Les accords SWIFT : un nouveau pas dans la collaboration internationale de lutte contre le terrorisme au détriment du droit européen de la protection des données à caractère personnel ? Par Iris LETSCHERT
Le 30 novembre 2009 fut signé le nouvel accord intermédiaire SWIFT relatif au maintien de l’accès du trésor américain aux données SWIFT sur les transactions bancaires européennes. Cet accord suscite de vives critiques. Il porterait atteinte au principe européen de protection des données à caractère personnel mais assurerait néanmoins la continuité de la lutte internationale contre le terrorisme. Accord SWIFT de 2007, 2007/C 166/08 et 2007/C 166/09 ; accord SWIFT de 2009, 2010/16/PESC/JAI, JOUE, 2010 n° L8. Nota bene : le 11 février 2010, le Parlement européen a rejeté l’accord intermédiaire SWIFT du 30 novembre 2009, étudié dans ce billet.
Le trésor américain a salué le 30 novembre 2009 la signature d’un accord maintenant l’accès de l’administration américaine aux données SWIFT sur les transactions bancaires européennes (Europolitique n° 3872). Le sous-secrétaire du Trésor, Stuart Levey a déclaré que l’administration « remerciait la présidence suédoise de l’UE et la commission européenne pour leur leadership et leur implication dans la conclusion de l’accord intérimaire » et qu’il était « cependant essentiel que nous commencions au plus vite à travailler sur un accord à long terme ». Cet accord est le second depuis le scandale de l’affaire SWIFT qui a éclaté en 2006. SWIFT (Society for Worldwide Interbank Financial) société américaine de droit belge du fait de la localisation de son siège à la Hulpe près de Bruxelles, gère à peu près 15 millions de transactions par jour, de plus de 8 000 banques dans le monde (d’après les chiffres issus de l’article « la polémique autour de SWIFT » in europaforum.lu). SWIFT transmettait déjà secrètement au département du trésor américain les données confidentielles de ses clients depuis les attentats du 11 septembre 2001. Ce n’est qu’en 2006 que fut découverte l’existence du programme américain de traque du financement du terrorisme (TFTP). Cependant, depuis lors, la société SWIFT n’a jamais été condamnée, malgré la violation flagrante des droits, européen et belge, concernant la protection des données personnelles. Le 28 septembre 2006, la commission belge de protection de la vie privée a qualifié ce transfert des données de violation à la législation belge, mais n’exigea cependant pas l’arrêt de cette collaboration. Par la suite, les USA ont communiqué unilatéralement à l’UE la nature de leur activité ainsi que la procédure suivie. Le premier accord SWIFT fut alors signé en juin 2007 par échange de lettres entre le Conseil Européen et les autorités américaines. L’UE a obtenu du département du trésor américain un ensemble d’engagements unilatéraux concernant le traitement des données personnelles dans le cadre de la lutte anti-terroriste. La particularité du système SWIFT a permis au trésor américain de se saisir des données conformément au droit américain en vigueur, étant donné que les informations contenues par le centre de stockage européen étaient copiées sur un second serveur placé aux Etats-Unis. Depuis, la donne a changé, la société Swift a décidé de délocaliser sa base de données placée aux USA, vers les Pays-Bas et la Suisse. Seul resterait aux Etats-Unis un serveur contenant uniquement les données américaines. L’accord intermédiaire du 30 novembre 2009 a de ce fait été signé pour permettre aux autorités US d’accéder aux données financières européennes qui ne seront plus envoyées automatiquement au centre de stockage situé aux USA. Le processus de décision avait été confié à la présidence suédoise de la Commission et au Conseil Européen mettant ainsi à l’écart le Parlement européen, qui demande depuis longtemps à être associé aux négociations avec les Etats-Unis. Ceci fut vivement critiqué, d’autant plus que le Parlement estime que les accords SWIFT portent atteinte aux principes fondamentaux européens de protection des données à caractère personnel. Le problème que posent ces accords est celui de l’équilibre entre sécurité et liberté. Comment l’Union Européenne a-t-elle concilié l'interdiction du transfert des données à caractère personnel en dehors de l'UE, avec l’exigence des USA de mettre la main sur ces données personnelles au nom de la lutte contre le terrorisme ? L’accord de 2009 sera-t-il ratifié par le parlement européen qui, depuis l’entrée en vigueur du traité de Lisbonne, a le droit d’approuver ou de rejeter définitivement cet accord intermédiaire ? Dans un premier temps, nous nous interrogerons sur la question de savoir si ces accords portent atteinte au principe européen de protection des données personnelles (I) et dans l'affirmative, si cette atteinte se justifie par l'impératif de « lutte contre le terrorisme international » (II).
I les accords Swift : Une atteinte manifeste au principe européen de protection des données personnelles
Par ces accords, le Conseil et la Commission européenne légitiment la transmission des données personnelles européennes en dépit de la protection des droits fondamentaux européens (A), et ceci sans l’aval du seul organe démocratique de l’UE, en l’occurrence du Parlement européen (B).
A Les accords SWIFT ou la légitimation de la capture des données personnelles européennes
Le comité des CNIL européennes (G29) (CNIL : commission Nationale de l’informatique et des libertés) a, dans un avis daté du 22 novembre 2006, considéré que SWIFT n’avait pas respecté plusieurs dispositions de la directive européenne du 24 octobre 1995 relative à la protection des données à caractère personnel. Pour y remédier et se conformer formellement à la directive européenne, SWIFT s’est auto-certifiée, en 2007, comme adhérant aux principes américains du « safe Harbor », offrant une protection des données stockées dans le serveur américain par des normes assimilables à celles en vigueur au sein de l’UE. Dans le même temps, l’UE permettait aux USA de s’emparer des données des citoyens européens et ceci en toute légitimité suite à la conclusion du premier accord de 2007. L’accord du 30 novembre 2009 est un accord transitoire de neufs mois valable à partir du 1er février 2010 et qui expirera le 31 octobre 2010. Celui-ci a pour but de maintenir le statu quo concernant la continuité du programme américain de traçage des transactions financières aux fins de lutte contre le terrorisme international. La signature de ce nouvel accord a suscité de nombreuses critiques. Ainsi suite à sa signature, les « jeunes libéraux » déclaraient qu’ils voyaient dans cet accord « une violation flagrante de l’article 8 de la Charte des droits fondamentaux garantissant la protection des données à caractère privé ». En effet, selon le droit européen, la protection des données personnelles est un principe fondamental. L’article 8 de la Charte énonce que «1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification. 3. Le respect de ces règles est soumis au contrôle d'une autorité indépendante». De plus, la Directive 95/46/CE, relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel, définit ces données comme « toute information concernant une personne physique identifiée ou identifiable ». Une personne « peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ». Or en l’espèce, les données transmises comportent toutes la mention des personnes physiques ou morales impliquées dans la transaction. Le transfert de données de SWIFT vers l’administration Américaine porte donc bien sûr des données à caractère personnel. Au sens du droit européen, la protection des données à caractère personnel constitue un droit fondamental qui bénéficie d’une position éminente dans la hiérarchie des normes en Europe. Alors que le système juridique américain fractionne la protection des données personnelles au moyen de textes sectoriels, il ne considère pas le droit à la protection des données personnelles comme un droit fondamental dont la portée serait générale. Comme nous le verrons par la suite, ces accords n’assurent en aucun cas une protection adéquate des données à caractère personnel telle que celle prévue par le droit européen. La transmission au trésor américain de ces données européennes constitue donc bien une atteinte au principe fondamental.
B Des accords négociés sans l’aval du Parlement européen
Les deux accords de 2007 et de 2009 ont été négociés, et conclus, pour celui de 2007, sans l’aval du Parlement européen. L’accord de 2009, devra, pour sa part, être approuvé par le Parlement européen, pour pouvoir être ratifié. En effet, avec l’entrée en vigueur du traité de Lisbonne, le premier décembre 2009, le Parlement a désormais un nouveau droit de regard sur les accords internationaux négociés dans les domaines de la coopération judiciaire et policière en matière pénale qui s’applique aussi aux accords qui n’avaient pas été conclus à la date du 1er décembre dernier. Il a le pouvoir d’approuver ou de rejeter ces accords. Plusieurs accords signés par l’UE ont été appliqués de façon provisoire, faute d’une ratification qui leur aurait conféré une valeur juridique définitive. Parmi eux, nous pouvons citer les accords sur les transferts des données des passagers aériens (PNR) avec les Etats-Unis et l’Australie. Lors de la session du 30 novembre 2009, le Conseil Justice et affaires intérieures (JAI) a adopté une décision autorisant la présidence suédoise à signer l’accord. Si l’accord n’avait pas été signé au plus tard à cette date, il aurait fallu recommencer l’ensemble du processus de négociation. La Commission aurait dû présenter des recommandations de négociation et le Conseil adopter un nouveau mandat de négociations. Un retard de ce type aurait été de toute évidence un obstacle de taille à la continuité de la lutte contre le terrorisme international, garantie par le TFTP. Le Parlement européen considère qu’en signant « dans l’urgence » l’accord de 2009, le Conseil a sciemment voulu éviter de tenir compte de ses objections. Dans sa résolution du 17 septembre 2009, sur « l’accord international envisagé pour mettre à la disposition du département du Trésor des Etats-Unis des données de messagerie financière afin de prévenir et de combattre le terrorisme et le financement du terrorisme » , le Parlement a rappelé sa volonté de lutter contre le terrorisme international de manière efficace en précisant « qu’il convient d’établir un juste équilibre entre les mesures de sécurité et la protection tant des libertés civiles que des droits fondamentaux ». Il souligne d’autre part l’existence, au niveau transatlantique, de l’article 4 de l’accord entre l’Union européenne et les Etats-Unis en matière d’entraide judiciaire, entré en vigueur le premier janvier 2010, qui prévoit d’accorder l’accès à des données financières ciblées, uniquement sur demande, par l’intermédiaire des autorités nationales. Il serait ainsi plus judicieux, selon le Parlement, « de prendre cet accord comme base juridique pour les transferts de données SWIFT que l’accord provisoire proposé ». Il a donc demandé des explications sur la nécessité d’un accord temporaire. Ce qui pourrait être un argument supplémentaire en faveur du rejet de l’accord provisoire. Le Parlement européen se prononcera bientôt sur cet accord intermédiaire et celui-ci aura le dernier mot ainsi qu’une pleine participation à la rédaction de l’accord à long terme qui devrait suivre.
II Une atteinte justifiée par « la lutte internationale contre le terrorisme »
Des garanties ont été négociées entre les Etats-Unis et l’UE pour tenter d’assurer la protection des données personnelles des citoyens de l’UE (A), néanmoins, cette protection n’est pas totalement garantie. Ces accords constituent un nouveau pas dans l’exercice de la souveraineté étasunienne sur la population européenne (B).
A Un juste équilibre recherché entre mesures de sécurité et protection des droits fondamentaux.
Au terme des discussions qui ont abouti à l’accord de juin 2007, les Etats Unis s’étaient engagés sur des contrôles et des sauvegardes à appliquer au traitement, à l’utilisation et à la diffusion des données concernées par le programme du TFTP. Le département du trésor s’engageait à utiliser les données SWIFT obtenues exclusivement à des fins de lutte contre le terrorisme, de respecter le principe de nécessité, à ne pas conserver les données au-delà d’un délai déterminé dans les circonstances appropriées (en l’occurrence un délai de 5 ans), à procéder régulièrement à des contrôles afin d’identifier et d’effacer toute donnée qui ne serait pas nécessaire pour lutter contre le terrorisme. Enfin, il prévoyait la nomination d’une « personnalité européenne éminente » ayant compétence pour vérifier le bon fonctionnement du programme. C’est ainsi que fut choisi en mars 2008 le juge français, Jean-Louis Bruguière, spécialisé dans la lutte contre le terrorisme. Le premier rapport annuel établi par le juge fut transmis à la commission européenne le 17 février 2009. Il aurait conclu à la conformité des garanties stipulées dans l’accord et à une coopération optimale dans la lutte anti-terroriste. Il fut néanmoins frappé du sceau du secret-défense par l’administration américaine, ce qui revient à dire que le trésor américain (le contrôlé) a classifié le rapport du contrôleur (le juge Bruguière). Ceci a vivement étonné les CNIL européennes. C’est ainsi que le 29 septembre 2009, le président de la CNIL, Alex Türk, se fit auditionner par les députés français membres de la Commission pour les affaires européennes. Après avoir consulté le comité des 27 CNIL de l’Union européenne, il souligna le manque de transparence concernant l’usage des données à caractère personnel européennes par les autorités américaines. Concernant le système de garanties mis en place en 2007, il ne s’est guère montré plus rassurant. Le président de la CNIL critiquait le fait qu’il n’ait jamais eu la possibilité de lire le rapport du juge Bruguière. Ce dernier soulignait le paradoxe que, « sur la foi du rapport – inconnu – de M. Bruguière, la Commission européenne avait considéré qu'il n'y avait plus de raison d'interdire aux Etats-Unis d'accéder aux données sur les transactions intra-européennes à partir du nouveau centre ». Un avis qui n’était pas partagé par le Commissaire européen à la Justice Jacques Barrot. En effet, suite à cette réorganisation du système SWIFT, le Commissaire a énoncé que l’Union souhaitait donner, à l’administration américaine, accès aux bases de données européennes gérés par Swift. Il a déclaré que « ce serait extrêmement dangereux à ce stade de cesser la surveillance et le contrôle de ces flux d'informations » et expliqué, en reprenant l’argumentation du juge Bruguière , que la prise des données européennes par les USA sur le serveur américain de Swift s'était révélée « un outil important et efficace » et que ces saisies avaient « permis d'éviter un certain nombre d'attentats » (in Union européenne : Nouveau système Swift et nouvel abandon de souveraineté par Jean-Claude PAYE). Il a souligné qu’ « il ne s'agit en aucune façon de donner un chèque en blanc aux États-Unis » et que sans l’accord de 2009 « nous aurions une faille dans notre sécurité ». Il existe en effet selon la porte-parole de Barrot, un gentleman ’ s agreement selon lequel l’administration américaine transmettrait à l’UE leurs informations concernant des terroristes repérés à travers leur prise de connaissance des données de SWIFT (in l’article « la polémique autour de SWIFT » europaforum.lu). Sans ces accords SWIFT, l’UE se priverait de cet échange d’informations. Dans un communiqué du DP (parti démocratique luxembourgeois) suite à la signature de l’accord de 2009, celui-ci rappelait que le Parlement européen insiste sur la nécessité de garantir la protection des données personnelles européennes, en l’occurrence la transmission de données seulement pour des cas sélectionnés et spécifiques et que la prise de donnée soit limitée dans le temps et soumise à une autorisation judiciaire. De plus, le droit à la défense ainsi qu’un droit d'accès à la justice identique à celui qui existe dans l'UE devrait être garanti aux citoyens et aux entreprises de l'Union (in Question parlementaire: Le DP critique l‘accord SWIFT (Journal) dp.lu). Or en l’espèce, ces accords ne prévoient aucun recours juridique des citoyens de l’UE à l'encontre des Etats-Unis, ni la création d'une autorité de régulation pour surveiller les transferts de données. Des garanties inexistantes qui pourraient pousser le Parlement européen à rejeter l’accord de 2009.
B Un nouveau pas dans l’exercice de la souveraineté américaine sur la population européenne
L’énonciation de la lutte contre le terrorisme a suffi à justifier le transfert des données personnelles européennes vers les Etats-Unis quand bien même ces transferts porteraient atteinte aux droits à la protection de la vie privée des citoyens. Le fait d’avoir exclu le Parlement européen des négociations a permis au Conseil de renégocier rapidement les accords de 2009 sans se heurter à l’organe démocratique européen qui prône en premier lieu le respect à la vie privée de ses citoyens. Le commissaire Jacques Barrot a affirmé que l’accord de 2009 était un accord équilibré, mais il a dû admettre que ce texte n’incluait pas l’accès des autorités européennes aux transactions bancaires américaines. Ceci nous révèle que les Etats-Unis souhaitent rester les seuls acteurs ayant accès aux données financières internationales des autres continents. De plus, les données collectées par le trésor américain concernent seulement des données européennes et non pas des données susceptibles de concerner les Etats-Unis. L’UE par ces accords a renoncé à ses standards juridiques pour s’aligner sur ceux des Etats-Unis comme pour l’accord sur la surveillance des passagers européens (PNR), signé en 2007. Cette affaire avait soulevé elle aussi de vives critiques. Le Parlement européen avait saisi la Cour de Justice des Communautés Européennes d’un recours en annulation contre la décision d’adéquation de la Commission du 14 mai 2004 et la décision du Conseil du 17 mai 2004 portant conclusion de l’accord PNR. Accord qui fut signé le 28 mai 2004. La CJCE a jugé dans son arrêt du 30 mai 2006 (Affaires jointes C-317/04 et C-318/04) que l’article 95 CE n’était pas susceptible de fonder la compétence de le Communauté pour conclure l’accord avec les USA. Elle n’examina pas la question de fond portant sur les problèmes de violation des droits fondamentaux. Mais avait de ce fait donné raison au Parlement européen. La CJCE avait néanmoins décidé que pour des raisons de sécurité juridique il fallait maintenir l’effet des décisions jusqu’au 30 septembre 2006. Par la suite, un nouvel accord provisoire fut signé le 16 octobre 2006 avant que ne soit signé celui de 2007. Le Parlement pourrait d’ailleurs faire les mêmes démarches que pour les accords PNR, et contester l’accord de 2009 devant la CJCE. Dans ces deux affaires, l’administration américaine avait eu accès illégalement aux données personnelles des citoyens européens avant que l’Union lui accorde ce droit et n’adapte son ordre juridique à cet effet. En l’espèce, ces accords ne semblent pas avoir été conclus entre deux puissances souveraines, mais plutôt entre une partie donneuse d’ordres, l’exécutif américain qui a réaffirmé son droit de disposer des données personnelles européennes, et de l’autre les institutions européennes qui se sont soumises et qui ont accepté et légitimé ces transferts de données au nom de la lutte contre le terrorisme international.
Bibliographie :
Textes :
• Accord SWIFT de 2007 : lettres datées du 28 juin 2007, signées par le Sous-secrétaire du Trésor Stuart A. Levey et adressées à la Commission et au Conseil européen, paru au journal officiel des Communautés européennes le 20 juillet 2007, 2007/C 166/08 et 2007/C 166/09 • Accord SWIFT de 2009 : décision 2010/16/PESC/JAI du Conseil du 30 novembre 2009 relative à la signature, au nom de l’Union européenne, de l’accord entre l’Union européenne et les États-Unis d’Amérique sur le traitement et le transfert de données de messagerie financière de l’Union européenne aux États-Unis d’Amérique aux fins du programme de surveillance du financement du terrorisme Accord entre l’Union européenne et les États-Unis d’Amérique sur le traitement et le transfert de données de messagerie financière de l’Union européenne aux États-Unis d’Amérique aux fins du programme de surveillance du financement du terrorisme JOL_2010_008_R_0009_01 • Affaires jointes C-317/04 et C-318/04 Arrêt de la Cour (grande chambre) CJCE du 30 mai 2006 relatif aux PNR • Article 8 de la Charte des droits fondamentaux de l’Union européenne, article 8 de la Convention de sauvegarde des droits de l’Homme et des libertés fondamentales. • exprime cet engagement • Directive 95 /46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. • Résolution du Parlement européen du 17 septembre 2009 sur l’accord international envisagé pour mettre à la disposition du département du trésor des données de messagerie financière afin de prévenir et de combattre le financement du terrorisme ainsi que la lutte contre ce phénomène, P7_TA-PROV(2009)0016
Articles de doctrine et sources internet :
Jean-Claude Paye, Affaire SWIFT : Un nouvel abandon de la souveraineté européenne, 16. Déc. 2009, disponible sur : http://frech.irib.ir Juliette Roché, SWIFT : Les députés participeront à la négociation d’un accord permanent, disponible sur :http://mcsinfo.u-strasbg.fr Sarah Collins, SWIFT ; Le Parlement européen veut avoir son mot à dire, Europolicis, 3 sept. 2009, disponible sur :http://europolitique.abccom. La polémique autour de SWIFT, Europaforum Luxembourg, 30 juill. 2009. Domaguil, Affaire SWIFT : Le Juge Bruguière rend son rapport, Quoi de neuf en Europe, 19 févr. 2009 Domaguil, Des nouvelles de SWIFT, 30.10.2009 disponible sur :http://quoideneufeneurope.hautetfort.com/archive/2009/10/26/des-nouvelle... Jean-Claude PAYE, Union européenne : Nouveau système Swift et nouvel abandon de souveraineté , 08.11.2009, disponible sur : http://www.tlaxcala.es/pp.asp?reference=9230&lg=fr Accord SWIFT : les ministres François Biltgen et Jean-Marie Halsdorf répondent aux questions des députés Gilles Roth et Xavier Bettel ,10 .12.2009 , disponible sur :http://www.europaforum.public.lu/fr/actualites/2009/12/qp-swift/index.html Le traitement des données bancaires sur le réseau SWIFT selon les normes européennes, Communication du Parlement européen du 3 septembre 2009 - Coopération et Europe / Achat public et finances, 04.10.2009, disponible sur :www.europarl.europa.eu Benoit Cusin, UE/USA : Feu vert de l'UE aux négociations transatlantiques sur SWIFT, 05.08.2009, Agence Europe disponible sur : http://www.regards-citoyens.over-blog.com/article-34563511.html CNIL, Affaire SWIFT : le programme de surveillance de la CIA est contraire aux règles européennes de protection des données, 30.10.2006, disponible sur : http://www.cnil.fr/la-cnil/actu-cnil/article/article//affaire-swift-le-p... Jean-Claude Paye , Les transactions financières internationales sous contrôle états-unien, disponible sur : http://www.voltairenet.org/article156833.html Entretien avec Jacques BARROT, Vice-président de la Commission européenne, Responsable pour la Justice, la Liberté et la Sécurité paru dans la Lettre n°416 de la Fondation Robert Schuman du 9 novembre 2009 Strephanie Corbiere, Accès aux données bancaires personnelles Swift par les autorités américaines: remise en cause des garanties négociées, 25.12.2009, disponible sur : http://www.ninaworks.org/2009/12/25/inquietudes-relatives-a-la-preservat... La polémique autour de SWIFT, 30.07.2009, disponible sur : http://www.europaforum.public.lu/fr/actualites/2009/07/swift/index.html Swift : le Parlement européen durcit sa position et exige des garanties pour avoir son accord. 30.12.2009, disponible sur : http://eulogos.blogactiv.eu/2009/12/30/swift-le-parlement-europeen-durci... Lutte contre le terrorisme et protection du droit au respect de la vie privée : le point de vue du Commissaire aux droits de l'Homme du Conseil de l'Europe, 17.11.2008. Richard Montbeyre , Analyse juridique de l'affaire Swift, 03.03.2008 , disponible sur : http://www.droit-technologie.org/actuality-1124/nouveau-dossier-en-ligne...