«Les géants de la tech sont très hypocrites»
L’avocat autrichien Max Schrems, pourfendeur des GAFAM, sera de passage lundi à l’EPFL pour une conférence publique. Il évoque son long et ardu combat pour faire respecter les lois touchant à nos données personnelles
C'est une personnalité majeure du monde des données que reçoit l'EPFL lundi soir prochain: Max Schrems. Depuis quinze ans, cet avocat autrichien mène une lutte sans merci face aux géants de la tech qui ne respectent ni leurs utilisateurs, ni les lois. Avec à la clé des succès majeurs: Max Schrems a obtenu notamment en 2023 la condamnation en Europe de Meta, maison mère de Facebook, à une amende de 1,2 milliard d'euros pour transfert illégal de données vers les Etats-Unis.
A la tête de son association de protection de la vie privée NOYB (None Of Your Business), Max Schrems a obtenu aussi plusieurs victoires devant la Cour de justice de l'Union européenne. Avant qu'il ne vienne faire un bilan lundi soir du Règlement général sur la protection des données (RGPD), l'avocat a accordé un entretien au Temps.
Sentez-vous que de plus en plus de personnes font attention à leur vie privée? Oui, désormais chacun a le sentiment qu'il a quelque chose à cacher, et cela de manière positive, et qu'il a intérêt à protéger sa vie privée. De plus en plus de gens pensent que les autres sont assez idiots pour partager beaucoup trop d'informations personnelles en ligne, alors qu'eux se protègent. Donc oui, je pense que la situation a évolué, de moins en moins d'internautes pensent qu'ils n'ont rien à cacher.
Vous êtes souvent présenté comme un activiste. Ce terme vous convient-il? Je suis avant tout un avocat. Etre activiste, c'est essentiellement agir sur le terrain politique via des campagnes publiques. Mon travail, avec mon association, est de faire appliquer des lois, de contraindre les géants de la tech à appliquer les règles. Les activistes sont importants pour faire comprendre aux gens ce qui se passe.
Cela fait bientôt quinze ans que vous luttez pour faire appliquer ces lois. Quel est votre bilan? Dans les cas qui ont été tranchés par la justice, nous avons eu beaucoup plus de victoires que de défaites. Mais notre plus gros problème, ce sont les autorités qui n'appliquent tout simplement pas ces lois. Des plaintes ne sont carrément pas traitées. Nous n'allons en justice que lorsque nous avons des preuves manifestes, claires et évidentes de violation de la loi de la part des géants du numérique. De manière générale, l'Europe crée des lois et souvent ce sont les Etats membres qui doivent les faire appliquer et qui ne le font tout simplement pas. Pourquoi? Parce qu'ils protègent parfois des intérêts nationaux, parce qu'ils n'ont pas de volonté politique, pas assez de connaissances ou de moyens.
Ce dernier point est important: les autorités de régulation semblent largement sous-dotées… Nous avons comparé les moyens que possèdent les autorités de protection des données en Espagne et en Irlande [là où se trouvent la plupart des sièges européens des géants de la tech, ndlr]: leurs moyens sont comparables. Mais le régulateur irlandais publie autant de décisions par année que son homologue espagnol le fait par… jour. Ce n'est donc pas une question de moyens, c'est une question de volonté.
En face, le comportement des entreprises évolue-t-il? Nous venons de publier une enquête s'adressant aux responsables de la protection des données dans de nombreuses entreprises. Nous leur avons demandé ce qui convaincrait leur directeur de se conformer aux lois. Leur réponse: uniquement des amendes élevées. Et c'est exactement ce que les autorités ne font pas. Bien sûr, on voit des pays, mais aussi la Commission européenne, infliger des amendes importantes une ou deux fois par an. Mais c'est avant tout pour le show. L'immense majorité des entreprises qui ne respectent pas la loi ne sont pas inquiétées. Nous estimons que 74% des entreprises ne respectent pas le RGPD. Imaginez trois quarts des entreprises de construction ou pharmaceutiques qui n'obéiraient pas à la loi: ce serait impensable.
Parlons du RGPD. Cinq ans après son arrivée, quel bilan en faites-vous? L'Union européenne est très forte pour créer de nouvelles lois, qui sont en grande partie bien conçues, mais très faible pour les faire appliquer. De manière générale, le RGPD est un bon règlement. Mais il est très peu appliqué. Ce qui m'intéresse avant tout, c'est l'efficacité, notamment de nos actions en justice. Souvent, les autorités de régulations nationales nous contestant même le droit de porter des actions en justice, alors que nous sommes légitimés à le faire, en avançant des arguments absurdes. Certaines autorités passent davantage de temps à combattre nos plaintes qu'à les traiter, afin de s'en débarrasser le plus tôt possible. C'est le monde à l'envers. En cinq ans, nous n'avons jamais vu une autorité nationale frapper à la porte d'un géant de la tech et demander des preuves, un accès au code informatique, à de la documentation. Jamais. Ces autorités se contentent des lettres que leur envoient ces entreprises. C'est totalement ridicule.
Il y a de quoi être pessimiste… En face des autorités de régulation, il y a des multinationales avec des moyens quasi illimités, des armées de consultants et d'avocats… En général, vous vous conformez à la loi car vous savez qu'il risque d'y avoir des sanctions, vous ne conduisez donc pas trop vite sur la route. Mais pas dans le domaine de la protection des données. La majorité des entreprises savent qu'il n'y a aucun risque réaliste qu'elles soient sanctionnées en cas de mauvais comportement. Dans ces conditions, comment voulez-vous que les responsables des données au sein d'entreprises soient écoutés par leur direction? Les dirigeants leur répondent: «Super, merci pour vos conseils, mais nous n'allons pas appliquer ce que vous nous conseillez.»
Malgré tout, les géants de la tech ont-ils modifié leurs pratiques? Non. Ces entreprises, que ce soit Apple ou Meta, ont une approche très agressive des lois européennes, cherchant tous les arguments pour les contourner. Elles savent très bien que même si des amendes devaient in fine être décidées, elles ne correspondraient qu'à une fraction du chiffre d'affaires réalisé durant toutes les années passées à combattre ces décisions. C'est aussi simple que cela. D'un autre côté, oui, ces multinationales sont davantage transparentes sur les données récoltées et traitées. Car cela ne cause aucun tort à leurs affaires. Vous avez beau être transparent, si vous continuez à mal agir et à piller les données de vos utilisateurs en contournant la loi, cela ne sert à rien… On voit aussi ces sociétés transférer toute la responsabilité aux utilisateurs en leur disant «vous n'avez qu'à lire les conditions générales, tout y est écrit»… L'hypocrisie des empires du numérique sur nos données est sans limite.
Depuis peu, il est possible d’utiliser Facebook et Instagram sans publicité, mais en payant un abonnement. Pourquoi est-ce une mauvaise idée selon vous? C'est même la pire des choses. D'abord, Facebook et Instagram continuent à vous surveiller en ligne et à récolter des données sur vous. Ils n'utilisent juste pas ces données pour de la publicité. Autre point: imaginez si toutes les apps vous proposaient de payer pour ne pas être traqué pour de la publicité: cela coûterait des milliers d'euros par an à chaque famille. Les budgets modestes ne pourraient se l'offrir. J'ajoute que le prix de 10 euros par mois et par abonnement est beaucoup trop élevé par rapport à la valeur de nos données pour de la publicité. Donc finalement, le consommateur peut-il ainsi effectuer un choix éclairé en payant de tels abonnements? Bien sûr que non. C'est une farce.
«Vous avez beau être transparent, si vous continuez à mal agir et à piller les données de vos utilisateurs en contournant la loi, cela ne sert à rien»
Aux Etats-Unis, de plus en plus d’Etats envisagent des lois pour réguler les géants de la tech. Qu’en pensez-vous? Au niveau fédéral, il est quasiment impossible, au vu de la situation politique, de passer une loi dans ce secteur. Il y a en effet du nouveau au niveau des Etats. Mais si chacun d'eux crée des lois concernant les données, la situation va devenir très compliquée de manière pratique. Elles seront difficiles à mettre en oeuvre et, la plupart du temps, il n'y a pas la possibilité pour les citoyens d'agir sur la base de ces lois.
«Imaginez trois quarts des entreprises de construction ou pharmaceutiques qui n’obéiraient pas à la loi: ce serait impensable»
Nous avons communiqué via la messagerie Signal pour fixer cet entretien. Promouvoir des services respectueux de la vie privée ne serait-il pas une bonne option? Peut-être, mais il faut faire attention de ne pas transférer la responsabilité sur l'utilisateur. Ce n'est pas seulement à lui de tenter de trouver les services les plus respectueux, c'est d'abord aux autorités de faire respecter la loi afin que chaque service soit conforme. D'un autre côté, oui, le Digital Markets Act, qui va tenter d'ouvrir certaines plateformes, est a priori une bonne chose, en forçant WhatsApp de s'ouvrir à d'autres messageries, par exemple. Cela pourrait inciter des consommateurs à envisager d'autres services. C'est mon espoir. ■
Conférence avec Max Schrems, lundi 11 mars à 17h30, ouverture des portes 17h, au Forum Rolex de l’EPFL , entrée libre sur inscription, conférence en anglais