Information et veille juridique en droit de l'Union européenne

Tensions entre l’Union européenne et les Etats-Unis sur la protection des droits fondamentaux, le cas SWIFT

 

La lutte anti terroriste neutralise la protection des droits fondamentaux. Une première illustration en est donnée par les négociations entre l’Union européenne et les Etats-Unis sur le transfert de fichiers de passagers aériens. Une seconde par l’affaire SWIFT.

La première a déja été largement abordée sur ce site (1). Pas la seconde (il est vrai qu’elle est plus récente ayant éclaté au grand jour à la fin juin). Autant combler cette lacune car "le cas SWIFT" est exemplaire de la manière dont la protection des droits fondamentaux devient une pomme de discorde entre l’Europe et les Etats-Unis.

La société Swift (Society for Worldwide Interbank Financial Telecommunication) installée en Belgique  est une société de messagerie sécurisée qui permet aux nombreuses banques de toutes nationalités qui sont ses clientes d’échanger des ordres d’opérations (ex : transfert de fonds, messages de paiement) et des informations (2).

Le 23 juin 2006, divers journaux américains dont le New York Times et le Los Angeles Times révélaient que l’administration Bush avait eu accès aux informations détenues par SWIFT dans le cadre d’un programme de recherche sur les transactions financières liés au terrorisme (3). Le même jour, le Secrétaire d’Etat au Trésor confirmait avoir espionné des transactions financières internationales, via SWIFT, afin de lutter contre le terrorisme (4). Parmi les clients de SWIFT figurent de nombreuses banques européennes. Ainsi, les « grandes oreilles » de Washington ont eu accès à des informations concernant des centaines de milliers de citoyens européens, comme le rappelle le Parlement européen dans une résolution du 6 juillet 2006 (5).

Laffaire est donc prise au sérieux au moins par deux instances européennes, le Parlement et le Contrôleur européen de la protection des données (CEPD) qui a participé à l’audition publique organisée, le 4 octobre, par le Parlement européen pour tenter d’y voir plus clair  dans ce nouvel épisode de « big brother is watching you ».

Au nombre des VIP auditionnés figuraient Jean-Claude Trichet, Président de la Banque centrale européenne qui est membre du groupe de banques centrales contrôlant  les activités de SWIFT et Francis Vanbever directeur financier de cette dernière. Après avoir relaté comment SWIFT avait été contrainte après le 11 septembre par les autorités américaines de leur livrer les renseignements qu’elles demandaient sous la menace de sanctions (l’ensemble des données de la société est sauvegardé sur un serveur localisé aux Etats-Unis et donc soumis à ce titre au droit américain), M.Vanbever a expliqué aux députés interloqués qu’il avait informé de la situation  le groupe de contrôle et demandé des avis juridiques pour déterminer si le fait d’obéir à l’injonction des autorités américaines  violait les réglementations belge et communautaire relatives sur à la protection des données. La réponse étant négative, SWIFT n’avait pas jugé bon d’informer  aucune autorité européenne ou belge de la protection des données. Tout aussi étonnante est l’audition de M.Trichet . En résumé, il avait estimé que l’affaire n’était pas du ressort de la BCE et Ponce Pilate moderne, s’était lavé les mains, invoquant une clause de confidentialité pour justifier qu’il n’ait informé ni la Commission européenne ni les Etats.

L’argument n’a pas été du goût du Contrôleur européen de la protection des données (chargé de veiller au respect de la législation communautaire en matière de protection des données personnelles). Dans un communiqué du 4 octobre, il  remarque « la BCE aurait dû, au moins, se sentir moralement obligée d'informer les gouvernements et autorités européennes à ce sujet » et s’indigne que celle-ci « continue d'autoriser le passage de données bancaires confidentielles de clients aux Etats-Unis alors qu'elle est aujourd'hui consciente de l'accès systématique des autorités américaines ». Selon son analyse, la législation européenne en matière de protection des données s'applique aux activités de et via SWIFT, et un examen plus approfondi des faits permettra de confirmer si elle a  été violée. Car, bien que le représentant de SWIFT ait assuré avoir obtenu des services américains des garanties selon lesquelles  les données ne seraient consultées qu'aux fins d'enquêtes en cours portant sur le terrorisme et sur rien d'autre, bien qu’il ait affirmé que le respect de ces garanties a été contrôlé par des membres du  personnel de SWIFT auprès du Trésor américain ainsi que par un audit externe habituel, différents participants à l’audition ont estimé que la législation communautaire avait été certainement  violée car il n’y avait eu aucun contrôle externe des données (6).

La question est de savoir, comme le rappelle le CEPD, si tel est le cas, et comment pallier la contradiction des législations américaines et européenne résultant de la double localisation des activités de SWIFT sur les territoires européen et américain. Quel droit s’applique ? Et comment sortir les entreprises de l’insécurité juridique qui résulte de l’obligation de se conformer à des législations divergentes ? Une solution ponctuelle pourrait être la délocalisation du serveur de SWIFT et son rapatriement sur le territoire européen.

Mais il s’agirait d’une solution d’espèce alors que le problème est plus large.

En l’absence de règles internationales, la solution passe par un accord bilatéral avec les Etats-Unis pour déterminer les conditions de communication des données bancaires. Mais les difficultés de négociation de l’accord sur l’accès des autorités américaines aux fichiers des passagers aériens montre qu’il semble bien y avoir un hiatus entre les niveaux  de protection des données existants aux Etats-Unis depuis l’adoption des lois anti terroristes et les exigences communautaires sur le stockage  et le traitement des données par les sociétés européennes. Et l’Union européenne peut-elle résister aux demandes des Etats-Unis au risque de voir ses entreprises confrontées au dilemme de ne plus savoir à quel droit se vouer?

06/10/2006

Autres articles sur l'affaire SWIFT:

Accord sur l'accès des autorités nord américaines aux données bancaires (affaire SWIFT)

Le Parlement européen veut être associé à la négociation des accords internationaux

Affaire SWIFT : l'épilogue

 


 

1 - Voir les articles sur ce site:

- Contestation des transferts d'informations personnelles aux autorités américaines

- La Cour de justice des Communautés européennes juge illégal le transfert illégal d'informations personnelles aux autorités américaines

2 - Site de SWIFT

3 - Article du New York Times

4 - Communiqué de presse du Secrétaire d'Etat au Trésor

5 - Résolution du Parlement européen sur l'interception des données des virements bancaires du système SWIFT par les services secrets américains, 6 juillet 2006

6 - Intervention de  Peter Schaar, membre du Groupe de travail de  l'Article 29 qui est un groupe d’experts indépendants chargés de conseiller l'Union européenne sur les questions de protection des données et d' Alain Brun, chef de l'unité "Protection des données" de la Commission européenne

 

 

Les PLus

 

Les PLus

 

 

Jurisprudence

 

  • Commentaires de décisions de la Cour de Justice de l'Union Européenne et d'arrêts du Tribunal,
  • Conclusions des avocats généraux

 

 

Archives de l'ancien site

Articles d'actualité européenne

2001 / 04 - 2013

Brèves d'information

2009 / 04 - 2013

 

ME JOINDRE