Max Schrems
Role dans la commission : Personne auditionnee
Biographie
Maximilian « Max » Schrems, ne en octobre 1987 a Salzbourg (Autriche), est un juriste et militant autrichien de la protection des donnees personnelles, mondialement connu pour ses actions judiciaires contre Facebook et contre les transferts de donnees vers les Etats-Unis.
Il etudie le droit a l'universite de Vienne. Lors d'un semestre d'echange a la Santa Clara University (Silicon Valley), il redige un memoire sur la meconnaissance du droit europeen de la protection des donnees par Facebook. Exerçant son droit d'acces, il obtient de l'entreprise plus de 1 200 pages de donnees le concernant, qu'il publie (anonymisees) sur europe-v-facebook.org, et depose ses premieres plaintes aupres de l'autorite irlandaise de protection des donnees des 2011.
Deux affaires portees en son nom devant la Cour de justice de l'Union europeenne (CJUE) ont marque le droit europeen :
- Schrems I (arret du 6 octobre 2015) : invalidation de l'accord « Safe Harbor » encadrant les transferts de donnees UE-Etats-Unis.
- Schrems II (arret du 16 juillet 2020) : invalidation du « Privacy Shield » qui lui avait succede, la CJUE estimant que la surveillance americaine ne garantissait pas une protection adequate.
En 2017, il cofonde et preside noyb (« None Of Your Business » – European Center for Digital Rights), association basee a Vienne qui mene des actions strategiques en justice et des campagnes pour l'application du Reglement general sur la protection des donnees (RGPD). Ses fonctions declarees dans le cadre de l'audition correspondent a cette organisation (« fondateur de l'association noyb »). Ses travaux les plus recents portent notamment sur l'application du RGPD a l'intelligence artificielle (exactitude et rectification des donnees personnelles traitees par les modeles).
Dans la commission
Auditionne (M. Max Schrems), Schrems tient un discours centre non sur l'insuffisance du droit europeen mais sur le refus de l'appliquer, et sur la denonciation d'une souverainete de façade.
- Sovereignty washing. Sa these la plus tranchante : les offres dites « souveraines » de la Big Tech ne sont souvent qu'un habillage. Le « nouveau terme a la mode [...] est ce qu'on appelle le soveregnity washing, c'est-a-dire le fait de pretendre qu'une solution est souveraine quand, en realite, on se contente d'utiliser un bon vieux serveur americain en le parant d'un drapeau europeen » (M. Max Schrems). Il souligne que ces memes entreprises « sont en revanche capables de proposer des solutions souveraines [...] en Chine : des lors qu'un pays s'attache a faire reellement appliquer ses lois, la souverainete n'est plus un probleme » (M. Max Schrems).
- Extraterritorialite et dependance. Il rappelle que « les Etats-Unis ont ainsi un acces total a toutes les donnees qui sont soit la propriete d'un fournisseur de cloud americain, soit sous sa garde ou sous son controle, sans limite geographique » (M. Max Schrems), et deplace le risque de la surveillance vers l'embargo numerique : « l'armee danoise s'inquiete qu'en cas de conflit avec les Etats-Unis, ceux-ci ne les privent de l'acces aux services numeriques de Microsoft, AWS [...] ou Google » (M. Max Schrems).
- Non-application de la loi. Pour lui, le RGPD est bon mais reste lettre morte : « moins de 1,3 % des plaintes debouchent sur une amende » (M. Max Schrems) et, selon un media public irlandais, « seulement 0,3 % des montants dus ont reellement ete payes » (M. Max Schrems). Il ironise : « C'est comme si une agence de lutte contre la drogue declarait : "Ce serait drole de faire quelque chose pour empecher le trafic de cocaine, non ?" » (M. Max Schrems).
- Irlande et Luxembourg, guichet unique. Il accuse deux Etats membres de saboter le droit europeen : « l'Irlande et le Luxembourg creent des failles de plus en plus nombreuses dans le droit europeen – pas seulement en matiere de droit du numerique, mais aussi en matiere de fiscalite et de droits sociaux » (M. Max Schrems), citant l'embauche de l'ancienne directrice de la DPC irlandaise par le cabinet defendant Meta.
- Approche par les risques et lobbying. Il critique l'« approche fondee sur l'analyse des risques », qui reviendrait a laisser les entreprises « comme des enfants dans un magasin de bonbon, qu'on autoriserait a definir combien de sucre il est souhaitable [...] de consommer » (M. Max Schrems) ; ceux qui en beneficient « ce sont les entreprises de la Big Tech, car elles disposent des services de puissants cabinets d'avocats » (M. Max Schrems).
- IA et donnees personnelles. Il constate que « tous les regulateurs europeens, y compris la Cnil [...] ont cede, estimant qu'il fallait tout autoriser, de peur de prendre du retard » (M. Max Schrems), face a « un tsunami qui aspire toutes les donnees » (M. Max Schrems), et cite une affaire ou l'IA d'OpenAI attribue faussement des crimes a un ressortissant norvegien.
- Echelle et recours. Il plaide pour une reponse « au niveau europeen [...] seulement a cette echelle qu'il existe un marche suffisamment large » (M. Max Schrems), et voit dans la justice le dernier levier : « nous estimons que la CJUE est probablement notre seul espoir actuellement » (M. Max Schrems).
Sources
- https://en.wikipedia.org/wiki/Max_Schrems
- https://en.wikipedia.org/wiki/NOYB
- https://euobserver.com/387/max-schrems-europes-data-fighter/