Max Schrems: où en sommes-nous après 5 ans de RGDP?

Lundi 11 mars, à l’École Polytechnique Fédérale de Lausanne (EPFL), j'ai eu l'occasion d'écouter Max Schrems, avocat autrichien et activiste de renom pour la protection de nos données personnelles. Son combat contre les transferts de données personnelles vers les États-Unis a marqué un tournant dans la manière dont nous envisageons la vie privée à l'ère numérique. L'invalidation des accords Safe Harbor, puis du Privacy Shield par la Cour de justice de l'Union européenne, grâce à son travail, a mis en lumière la fragilité de notre sphère privée dans le monde virtuel. Les combats de Schrems ne se sont pas arrêtés là. En fondant l'association NOYB (None Of Your Business), il a mis en place un outil capable d'analyser le respect de notre vie privée sur les sites web, un premier pas pour forcer tous les sites web européens à respecter la législation en matière de protection des données. Cette action a créé un effet domino, poussant certains éditeurs de sites web à revoir leurs pratiques concernant les cookies et autres traceurs.

Où en sommes-nous aujourd'hui?

Mais alors, où en sommes-nous réellement aujourd'hui dans la protection de nos données personnelles? La distinction entre sécurité et protection des données est cruciale. En lisant les premiers articles de ce blog, vous constaterez que j'ai toujours été un fervent défenseur du cloud computing pour ses innombrables avantages, notamment en termes de sécurité des données. Cependant, la sécurité ne rime pas forcément avec protection de nos données personnelles. Le cloud, aussi sécurisé soit-il, ne garantit pas le respect de la vie privée si les données y sont mal gérées.

La problématique de la protection des données est une catastrophe à évolution lente (slow disaster en anglais). Nos élus politiques, souvent peu impliqués sur le sujet, ne voient pas l'urgence d'agir. Et pourtant, la législation européenne, à travers l'article 8 de la Charte des droits fondamentaux de l'Union européenne (alinéa 1: Toute personne a droit à la protection des données à caractère personnel la concernant.) et le RGPD, ainsi que la révision complète de la loi fédérale sur la protection des données en Suisse (entrée en vigueur en septembre 2023), montrent une volonté claire de renforcer la protection des données personnelles.

Cependant, après plus de cinq ans d'application du RGPD, force est de constater que les défis restent nombreux. De l'obtention d'un consentement clair et éclairé de la politique des pop-up de cookies, souvent difficiles à refuser, en passant par d'autres pratiques douteuses de certains géants de la tech montrent que le chemin vers une réelle protection de la vie privée est encore long. Les cookies, présentés comme indispensables, polluent une majorité de sites web. Les abonnements, pour ne plus avoir de publicité ciblée, ne sont que la poudre aux yeux, car nous ne savons pas ce que les géants de la tech font de nos données personnelles. Le principe de proportionnalité et de minimisation, qui consistent à ne récolter que les données strictement nécessaires pour le traitement, est très souvent bafoué.

La justice fasse à l'évolution constante de la technologie, peine à protéger efficacement nos données. Les moyens quasi illimités des multinationales, leur armée de consultants et de lobbyistes, rendent la tâche ardue. Aux États-Unis, le risque d'amende est souvent calculé comme un simple coût d'opportunité, rendant la mise en conformité optionnelle. Après avoir fait de l'optimisation fiscale, les multinationales de la tech choisissent également où implanter leur siège social en fonction du risque d'être amendé pour non-respect de la législation en matière de protection des données. Par exemple, l'Irlande publie, par an, autant de décisions de justice en matière de protection des données que son homologue espagnol en fait en une seule journée. Dans d'autres pays, il est très difficile de faire un recours contre une décision de justice en la matière.

Que faire?

Alors, que faire? Sommes-nous condamnés à être les éternelles victimes de cet écosystème numérique? Je reste convaincu que non. L'action de Max Schrems et de NOYB, ainsi que les efforts législatifs, est une lueur d'espoir. Mais il est impératif que nous, en tant qu'utilisateurs, prenions aussi le taureau par les cornes. En nous informant, en étant vigilants et en exigeant le respect de notre vie privée, nous pouvons contribuer à changer les choses. Seriez-vous prêt à quitter les GAFAM, comme je l'ai fait pour ce blog (sans cookies), pour protéger votre vie privée? Je vous invite à partager vos expériences et opinions sur la protection des données dans les commentaires. Ensemble, explorons les pistes d'actions possibles pour défendre notre vie privée dans ce monde numérique en constante évolution.

Cet événement était organisé par le C4DT.