Qui est auditionné
Max Schrems est le fondateur de l'association NOYB (« None of your business »), auditionné à titre d'expert par la commission d'enquête de l'Assemblée nationale sur les dépendances et vulnérabilités du numérique (17e lég.), présidée par Philippe Latombe, rapporteure Cyrielle Chatelain. Juriste et activiste autrichien, il est à l'origine des arrêts « Schrems I » et « Schrems II » de la CJUE qui ont successivement invalidé le Safe Harbor puis le Privacy Shield encadrant les transferts de données UE–États-Unis. Son angle : celui du contentieux réel (« plus de 800 » procédures en cours) et de la mécanique juridique de la dépendance, contrepoint aux industriels entendus par ailleurs.
La substance
Sa thèse centrale : le problème n'est pas la loi, mais la volonté politique et culturelle de l'appliquer. Sur la surveillance, il rappelle que depuis 2007 les États-Unis pratiquent une surveillance de masse légalisée a posteriori par la section 702 du FISA (2008) : le 4e amendement protège les seules « US persons », tandis que pour les non-Américains « le gouvernement américain peut faire ce qu'il veut ». Le point juridique décisif : « Les États-Unis ont ainsi un accès total à toutes les données qui sont soit la propriété d'un fournisseur de cloud américain, soit sous sa garde ou sous son contrôle, sans limite géographique » — c'est la nationalité du fournisseur, non la localisation du serveur, qui déclenche l'accès. Il juge le Data Privacy Framework fragile : garanties extralégislatives « copiées » sur l'ère Obama, désaccord de fond sur la « proportionnalité » (« les deux parties se sont accordées sur l'usage d'un terme, mais pas sur son sens »), menace de la Cour suprême sur l'indépendance de la FTC.
À la surveillance s'ajoute un risque nouveau : l'embargo numérique. Il rapporte l'inquiétude de « l'armée danoise » (menace sur le Groenland) qu'en cas de conflit les États-Unis les privent de Microsoft, AWS ou Google — les hôpitaux ne pourraient plus accéder aux dossiers —, embargos que Washington pratique déjà « à Cuba, en Syrie ou en Iran ». Sur les offres « cloud souverain », il forge la formule du « sovereignty washing » : « prétendre qu'une solution est souveraine quand, en réalité, on se contente d'utiliser un bon vieux serveur américain en le parant d'un drapeau européen ». Argument-clé : ces mêmes acteurs fournissent de vraies solutions souveraines « en Chine : dès lors qu'un pays s'attache à faire réellement appliquer ses lois, la souveraineté n'est plus un problème » — l'impossibilité technique alléguée est un choix économique.
Chiffres marquants sur l'ineffectivité : « seulement 0,3 % des montants dus ont réellement été payés » en Irlande ; « moins de 1,3 % des plaintes débouchent sur une amende » ; 66 amendes/an en Autriche contre plus de 1 000 trottinettes verbalisées en un mois. Il vise le guichet unique (Irlande et Luxembourg « créent des failles »), le pantouflage (l'ancienne directrice de la DPC irlandaise embauchée par le cabinet défendant Meta), l'omnibus numérique (redéfinition dangereuse des données personnelles, article 88 quater sur l'IA « d'une piètre qualité juridique »), et « l'approche fondée sur l'analyse des risques » qui traite les entreprises « comme des enfants dans un magasin de bonbon ». Sur l'IA, il souligne que le RGPD, hérité de principes de 1981, avait anticipé les « hallucinations » ; il cite l'affaire OpenAI (un Norvégien faussement accusé de meurtre, sans correction possible) et vise la CNIL et les régulateurs qui « ont cédé […] de peur de prendre du retard ».
Les enjeux et confrontations
L'audition est sans confrontation frontale : Schrems n'est pas mis en cause mais sollicité comme expert, et Latombe comme Chatelain l'orientent vers leurs préoccupations (omnibus, guichet unique, souveraineté, arrêt SRB, efficacité de la loi). Les tensions qu'il expose sont dirigées vers des tiers absents : la Commission européenne (« l'unité […] ne dispose tout simplement pas du personnel et de l'expertise nécessaires »), le régulateur irlandais, la doctrine juridique captée par l'industrie (« 99 % des personnes qui travaillent dans ce domaine sont employées par l'industrie »). Sur l'AI Act, il assume une limite d'expertise (« je ne saurai pas répondre […], notre organisation travaille surtout sur le RGPD »). Latombe mentionne son propre recours en cours devant les juridictions, faisant du président un acteur du contentieux évoqué.
Ce que l'audition apporte au dossier
L'audition fournit à la commission une grille de lecture juridique pour disqualifier les offres de « cloud souverain » de façade (enjeu direct pour SecNumCloud, Bleu, S3ns et la commande publique) et déplace la dépendance du registre de la vie privée vers celui de la défense nationale (embargo numérique, scénario danois). Elle pointe des responsabilités précises — Commission, Irlande, Luxembourg, régulateurs dont la CNIL — et documente par des chiffres l'ineffectivité de la sanction. Doctrine défendue : la variable décisive n'est pas la technique ni le texte, mais l'application de la loi ; les pistes avancées sont le transfert de la régulation des VLOPs au niveau européen, les recours collectifs, l'activation de l'article 80 alinéa 2 du RGPD (jamais transposé) et l'instauration de délais maximaux de décision. La CJUE reste, selon lui, « probablement notre seul espoir ».