Le nom de Max Schrems ne vous dit rien ? Proximus le fait : l’entreprise de télécommunications risque une amende de plusieurs millions grâce à ce militant autrichien de la vie privée. Il a longtemps été une épine dans le pied des entreprises qui manipulent brutalement vos données.
En mai, Schrems, un militant autrichien de la vie privée de 35 ans, a mordu Mark Zuckerberg : il a infligé au géant de la technologie Meta une amende de pas moins de 1,2 milliard d’euros. La fin (provisoire) d’une véritable croisade contre la façon dont Facebook bafoue les règles européennes de confidentialité.
Alors le PDG de Proximus, Guillaume Boutin, a intérêt à se préparer. Son entreprise est la prochaine dans le collimateur de l’asbl noyb (lire : ‘nooib’), fondée par Schrems. La plainte vient après Le Soir a révélé début 2022 comment deux filiales de Proximus mènent un commerce de données qui va au-delà des lignes du cadre RGPD.
D’une part, il y a Telesign, l’un des principaux acteurs mondiaux dans le domaine de la vérification en deux étapes. D’autre part, il y a Bics, ou Belgacom International Carrier Services, un centre de commutation international pour les appels téléphoniques. Bics, situé dans les immeubles Proximus à la Gare du Nord de Bruxelles, a racheté il y a six ans l’américain Telesign.
Telesign vend des scores de fiabilité des numéros de téléphone à des clients tels que Microsoft, Skype ou LinkedIn – sur cette base, un utilisateur peut se connecter immédiatement, effectuer des étapes de vérification supplémentaires ou être refusé. Cependant, ces scores seraient créés en appliquant des algorithmes aux données fournies par Bics.
Si cela est prouvé, il s’agit d’une violation des règles GDPR – en raison du manque d’autorisation et de stockage des données aux États-Unis. Une amende pour Proximus peut s’élever à 4% du chiffre d’affaires annuel, soit 236 millions d’euros. En tout cas, ce n’est pas pour tout de suite : une enquête peut prendre des mois, voire des années.
Ça ne vous concerne pas
Auparavant, des entreprises telles que Grindr, Spotify ou Clearview AI avaient également été condamnées à des amendes de plusieurs millions après une plainte de Vienne, où se trouve noyb. Depuis sa création en 2018, l’asbl a déjà déposé plus de 800 dossiers au sein de l’Europe, certains dossiers plus bruyants que d’autres.
Noyb signifie « rien de votre affaire », applicable à vos données, mais aussi à celles de Schrems lui-même. Une biographie sur son site personnel n’est pas une histoire de vie, mais une phrase limitée : « (Heureusement pas seulement) avocat spécialisé dans la protection de la vie privée, président honoraire de noyb, auteur et conférencier. » Il y a plus, mais il le mentionne à peine même dans les interviews.
Schrems, qui est né à Salzbourg, a raconté il y a quelques années lors d’une conversation avec Le temps que la graine a été semée dans la Silicon Valley, où il a passé six mois en tant qu’étudiant en droit. « Si vous enfreignez la loi en Europe, rien ne se passera. Alors allons-y », aurait déclaré un avocat de Facebook lors d’une conférence.
Schrems a décidé de faire de Facebook son Goliath. D’abord en rédigeant une thèse, en demandant toutes les informations que Facebook avait sur lui – cela s’est avéré être 1 200 pages. Puis en allant au tribunal. Après les révélations d’Edward Snowden en 2013, qui l’ont fait comprendre à Schrems : ce qu’un Européen confie à Facebook peut facilement être flairé par les services secrets américains.
En 2015, le chevalier de la vie privée s’est présenté pour la première fois sur la scène mondiale. La Cour de justice européenne a alors renvoyé l’accord Safe Harbor entre l’UE et les États-Unis, sur l’échange de données personnelles, à la corbeille à papier. Il a répété avec succès cette astuce cinq ans plus tard via le soi-disant arrêt Schrems II : l’accord Privacy Shield, une refonte de Safe Harbour, a également été annulé.
Tigre de papier
« L’approche agressive » des géants de la technologie tels que Google et Facebook (maintenant Meta) est au cœur de la bataille de Schrems, a-t-il déclaré. Le temps: « Si la probabilité d’une conséquence négative est faible et que la probabilité de profit est élevée, vous pouvez continuer à enfreindre les règles. (…) C’est comme ça qu’on roule ils disent. »
En allant toujours devant les tribunaux pour violation, Schrems a presque à lui seul prouvé que le RGPD n’est pas un tigre de papier. Par exemple, en 2020, nyob a déposé plus de 700 plaintes contre des sites Web européens qui empêchent les utilisateurs de continuer avec un minimum de cookies. Un an plus tard, avec une nouvelle analyse, il a constaté que plus de la moitié des sites Web avaient commencé à suivre les directives de plus près.
En Europe, Schrems est donc considéré comme l’affiche de l’activisme de la vie privée. Un signe de faiblesse, pense-t-il, car c’est surtout le signal que trop souvent les autorités nationales de protection des données (GBA) ne le font pas.
Bien qu’il semble également y avoir un durcissement : en 2020 – l’année de Schrems II – les GBA ont infligé des amendes d’environ 170 millions d’euros. En 2021, c’était 1,15 milliard d’euros, soit sept fois plus. Cette année, l’amende Meta dépasse à elle seule ce montant.
Schrems est donc parfois accosté lors de conférences par des chefs de la vie privée d’entreprises qui le remercient, car maintenant ils comprennent enfin l’importance de ce RGPD vendu au grand patron. Quelque chose qui, semble-t-il, ne s’est pas encore complètement répercuté sur Proximus.
Il y a une explication logique à cela : Telesign est un goldcrest au sein du groupe Proximus. Si l’entreprise avait été rachetée pour 230 millions de dollars il y a six ans, elle aurait déjà été valorisée à environ 1,3 milliard de dollars fin 2021. Cela montre : la taille des données en tant que colonie (invisible) est grande, tout comme le besoin d’activistes qui rendent le problème tangible.