finalement, le consommateur
peut-il ainsi effectuer un choix éclairé en payant de tels
abonnements? Bien sûr que non. C’est une farce.

Aux Etats-Unis, de plus en plus d’Etats envisagent des lois pour

réguler les géants de la tech. Qu’en pensez-vous?

Au niveau fédéral, il est quasiment impossible, au vu de la situation

politique, de passer une loi dans ce secteur. Il y a en effet du
nouveau au niveau des Etats. Mais si chacun d’eux crée des lois
concernant les données, la situation va devenir très compliquée de
manière pratique. Elles seront difficiles à mettre en œuvre et, la
plupart du temps, il n’y a pas la possibilité pour les citoyens d’agir sur
la base de ces lois.

Lire aussi: Faut-il payer un abonnement pour utiliser Facebook et

Instagram sans publicité?
:
 Nous avons communiqué via la messagerie Signal pour fixer cet
entretien. Promouvoir des services respectueux de la vie privée
ne serait-il pas une bonne option?

Peut-être, mais il faut faire attention de ne pas transférer la

responsabilité sur l’utilisateur. Ce n’est pas seulement à lui de tenter
de trouver les services les plus respectueux, c’est d’abord aux
autorités de faire respecter la loi afin que chaque service soit
conforme. D’un autre côté, oui, le Digital Markets Act, qui va tenter
d’ouvrir certaines plateformes, est a priori une bonne chose, en
forçant WhatsApp de s’ouvrir à d’autres messageries, par exemple.
Cela pourrait inciter des consommateurs à envisager d’autres
services. C’est mon espoir.

Informations sur la conférence (gratuite)

: