L’activiste autrichien Max Schrems, qui se bat depuis une quinzaine d’années pour la protection des données personnelles et contre les grandes entreprises du numérique, est un des acteurs clés des événements qui ont conduit à ce que soit infligée à Meta (Facebook, Instagram, etc.), lundi 22 mai, la plus lourde jamais imposée dans le cadre du Réglement général sur la protection des données (RGPD) : 1,2 milliard d’euros, pour avoir transféré des données de citoyens européens vers le sol américain.
Présent à Paris pour les quarante-cinq ans de la Commission nationale de l’informatique et des libertés (CNIL), Max Schrems a répondu aux questions du Monde et rappelé les critiques toujours vivaces adressées à ce texte dont ce jeudi marque le cinquième anniversaire. Aujourd’hui à la tête de l’ONG None of your Business (NOYB), il déplore les faiblesses dans l’application des grands principes votés par les législateurs européens.
Le RGPD fête aujourd’hui ses cinq ans, mais de votre côté cela fait près de quinze ans que vous menez un combat juridique pour la protection des données personnelles. Qu’est-ce qui a fondamentalement changé depuis ?
Nous avons évolué vers une meilleure compréhension générale du droit à la vie privée et de son importance. Il y a quinze ans ceux qui parlaient de « privacy » étaient vus comme des gens bizarres dans une cave, et ça a fondamentalement changé. Aujourd’hui, ce qui doit encore devenir une réalité, c’est la mise en application. La grande promesse du RGPD était que tous ces grands principes que nous avions en réalité depuis les années 1990 allaient enfin être imposés, que ce soit par des amendes, etc. Cette idée avait un grand appui politique à Bruxelles.
Finalement, aujourd’hui chez NOYB plus de 85 % de nos dossiers ne sont présentement pas encore traités par les autorités nationales de protection des données. Il nous faut en moyenne deux à trois ans pour obtenir une décision. En Autriche, par exemple, ils doivent officiellement prendre une décision en six mois : en réalité c’est plutôt un an et demi voire deux ans, et après, il faut aller au tribunal. Là encore c’est la même chose : la plupart des juges voient les lettres « RGPD » sur le dossier et cherchent un moyen de ne pas avoir à s’en charger.
L’autorité de protection des données (DPC) irlandaise, cheffe de file des CNIL européennes, est régulièrement au centre des critiques concernant le RGPD et son application. Pourquoi ?
L’Irlande a un historique de laxisme qui dépasse le cas du RGPD. C’est tout un business model en Irlande, de partie de l’Union européenne, d’en adopter les lois sur le papier, mais de ne pas vraiment les faire respecter. Dans le domaine de la vie privée, c’est vite devenu évident.
Il vous reste 51.12% de cet article à lire. La suite est réservée aux abonnés.