Invité à l’occasion du Forum international de la cybersécurité 2017, le juriste-activiste autrichien Max Schrems a profité de l’évènement pour revenir sur l’histoire – parfois rocambolesque – de l’invalidation du Safe Harbor et de la genèse de son successeur, le Privacy Shield. Nous l’avons rencontré.
Votre action juridique a mené, en octobre 2015, vers une fin abrupte de Safe Harbor, cet accord qui régulait le transfert des données personnelles entre l’Europe et les Etats-Unis. Que pensez-vous du successeur Privacy Shield, qui le remplace depuis juillet 2016?
Max Schrems : Juridiquement, cet accord est loin d’être stable et les entreprises ne devraient pas lui accorder une trop grande confiance, car l’incompatibilité fondamentale entre les exigences européennes en matière de protection des données personnelles et la réalité de la surveillance de masse américaine est toujours là.
La Cour de justice de l’Union européenne (CJUE) a invalidé Safe Harbor car elle a estimé que la Commission européenne n’avait pas fait l’effort d’analyser le niveau de protection des données européennes transférées aux Etats-Unis.
Maintenant, dans l’accord Privacy Shield, plus de 150 paragraphes expliquent pourquoi les données européennes jouissent d’une protection équivalente aux Etats-Unis. Mais le problème, c’est que les arguments sont mauvais. Au final, la Commission se contente de dire que nos données sont protégées car les Américains disent qu’elles le sont.
Comment une telle argumentation est-elle possible?
Max Schrems : Elle se base par exemple sur l’interprétation de la notion de surveillance de masse. Le gouvernement américain explique qu’il procède à une collecte de données en masse, mais estime qu’il ne s’agit pas d’une surveillance de masse car seule une infime partie des données collectées serait réellement analysée.
Mais une telle définition est aux antipodes du droit européen où la collecte de masse constitue déjà une violation des droits de l’Homme. Et tout est comme ça. L’accord liste de nombreux arguments pour montrer que la protection de données est équivalente aux Etats-Unis, mais ils sont tous creux. Ils ne prouvent rien. Toute cette construction est donc très fragile.
Si l’incompatibilité est tellement évidente, pourquoi la Commission européenne a-t-elle signé un tel accord?
Max Schrems : Il fallait avoir le Privacy Shield pour des raisons économiques et politiques. C’était aussi un coup de force de la part des Américains qui voulaient un accès au marché européen sans se plier aux normes européennes. Je connais les juristes qui ont rédigé l’accord. Ils ont eu la mission de pondre un texte coûte que coûte.
La commission Juncker le voulait et l’industrie aussi. D’ailleurs, la genèse de l’accord était très chaotique. Le 31 janvier 2016, à l’issue d’une deadline de négociation, le New York Times annonce qu’il n’y avait aucun accord. Cette information provenait de la part des négociateurs américains.
Je pense que les responsables européens, constatant que le gouvernement américain ne faisait aucun effort, ont décidé de partir de la table de négociation. Le jour d’après, coup de théâtre, la commissaire Jourava, poussée sans doute par Juncker, a annoncé qu’il y avait un deal. La pression américaine était tellement forte que la commission a finalement cédé. Et le texte n’est arrivé qu’un mois plus tard.
Allez-vous redescendre dans l’arène pour combattre le Privacy Shield?
Max Schrems : Franchement, je n’ai pas envie. Je suis déjà impliqué en Autriche dans une action collective contre Facebook. Nous estimons que l’usage commercial que le réseau social fait de nos données n’est pas légal et réclamons 500 euros de dommages et intérêts par personne.
Nous avons recruté les plaignants au travers d’une application mobile où il fallait se loguer par Facebook Connect. Au bout de six jours, nous avons eu 25.000 signatures. C’est énorme. Il a fallu stopper l’application, sinon cela faisait trop de personnes. Selon Facebook, cette plainte n’est pas recevable. C’est désormais à la Cour de justice de l’Union européenne de trancher.
Mais alors, qui va se lancer contre le Privacy Shield?
Max Schrems : J’espère que d’autres vont le faire. Deux demandes d’annulation ont été déposées contre la décision de la Commission européenne relative au Privacy Shield: celle de la Quadrature du Net, en France, et celle de Digital Rights, en Irlande.
Malheureusement, elles ne sont pas très bien engagées. Le problème, c’est qu’une telle demande ne peut se faire que dans les deux mois qui suivent et elle n’est valable que si l’auteur est concerné par cette décision. Mais ce n’est pas vraiment le cas pour une association qui ne dispose pas d’un droit à la protection des données personnelles. Elle n’est pas une personne. C’est donc à un particulier de s’y coller.
A mon avis, ce qu’il faudrait faire, c’est que quelqu’un s’adresse à un tribunal local et porte plainte contre un géant du Net américain – Google par exemple. Cette personne dira que ce géant n’a pas le droit de transférer ses données personnelles aux Etats-Unis car l’accord Privacy Shield est totalement bidon et ne protège en rien sa vie privée. Pour des raisons de compétence, cette plainte va automatiquement remonter à la Cour de justice de l’Union européenne.
Et que pensez-vous du nouveau règlement européen sur les données personnelles, qui s’appliquera en 2018 ?
Max Schrems : Le grand changement, c’est que les entreprises pourront être punies en cas de manquements vis-à-vis de la protection des données personnelles, et cela jusqu’à hauteur de 4 % de leur chiffre d’affaires annuel mondial ou 20 millions d’euros.
De plus, les entreprises pourront être contraintes à indemniser toute personne au titre du préjudice moral, y compris dans le cadre d’actions collectives. Imaginez qu’une base de données avec des millions d’utilisateurs soit volée et que chaque utilisateur reçoive 500 euros. Le montant peut rapidement devenir gigantesque.
Quels sont vos futurs projets?
Max Schrems : Justement, j’envisage de créer une association d’envergure européenne qui aidera les utilisateurs dans leurs recours juridiques face aux géants du Net, et notamment dans le cadre de recours collectifs.
Basée à Vienne, elle regrouperait des activistes, des juristes et des informaticiens. Il faut maintenant trouver le financement pour démarrer. A terme, je pense qu’une telle structure pourrait s’autofinancer. Il y a beaucoup de cas qui sont faciles à gagner car il y a beaucoup de manquements dans la protection des données personnelles..
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.