RGPD : Max Schrems et Edward Snowden critiquent son efficacité

Quelle réalité pour la protection des données personnelles sous l’ère RGPD ? Edward Snowden et Max Schrems en ont discuté sous le prisme transatlantique.

Le RGPD souffre-t-il d’un problème de crédibilité ? Max Schrems comme Edward Snowden répondent par l’affirmative. On connaît le premier pour ses actions en justice qui ont abouti à l’annulation du Safe Harbor, puis du Privacy Shield. Le second, pour ses révélations concernant les pratiques du renseignement américain. Ils ont échangé en public, ce 26 octobre, à l’initiative de l’agence marketing allemande truffle.one. Et avec le soutien d’une coalition d’entreprises franco-allemande – avec Sendinblue d’un côté ; Ionos, RESMEDIA et Streamdiver de l’autre.

« En Europe, il y avait une législation en place depuis 1995, mais tout le monde l’a ignorée », avance Max Schrems. Il s’agissait en l’occurrence de la directive « relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ».
« C’est [dans cette ignorance] que nous avons développé nos infrastructures IT », constate l’activiste autrichien, pointant là le « poids de l’existant » à l’heure où le RGPD a succédé à cette directive.

Avec ce nouveau texte, « on nous promettait que cela allait devenir sérieux », poursuit l’intéressé (en photo ci-dessous). « Mais ça ne s’est pas matérialisé comme on l’imaginait. […] Il y a des autorités de protection des données personnelles qui veulent faire leur travail, mais qui ne disposent pas nécessairement des financements adéquats. Ou qui rencontrent des problèmes pour appliquer la loi », regrette-t-il. Et d’ajouter : « D’autres n’y comptent pas. Notamment le régulateur irlandais. […] Et les entreprises s’adaptent. Google, par exemple, a (ré)installé son siège social sur place. »

Max Schrems

Edward Snowden dénonce quant à lui des régulateurs « terrifiés » d’imposer les amendes dont les contrevenants au RGPD sont censés pouvoir écoper. Il qualifie de « frustrante » la « stratégie de négociation sans fin » à laquelle se livre l’Union européenne. Et se demande « quelle ligne [nous devons] franchir pour commencer à voir tomber effectivement ces sanctions ».

Congrès américain, Cnil européennes… Comment faire bouger les lignes ?

Si les Cnil se montrent si frileuses à « aller au combat », c’est aussi, affirme Max Schrems, parce qu’une « grande partie de leurs effectifs n’ont jamais intenté d’actions en justice ». « Si vous ne pouvez jamais obtenir une décision [des tribunaux], même la meilleure des lois ne sert à rien », résume-t-il.

Edward Snowden

Edward Snowden (photo ci-dessus) lui fait écho : « Si violer des lois n’entraîne pas de conséquences, il n’y a pas de responsabilité. » Le lanceur d’alerte fait un parallèle avec la situation aux États-Unis. Plus particulièrement aux pratiques de surveillance. Les plaintes déposées à la suite de ses divulgations en 2013 portent sur des programmes institués en 2001… et n’ont résulté en un jugement que l’an dernier, déplore-t-il.

Quant aux sanctions… « Combien de représentants du Gouvernement sont allés en prison [ou ont ne serait-ce que dû se défendre devant les tribunaux] pour surveillance de masse ? Aucun ! »

Max Schrems acquiesce. Et fait remarquer que la Cour de justice de l’Union européenne elle-même a souligné cet état de fait. Il pose une question : comment obtenir une décision du Congrès sur les droits des citoyens étrangers ? Car c’est bien là l’enjeu. Autant le renseignement U.S. doit suivre des procédures « post-11-Septembre » lorsqu’il vise une cible d’intérêt sur son territoire national, autant il n’en existe « quasiment pas » lorsque cette cible se trouve ailleurs.

« C’est votre problème, pas le nôtre »

Peut-être l’incitation viendra-t-elle des entreprises américaines, suggère le juriste. Pour quel motif ? Le risque de perte – voire la perte effective – de clients. « À l’industrie européenne de générer une pression de marché dans ce sens », lance Max Schrems.

Même son de cloche chez Edward Snowden : « À l’Europe de rendre illégale les pratiques indésirables de ces monopoles américains. Ils trouveront un moyen de modifier leur comportement… ou la loi nationale. » « Vouloir négocier des accords de type Privacy Shield est une erreur, assure-t-il. Il faut leur dire ‘C’est votre problème, pas le nôtre’. »

S’attardant sur l’arsenal des autorités américaines, l’ancien consultant de la  NSA n’omet pas l’argument extraterritorial. Il mentionne aussi la définition restreinte de l’espionnage économique : « uniquement lorsque vous récupérez des informations [à propos d’une organisation étrangère] pour les donner aux concurrents américains ». Elle ne s’applique donc pas s’il existe ne serait-ce qu’un degré de séparation. Par exemple, si ces informations résultent en une décision politique.

Si les GAFAM s’adaptent au puzzle juridictionnel européen, les activistes y ont aussi intérêt, explique Max Schrems. Il en veut pour preuve une procédure d’appel en Autriche, contre une décision du régulateur national. Elle lui a coûté l’équivalent de 25 $, sans avocat, assure-t-il. Tandis que le dossier Schrems II, poussé devant la justice irlandaise, aura consommé 10 millions €.

Le chiffrement, oui mais…

Face à l’omnipotence des services de renseignement, Snowden et Schrems se retrouvent sur la question du chiffrement.

La position du premier est radicale : « Il n’y a aucune raison d’avoir des communications non chiffrées. C’est de la négligence. » Cela ne suffit pas, ajoute-t-il : il faut garder le contrôle de ses clés. Ou tout au moins ne pas les laisser à une société soumise aux lois U.S. Le second est sur la même ligne. Et dit, à ce sujet : « Facebook et Google disent que leurs disques durs sont chiffrés, que leurs sites utilisent TLS… C’est littéralement ce qu’ils essayent de vendre, en Europe, comme du chiffrement ».

Edward Snowden s’arrête sur le cas Facebook. Pour le moment, l’entreprise « est à la fois le marché et la place de marché », assène-t-il. « Ils ne vendent pas simplement les pubs, mais aussi les yeux qui regardent ces pubs. Quand vous possédez ainsi les deux parties de l’équation, vous êtes sur une intégration verticale. On peut s’interroger sur l’acceptabilité de cela… ».

La solution ? User du droit à la concurrence. Peut-être pas au point de démanteler l’entreprise (faute de disposer des moyens adéquats), mais en lui imposant de dissocier l’activité publicitaire.

« Des opérateurs télécoms aux fournisseurs de gaz, en Europe, historiquement, on a ouvert les réseaux bien plus qu’aux États-Unis, se félicite Max Schrems. Cette tradition doit désormais aussi s’appliquer à ces géants ». Avec, en toile de fond, une logique de marché ouvert fondé sur des standards, de logiciel comme de matériel. « Si Facebook et Google veulent jouer, très bien, mais ils devront suivre les règles de ce marché commun », résume l’activiste.

Photo d’illustration © privacy provided