novembre article 2Protéger sa vie privée sur Internet est une mission quasiment impossible. En permanence, sans même nous en rendre compte, nous laissons derrière nous de multiples traces numériques. Ces données sont interceptées et collectées avec une facilité dérisoire par les géants du web. Du pain béni pour les États et les entreprises privées qui sont susceptibles de les utiliser à des fins de marchandisation ou de restriction de liberté individuelle. Pour décrypter ces enjeux, Démocratie est allé à la rencontre de Max Schrems, un jeune juriste autrichien qui mène un combat démocratique salutaire pour une meilleure protection de nos données.

Un procès particulièrement intéressant sur le plan des libertés individuelles se tient depuis le mois d’octobre au tribunal de première instance de Bruxelles. Il oppose la Commission de la protection de la vie privée (CPVP) au géant du web Facebook. Soit, un remake moderne du mythe de David et Goliath. L’objet de la plainte ? Selon le CPVP, Facebook récolte des données de manière illégale sur les comportements de navigation des internautes. Plus grave encore, cette collecte de données touche également des non-membres de la communauté Facebook. Ce qui représente une violation flagrante de la vie privée. Une véritable « surveillance de masse », ose même la Commission. En fait, toujours selon celle-ci, Facebook met ses technologies 1 à disposition d’exploitants de sites dans le but de récolter des informations sur le comportement des internautes. Le tout sans que ceux-ci s’en aperçoivent. Pour la CPVP, « Facebook laisse son intérêt commercial peser sur les droits fondamentaux des utilisateurs ». Les avocats de la CPVP exigent donc que Facebook mette fin à cette surveillance sous peine d’une amende de 250.000 euros par jour. Des accusations contestées par le plus puissant réseau social du monde qui dit respecter depuis longtemps la législation européenne en la matière. Le verdict, très attendu en Belgique comme partout dans le monde, est prévu pour ce mois de novembre.

1.200 pages de données


Ce type de plainte, d’intérêt collectif, n’est néanmoins pas une première en Europe. Ce même combat, un autre David des temps modernes a commencé à le mener, de manière individuelle, il y a déjà six ans. Max Schrems est un jeune juriste autrichien. Il a 23 ans quand, en 2011, il assiste à une conférence lors de son cursus universitaire aux États-Unis. Pendant celle-ci, un cadre de Facebook vient expliquer aux étudiants comment fonctionnent les lois européennes sur la vie privée. Au cours de son intervention, l’homme prétend que l’utilisation des données de tout membre européen de Facebook est autorisée tant que la personne ne s’y oppose pas. Des propos qui font bondir Schrems. Il décide de prouver à l’entreprise qu’elle ne peut pas faire ce qu’elle veut avec les données personnelles des citoyens européens. Pour cela, il réclame à Facebook la retranscription de l’intégralité de ses propres données personnelles. Malgré la réticence du géant américain, il finit par recevoir un CD-Rom contenant un PDF de 1.200 pages. Il y découvre des informations qu’il avait pourtant supprimées de son compte. Pour lui, il s’agit d’une atteinte évidente à la protection de la vie privée.

Quelques mois après sa découverte, Max Schrems crée avec quelques passionnés «Europe vs Facebook». Ensemble, ils déposent 22 réclamations à la Commission de protection des données, en Irlande, où Facebook est installé. Sans succès dans un premier temps. Mais après de multiples étapes juridiques, ciblant également les autres géants des données numériques (tels Amazon, Yahoo ou Google), c’est le coup de tonnerre : en 2015, la Cour de justice de l’Union européenne déclare invalide le système dit «Safe harbour ». Sans qu’il faille y trouver un lien, les révélations d’Edward Snowden sur la surveillance pratiquée par la NSA2 ont entretemps ébranlé les hautes sphères du pouvoir européen.

Un interminable combat de boxe



Mis en place en 2000, le «Safe harbour» était un partenariat entre l’Union européenne (UE) et les États-Unis qui permettait aux entreprises américaines de transférer des données d’Européens sur leur territoire. Cet accord était censé garantir que les données des Européens étaient protégées à un niveau adéquat lorsqu’elles étaient stockées outre-Atlantique (où cette protection est presque inexistante). Mais en estimant que cette garantie n’était pas suffisante, la Cour de justice de l’Union européenne a donc poussé l’UE, en 2015, à supprimer le «Safe harbour». L’UE l’a ensuite remplacé, en 2016, par le «Privacy shield». Cette nouvelle réglementation, censée mieux encadrer les flux transatlantiques de données personnelles, reste très insatisfaisante pour Max Schrems. Selon lui, «90 % du contenu du texte du «Safe harbour» a été maintenu. On compte à peine 10 % d’apports légaux nouveaux. La pression américaine a tout simplement été gigantesque.»

Mais dans cet interminable combat de boxe, le jeune homme continue tout de même à engranger des points. Dans la droite ligne des actions précédentes intentées, la Haute Cour de justice irlandaise a en effet réclamé, début octobre de cette année, que la Cour de justice de l’Union européenne se prononce à nouveau sur la sécurité des transferts de données personnelles sur Facebook entre l’Europe et les États-Unis. La Cour irlandaise a en effet jugé qu’il était évident qu’il existait «un traitement de données massif et indifférencié par les agences gouvernementales américaines»3.

L’or noir du XXIe siècle


Le jeune homme n’attend toutefois pas les arrêts de la Cour pour reprendre son bâton de pèlerin. Son quotidien, c’est d’interpeller, partout où il le peut, pour que citoyens, mouvements sociaux ou politiques soient conscients de l’enjeu démocratique majeur que constitue cette lutte pour la protection des données des individus. « Les gens doivent se rendre compte qu’une fois collectées par Facebook, Google, etc., les données peuvent être traitées à plusieurs niveaux : les entreprises, les gouvernements ou dans des partenariats publics-privés4. Dans ce cas précis, l’entreprise privée fournit des données à l’acteur public. » Les exemples d’abus sont nombreux. «Au niveau des entreprises privées, elles peuvent avoir des implications financières pour le citoyen. Un exemple? Le cas d’un billet d’avion dont le prix augmente soudainement lors de la réservation parce que les données de crédit ou le besoin de prendre le vol sont connus suite à une interception des données.», nous explique Max Schrems. Pour les GAFA5, la collecte de ces données individuelles est le véritable or noir du XXIe siècle. S’ils ne savent pas encore trop quoi faire de ces données, ils n’ignorent pas qu’elles vont prendre beaucoup de valeur dans un avenir proche. Du côté des pouvoirs publics, l’intérêt est évidemment tout aussi grand. Aujourd’hui, les justifications d’interception de données peuvent par exemple concerner la lutte contre le terrorisme: «Un État peut interdire à un citoyen d’entrer sur son territoire parce qu’un algorithme en a décidé ainsi...», affirme Max Schrems.

Un nouveau règlement en 2018


Par ailleurs, un nouveau règlement sera applicable dès l’année prochaine dans l’UE: le règlement général sur la protection des données (RGPD) 6. Il a notamment pour objectif de prendre en compte les avancées technologiques et réduire les écarts juridiques entre les différentes législations des États membres de l’Union européenne. «Il faut savoir qu’il n’y a qu’une toute petite minorité d’entreprises, uniquement des multinationales, avant tout les GAFA et d’autres du secteur de la télécommunication, qui ne voulaient pas de cette régulation. Elles ont tenté de supprimer l’approche de base de la RGPD, sans y parvenir. Mais elles ont tout de même réussi à affaiblir le texte en de nombreux endroits. La grande majorité des entreprises européennes a, quant à elle, intérêt à un cadre clair, qui permet la sécurité d’investissement et la planification. Les règles peu claires ne servent qu’aux multinationales, qui ont de grands départements juridiques capables de s’engouffrer dans les failles.» Côté positif, il s’agit tout de même de pointer le fait que les pouvoirs de sanction des gendarmes européens de la vie privée ont été largement renforcés. En cas d’utilisation abusive des données individuelles, des amendes allant jusqu’à 20millions d’euros ou 4 % du chiffre d’affaires mondial d’une entreprise pourront être perçues! Une autre source de réjouissance soulignée par Max Shrems concerne plus particulièrement la surveillance: «Le RGPD contient un paragraphe très intéressant, souvent appelé le paragraphe «anti-FISA/ou anti-NSA»7, qui peut mener à plus de protection».

Malgré les quelques avancées du RGPD, Max Schrems craint les difficultés de sa mise en œuvre et de son application «notamment en raison du manque de moyens de nos administrations». Et ce, même si, il faut le souligner, les autorités nationales administratives belges ou françaises indépendantes, semblent parmi les bons élèves de la classe européenne.

Dans sa longue liste de revendications pour contrer la puissance des GAFA, Max Schrems souhaite également que l’Europe s’attaque à leur aspect monopolistique. «Dans le passé, l’UE a été fort active dans d’autres secteurs comme ceux de l’énergie ou des télécoms. Il y a maintenant lieu d’agir au niveau d’Internet! Peut-on y tolérer des monopoles? Surtout si l’objectif d’Internet est celui de la communication et des réseaux ouverts... Ce secteur nécessite une compétition saine, avec, au centre du débat, la question centrale de la protection des données.»

Un combat collectif


Un autre constat inquiète Max Schrems: dans le domaine de la protection des données, l’individu tout seul n’a que peu de leviers d’action. Il est en effet particulièrement compliqué pour tout un chacun d’avoir les comportements numériques adéquats qui permettent une protection efficace des données; de comprendre ce qui se cache derrière chaque site ou application utilisés; d’imaginer ce que l’interception des données peut avoir comme conséquence directe ou future. Pour Schrems, il est donc urgent de collectiviser les forces. «Au niveau européen et collectif, il y a notamment l’European Digital Rights Initiative (EDRI)8, une association d’organisations européennes de droits de l’Homme, qui fait un travail de sensibilisation et de lobbying très important. Malheureusement, en Europe, il n’y a pas de prise de conscience politique et sociétale massive à la hauteur des enjeux. Peu sont ceux qui se rendent compte que le futur de notre économie se basera plus sur le digital et moins sur l’acier et les voitures. Je le répète: l’importance de la régulation d’Internet est immense!» Il s’agit donc de privilégier une action coordonnée qui promeut la véritable mise en œuvre du RGPD. «Car, sans celle-ci, il n’y aura pas de véritable droit!»

Mais Max Schrems sait qu’il ne luttera pas éternellement contre les géants du web. Il s’est donc donné une dernière mission: «Je m’attelle en ce moment, avec d’autres, à la création d’une ONG qui serait une organisation européenne de protection des données, avec un focus très spécifique : la mise en œuvre du droit et des nouvelles possibilités qu’offre le RGPD. Cette ONG faciliterait également l’introduction de plaintes collectives dans le but de réclamer des dédommagements à la hauteur des dégâts.» Six ans après avoir fourbi ses premières armes, il voit la création de cette ONG européenne comme un baroud d’honneur pour pérenniser son action en mode collectif. Avec un objectif avoué: que l’enjeu démocratique que constitue la protection des données individuelles devienne une véritable priorité politique. #

 

 Hôpitaux : la MC monte au front

En octobre dernier, la Mutualité chrétienne a mis en lumière les pratiques de la firme Quintiles IMS, une entreprise américaine qui s’est spécialisée dans la récolte et le traitement des données de santé et médicales. Cette multinationale rachète les données à différents acteurs de soins, hôpitaux, médecins, pharmaciens pour les revendre ensuite à l’industrie du médicament et de l’équipement médical. Un business très lucratif ! « Ces données et études servent principalement à rendre les démarches marketing plus efficaces, mesurer l’impact des campagnes publicitaires, identifier les clients les plus intéressants... bref augmenter les ventes, les bénéfices et... donc les dépenses en soins de santé », s’est inquiété Jean Hermesse, secrétaire général de la MC.

En Belgique, Quintiles IMS a ainsi proposé d’acheter aux hôpitaux, à un prix très bas, les données individualisées anonymisées de leurs patients. Quinze établissements hospitaliers ont signé ce type de contrat. « Même si la confidentialité et la protection de la vie privée sont garanties, nous ne pouvons pas admettre que ces données soient utilisées à leur insu à des fins commerciales et lucratives. D’autant plus que l’enregistrement, la codification et la digitalisation de ces données ont été financés par d’importants moyens publics. Il faut donc de toute urgence réguler et interdire le commerce des données de santé individualisées » conclut Jean Hermesse qui a invité la ministre de la Santé Maggie De Block (Open VLD) à prendre les mesures nécessaires. #

 



1. Par exemple, les boutons « like », de « partage » ou les « cookies ».

2. National Security Agency, l’Agence nationale de la sécurité des États-Unis.

3. http://www.europe-v-facebook.org/sh2/HCJ.pdf , p. 99 et
http://www.europe-v-facebook.org/sh2/PA.pdf

4. Comme dans le cas de Google et de la NSA.

5. Abréviation qui désigne les géants du web : Google, Apple, Facebook, Amazon, etc.

6. http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679

7. Le paragraphe 48 du RGPD, http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679; https://edri.org/files/GDPR_analysis/EDRi_analysis_gdpr_flexibilities.pdf

8. www.edri.org