La promesse était belle: pouvoir contrôler ses données personnelles. Mais cinq ans après l’entrée en vigueur du règlement européen dit RGPD, la réalité est tout autre, estime Max Schrems, à la pointe du combat pour la protection de la vie privée sur internet. Ces 4 lettres, officialisées le 25 mai 2018, ont bousculé l’industrie numérique mondiale en bâtissant un cadre juridique sans équivalent. La loi elle-même «fait sens mais le gros problème, c’est qu’elle n’est pas appliquée», résume le militant, interrogé dans les locaux de son association viennoise Noyb (pour «None of your business», signifiant «ce ne sont pas vos affaires»). «Le delta entre ce qui est écrit sur le papier et les faits est considérable», s’indigne-t-il. «Pour un citoyen lambda, il est quasiment impossible à l’heure actuelle de faire valoir ses droits. C’est la triste vérité». Max Schrems, 35 ans, déplore qu’une telle liberté fondamentale soit bafouée à ce point: c’est comme si «vous aviez le droit de voter mais que les urnes étaient absentes». Face aux strictes obligations imposées par le RGPD, les entreprises ont pris des «mesures de façade» sans s’attaquer sérieusement aux problèmes, estime-t-il. Pire, elles ont réussi à instiller dans le public «la perception que c’est un texte casse-pieds en mettant en place des bandeaux à cookies farfelus» enrageant les internautes. En vertu du règlement, il faut s’assurer du consentement des citoyens avant d’activer ces traceurs informatiques permettant de personnaliser les publicités. Mais au lieu d’un simple «oui» ou «non», on se retrouve souvent forcé de cliquer sur le bouton «accepter», bien mis en évidence. Des statistiques montrent que seulement 3% des utilisateurs sont réellement prêts à approuver les cookies, mais que plus de 90% sont poussés à dire oui «du fait du design trompeur». «Les gens en ont tellement ras-le-bol» qu’ils renoncent à chercher les autres options, explique le militant autrichien, même si «la société a mûri» et pris conscience de l’importance du droit à l’oubli. Donc au final, «vous êtes inondés de pop-ups sans que cela vous donne davantage de contrôle sur vos données personnelles». Et pour ceux qui veulent en retrouver la maîtrise, c’est un parcours du combattant. «On déplace la responsabilité sur le consommateur individuel», déplore le trentenaire. Noyb a lancé une campagne massive sur le sujet qui a conduit de nombreux sites à ajouter une touche «rejet» des cookies, selon l’ONG qui planche au total sur quelque 800 dossiers liés au RGPD. Et pourquoi les entreprises se plieraient-elle aux règles vu qu’elles ne sont pas ou peu sanctionnées, s’interroge Max Schrems. Les majors de la tech comme Google ou Meta, maison-mère de Facebook, qui prospèrent sur l’usage des données privées, ont certes écopé d’amendes de dizaines, voire de centaines de millions d’euros à la suite de procédures initiées par Noyb. Mais elles «empochent 10 à 20 fois plus d’argent en violant la loi», affirme l’activiste, regrettant l’indifférence ou l’inefficacité des régulateurs nationaux. Souvent ils ne savent pas «comment enquêter correctement» sur les plaintes déposées, dit-il. Le sujet est jugé trop «technique», le personnel pas formé. «Chaque pays a sa façon à lui de n’en avoir rien à carrer», lâche le responsable de Noy. Fort de ses victoires juridiques passées, celui qui fait trembler les géants de l’internet ne veut cependant pas perdre espoir. Il évoque une Cour de justice de l’UE «toujours très audacieuse», tandis que la Commission européenne réfléchit à une procédure pour compléter le RGPD et «clarifier les choses». En attendant la mise en place d’une «instance centralisée», seule solution selon lui. A long terme, veut croire Max Schrems, les grands groupes devront sous la pression «fondamentalement changer de modèle économique». «Ils ne mettront pas la clé sous la porte, mais vivront avec des profits moins mirobolants qu’aujourd’hui».
