Max Schrems, l’épine dans le pied de Facebook
Ce défenseur de la vie privée a entamé une croisade contre le réseau social. Sa dernière victoire judiciaire est potentiellement lourde de conséquences pour les géants du secteur.
Pour ses 33 ans, Max Schrems ne pouvait espérer plus beau cadeau d’anniversaire. Non content de souffler bientôt ses bougies, il a allumé un feu chez Facebook. La semaine passée, le réseau social et sa filiale Instagram ont menacé de fermer boutique en Europe de peur de s’exposer à une très lourde amende pouvant aller jusqu’à 4 % de son chiffre d’affaires. Derrière cette histoire, un Autrichien au visage juvénile, cheveux en houppette. Schrems s’est lancé, voilà près de dix ans, dans une croisade a priori déséquilibrée : protéger les données des utilisateurs européens en empêchant la firme de Mark Zuckerberg de les envoyer massivement outre-Atlantique. Sa procédure, intentée initialement à Dublin, est remontée jusqu’à la Cour de justice européenne, qui lui a donné raison mi-juillet, jugeant que les citoyens des 27 pays n’avaient aucun moyen d’entamer des recours aux Etats-Unis et se trouvaient soumis, de fait, au programme de surveillance de la National Security Agency. Une atteinte à la Charte des droits fondamentaux de l’Union européenne qui fait peser un risque sur plus de 4 000 acteurs du numérique, Facebook le premier. « Je suis ravi qu’après neuf ans ce groupe arrive à la conclusion qu’il opère dans l’illégalité, explique Max Schrems à L’Express. En réalité, notre marché est si important pour lui et si rentable qu’il devra simplement stocker les informations ici et en transférer le moins possible aux Etats-Unis. » Il ne croit pas un seul instant que l’entreprise se retirera du Vieux Continent, ce que celle-ci a d’ailleurs confirmé. Elle y réalise près d’un quart de son chiffre d’affaires, soit 16,8 milliards de dollars l’an dernier, avec 410 millions d’utilisateurs actifs. Un coup de bluff pour mettre la pression sur l’autorité de régulation irlandaise, censée faire appliquer rapidement cette décision.
Cet épisode, spectaculaire, n’est que le dernier d’une longue série commencée en 2011 à l’université de Santa Clara, dans la Silicon Valley. « A l’époque, j’étais étudiant en Californie et un responsable de Facebook, Ed Palmieri, est venu nous expliquer qu’il ne se souciait guère du droit européen et le réinterprétait à sa guise », se souvient le Viennois. Le propos sonne comme une déclaration de guerre. Le jeune homme adresse aussitôt une demande au réseau social pour obtenir tous les éléments personnels collectés à son sujet, les « J’aime », partages de contenus, commentaires… Au total, la somme des informations relatives à son activité stockée par le groupe de Menlo Park tient sur 1 222 pages, gravées sur un CD. « Nous utilisons toujours ce matériel aujourd’hui dans nos procès », ajoute-t-il. Pourtant, il lui a fallu du temps, une bonne dose de ténacité et des moyens financiers pour structurer sa démarche et faire entendre sa voix devant la plus haute instance judiciaire. « Comme tous les droits fondamentaux, vous devez vous battre chaque jour pour les faire respecter et, après des années de lutte, vous apprenez à mieux fonctionner et à vous améliorer », confie-t-il.
Une première victoire en 2015, déjà devant la Cour de justice européenne contre Facebook, propulse Max Schrems sur le devant de la scène médiatique. Après quatre ans de combat, il arrive à mettre fin aux règles d’encadrement sur le transfert des données entre l’Europe et les Etats-Unis, le Safe Harbor, et oblige Washington à renégocier avec Bruxelles un nouvel accord, appelé Privacy Shield. Mais ce dispositif ne règle rien et l’activiste entame un deuxième round, remporté cet été. « Personne n’a vu venir cet étudiant autrichien et il a montré, avec du temps et de la persévérance, qu’Internet n’était pas une zone de non-droit, un Far West numérique aux mains des Gafam », souligne l’avocat Jean-Baptiste Soufron, ancien secrétaire général du Conseil national du numérique.
« Il a montré qu’Internet n’était pas un Far West numérique aux mains des Gafam »
Les divulgations d’Edward Snowden, ancien consultant de la NSA aujourd’hui réfugié à Moscou, l’ont aidé dans son combat. Plusieurs documents, dévoilés au grand jour, font comprendre que les géants de la Silicon Valley ont pu collaborer avec des programmes de surveillance américains. « Ces révélations étaient courageuses et nécessaires dans une société démocratique et je trouve dommage qu’il n’ait pas obtenu l’asile en Europe », estime Max Schrems.
Un autre événement va le servir dans sa croisade : la création en Europe du règlement général sur la protection des données. Le dispositif fait peser de nouvelles responsabilités sur les entreprises qui collectent des informations, et les expose à des sanctions financières en cas de manquement. Le jeune homme décide de s’appuyer sur ce texte pour créer, en 2017, son organisation Noyb (pour none of your business, soit « ma vie privée ne vous regarde pas »). Il s’entoure d’avocats, de juristes de tous les pays et porte les revendications des citoyens contre Facebook ou Google. A ce jour, plus de 3 500 membres soutiennent cette initiative – particuliers, entreprises, syndicats et même la ville de Vienne – par des dons en forte augmentation : 457 000 euros en 2018, et 1,4 million l’an dernier. « Il dispose de moyens énormes comparativement aux nôtres, note Arthur Messaud, juriste pour la Quadrature du Net. Il nous arrive d’avoir des combats communs, mais notre approche diffère de celle de Max car, pour nous, le problème resterait entier même si les informations étaient conservées ici. Et il faut reconnaître que cette opposition de David contre Goliath, du faible contre le fort, lui a donné une grande visibilité médiatique. »
Les équipes de Noyb se sont étoffées : 15 personnes de différentes nationalités travaillent sur plusieurs dossiers. Le Belge Romain Robert, arrivé en avril après plusieurs expériences, notamment auprès du contrôleur européen de la protection des données, fait partie des dernières recrues. « Les lois existent, mais elles ne sont pas toujours appliquées, juge-t-il. On le voit bien avec l’autorité irlandaise, extrêmement frileuse car le sujet est très sensible pour elle compte tenu des nombreux géants de la Tech implantés dans son pays. »
Noyb ne s’intéresse pas seulement aux puissants groupes américains, mais aussi à ceux qui utilisent leurs technologies pour surveiller les internautes. Mi-août, l’organisation a décidé de poursuivre 101 entreprises européennes, dont six françaises comme Auchan, Leroy Merlin, Decathlon, qui recourent aux outils de traçage Google Analytics et Facebook Connect sur leur site Internet. « Certaines ont résolu le problème mais, à ma connaissance, aucune en France ne l’a encore fait », précise Max Schrems.
Depuis son lieu de prédilection, le café Ritter, situé dans le quartier branché de Mariahilf, à Vienne, le trentenaire continue de rencontrer des visiteurs venus du monde entier. Il utilise toujours Facebook, même si d’autres plateformes lui paraissent plus pertinentes aujourd’hui, comme Twitter, et il n’alimente plus son blog, schre.ms, depuis trois ans. A cette époque, il affirmait n’être encarté dans aucun parti politique, ne pas avoir d’équipe de foot favorite, ni de film culte ou de groupe de musique préféré. A peine indiquait-il avoir un tee-shirt et un jean fétiches. Une rapide recherche sur le plus grand réseau social au monde pour en savoir plus à son sujet permet de trouver un certain Maximilian Schrems. Sur la page de cet homonyme figure un avertissement : not the Facebook guy – « Je ne suis pas le gars de Facebook ». Une reconnaissance.