INTERVIEW - L'étudiant autrichien a attaqué Facebook et obtenu l'annulation de l'accord qui régissait les échanges de données avec les États-Unis. Il réclame des plus grandes protections des données des citoyens européens.

Max Schrems n'est pas un étudiant comme les autres. Ce doctorant autrichien a porté plainte en 2011 contre Facebook pour conservation abusive de données sur ses utilisateurs. Cette procédure a mené à l'invalidation du Safe Harbor, l'accord qui régissait les échanges de données entre l'Europe et les États-Unis, et un débat mondial sur la surveillance des activités en ligne par le gouvernement américain. Son remplaçant, le Privacy Shield, est déjà attaqué par plusieurs organisations de défense de la vie privée. Son application est aussi menacée par Donald Trump, nouveau président des États-Unis, qui réclame une surveillance accrue des non-citoyens américains en ligne. De son côté, Max Schrems mène un nouveau combat contre Facebook pour faire reconnaître une forme de plainte collective au niveau européen. Sa demande doit bientôt être examinée par la Cour européenne de justice. Le Figaro l'a rencontré pour discuter de cette actualité chargée.

LE FIGARO .- Vous estimez que le Privacy Shield n'apporte presque aucune amélioration au Safe Harbor. Pourquoi?

MAX SCHREMS. - Pour moi le Privacy Shield est plus ou moins comme le Safe Harbor, avec quelques ajouts en plus. Le Safe Harbor a été invalidé par la Cour de Justice européenne, car on ne contrôlait pas suffisamment les garanties offertes par les États-Unis pour protéger nos données. Le Privacy Shield se contente d'affirmer que ces protections sont équivalentes à celles en vigueur en Europe. C'est comme si un prof donnait une mauvaise note à l'un de ses élèves et qu'il se contentait d'ajouter trois lignes à son devoir! C'est pour cette raison que je pense que le Privacy Shield est susceptible d'être attaqué en justice, ou par les autorités de défense des données.

Vous pensez que votre combat n'a servi à rien?

Pas du tout. J'étais déçu que la Commission européenne n'exploite pas davantage le jugement. Ils ont abandonné l'idée de faire plier les États-Unis, alors qu'ils auraient dû aller bien plus loin. Le gouvernement américain a fait pression sur l'Europe. Obtenir des contrats intéressants pour les constructeurs automobiles est plus important que le Privacy Shield. Nous aurions pu attendre un peu plus, laisser les autorités de protection des données faire leur travail. Ce n'est pas comme si Internet risquait d'exploser en deux jours! Mais je suis très heureux du jugement en soi. Il pose les bases pour limiter la surveillance de n'importe quel État. Cette décision ne s'applique pas qu'aux États-Unis.

Est-ce que vous comptez attaquer le Privacy Shield?

J'espère que quelqu'un d'autre s'en occupera. Je ne prépare rien de particulier. Deux procédures sont en cours contre le Privacy Shield, déposées par la Quadrature du Net et Digital Rights (associations française et irlandaise de défense des droits en ligne, NDLR). Je comprends que les médias avaient besoin d'une histoire sympa pour traduire des enjeux de manière concrète. J'étais l'exemple parfait et cela a permis de médiatiser un sujet complexe. Mais ça a aussi un peu détourné le message. On a transformé mon initiative en un combat contre l'Amérique et ses entreprises, alors que je m'en fiche. Maintenant c'est fait et je veux passer à autre chose.

Pensez-vous que le grand public se préoccupe vraiment de sa vie privée en ligne?

C'est un argument classique du débat sur la protection des données: les gens font le choix de ne pas s'en préoccuper. Je l'entends, mais je pense aussi que ce n'est pas une situation spécifique à la vie privée et au numérique. Les gens n'ont pas le temps de comprendre les tenants et les aboutissants du débat sur l'énergie nucléaire, par exemple. Ils se contentent d'utiliser l'électricité. De la même manière, ils ne vont pas chercher à comprendre comment une application marche et ce qu'elle collecte sur eux. Même certains experts en vie privée n'en sont pas capables tellement c'est compliqué! Je ne dis pas que l'éducation n'est pas une chose importante, mais ce n'est pas comme ça que l'on remportera ce débat. C'est très américain de dire: «Il suffit d'éduquer les gens puis de leur laisser la liberté de choisir.» Ils mettent une étiquette «attention danger!» sur un produit dangereux, et après c'est à nous de choisir si nous voulons l'utiliser ou non. Cette approche est hypocrite. Si quelque chose pose vraiment problème, autant le modifier. Une personne travaille en moyenne dix heures par jour, et veut juste pouvoir aller sur Internet en rentrant chez elle. Elle n'a pas le temps de comprendre et de protéger sa vie privée. Nous devons retirer la responsabilité de ce choix aux utilisateurs, qui ne peuvent pas l'assumer, et la redonner aux entreprises.

Qui doit nous protéger?

L'Europe. Dans un monde idéal, nous aurions un accord mondial entre tous les pays pour déterminer ce qu'est véritablement la vie privée en ligne. Mais cela n'arrivera jamais. C'est pour cela que le nouveau règlement des données, qui sera appliqué dès 2018, est si important. Des amendes très élevées vont pouvoir être appliquées au niveau européen. Il faut aussi permettre aux individus de porter plainte plus facilement et de le faire en groupe. Les recours collectifs sont des outils très puissants. Des nouveaux arguments de plainte vont être reconnus, comme celui du préjudice moral. J'aimerais enfin créer une organisation européenne de protection des données, qui réunissent des développeurs, des juristes, pour défendre les droits de tous les consommateurs européens en ligne. C'est le dernier projet que j'aimerais mener dans le domaine de la vie privée.