L’affrontement euro-américain sur la protection des données personnelles

La société  Swift (Society for Worldwide Interbank Financial), société américaine de droit belge, gère les transactions financières d’environ 9000 banques, sociétés de courtage et gestionnaires de fonds dans le monde. Elle ne fait pas transiter d’argent, elle assure le transfert des données relatives aux paiements et aux titres, y compris celles des transactions internationales en devises. On estime à 14 millions le nombre de messages Swift qui s’échangent chaque jour sur le réseau.  

Les ambigüités de la société Swift

Le 23 juin 2006, le New York Times révèle que la CIA a mis en place un système de surveillance généralisé des transactions financières. On apprend à cette occasion que depuis le 11 septembre 2001, la société Swift avait transféré plusieurs millions de données relatives à des citoyens européens au département du Trésor américain qui lui-même les avait transféré au service des douanes dans le cadre du programme de lutte contre le terrorisme (Terrorist Finance Tracking Programme, TFTP).  Il convient de noter que la société Swift avait prévenu les banques centrales des pays du G10 de cet état de fait dès 2002. Ces banques centrales décidèrent de ne pas prévenir leurs autorités de tutelles, à l’exemple de la banque centrale européenne qui omit de prévenir les services de la Commission et ceux du Conseil européen pour ne pas fragiliser la lutte anti-terroriste dont elle s’estimait être partie prenante. Cette dernière  sera d’ailleurs mise en cause pour cela dans un avis du Contrôleur européen à la transmission de données du 1er février 2007. La société Swift ne fut à aucun moment poursuivie alors que ces agissements apparaissaient comme contraires au droit belge (Avis du 27 septembre 2006 de la Commission belge de protection de la vie privée et communautaire.

Pour pallier cette irrégularité, la société Swift s’est auto-certifié comme adhérant aux principes américains du « safe Harbor » c’est-à-dire offrant aux données stockés sur le territoire américain des garanties comparables à celle prévue par le droit communautaire. Certains juristes affirment néanmoins que les garanties de recours sont insuffisantes. (Cf Yves Poulet : « Les Save Harbor Principle – une protection adéquate » Acte du colloque de l’international Federation of Computer Law Associations, Paris, 17 juin 2006). Il convient de souligner que le transfert des données « en vrac », c’est-à-dire sans démarche ciblée et limitée ne s’est à aucun moment arrêté, les autorités européennes soulignant la nécessité de maintenir le statut quo pour ne pas nuire à la lutte antiterroriste. Le 27 juillet 2009, le commissaire européen à la justice Jacques Barrot a expliqué devant la Commission parlementaire des libertés publiques, que les Vingt Sept entendaient donner accès aux centres d’opérations européens gérés par Swift aux enquêteurs du Trésor américain dans le cadre de la lutte contre le Terrorisme.

Le département du Trésor américain fera une déclaration unilatérale d’engagements auprès des autorités européennes. Le département du trésor s’engageait à utiliser les données SWIFT obtenues exclusivement à des fins de lutte contre le terrorisme, de respecter le principe de nécessité, à ne pas conserver les données au-delà d’un délai déterminé dans les circonstances appropriées (5 ans), à procéder régulièrement à des contrôles afin d’identifier et d’effacer toute donnée qui ne serait pas nécessaire pour lutter contre le terrorisme. Enfin, il prévoyait la nomination d’une « personnalité européenne éminente » ayant compétence pour vérifier le bon fonctionnement du programme. C’est ainsi que fut choisi en mars 2008 le juge français, Jean-Louis Bruguière, spécialisé dans la lutte contre le terrorisme. Le premier rapport annuel établi par le juge fut transmis à la commission européenne. Il convient de prendre le terme d’accord dans son sens courant et non dans son sens juridique stricto sensu car même s’il respecte la procédure de l’échange de lettre, il s’agit ici d’une déclaration d’intention du Trésor américain, renégociable en cas de changement de législation que d’un accord négocié comme l’ont souligné certain commentateur comme M. Jean-Claude Paye dans son article : « un épisode de la guerre contre le terrorisme », revue Krisis, dossier la guerre, pages 227-246, mai 2010. 

Les pressions américaines

Le 17 février 2009. Il aurait conclu à la conformité des garanties stipulées dans l’accord et à une coopération optimale dans la lutte anti-terroriste. Il fut néanmoins frappé du sceau du secret-défense par l’administration américaine, ce qui revient à dire que le trésor américain (le contrôlé) a classifié le rapport du contrôleur (le juge Bruguière). Cet échange de lettre donne naissance à l’accord Swift. Il convient de prendre le terme d’accord dans son sens courant et non dans son sens juridique stricto sensu car même s’il respecte la procédure de l’échange de lettre, il s’agit ici d’une déclaration d’intention du Trésor américain, renégociable en cas de changement de législation que d’un accord négocié comme l’ont souligné certains commentateurs comme M. Jean-Claude Paye dans son article : « un épisode de la guerre contre le terrorisme », revue Krisis, dossier la guerre, pages 227-246, mai 2010.

Cet accord transitoire en appelait un second garantissant la période du 1er février au 31 octobre 2010, le temps pour la Commission de proposer un accord permanent. Lors de la session du 30 novembre 2009, le Conseil Justice et affaires intérieures (JAI) a adopté une décision autorisant la présidence suédoise à signer l’accord. Toutefois depuis l’entrée en vigueur du traité de Lisbonne, le 1er décembre 2009, le Parlement a désormais un droit de regard sur les accords internationaux négociés dans les domaines de coopération judiciaire et policière en matière pénale. Or, le Parlement européen décida lors de l’assemblée plénière du 11 février 2010 de ne pas ratifier cet accord, arguant de la précipitation de la Commission, du manque de garanties effectives données par les autorités américaines. Il souligne d’autre part l’existence, au niveau transatlantique, de l’article 4 de l’accord entre l’Union européenne et les Etats-Unis en matière d’entraide judiciaire, entré en vigueur le premier janvier 2010, qui prévoit d’accorder l’accès à des données financières ciblées, uniquement sur demande, par l’intermédiaire des autorités nationales. Un nouveau processus de négociation aboutit à un nouveau projet le 15 juin 2010, signé le 28 juin, approuvé le 8 juillet par le Parlement et entré en vigueur le 1er aout 2010 pour une durée de cinq ans et devra ensuite être renouvelé année par année. 

Une Europe sous surveillance américaine

 Il convient de souligner que concernant la protection des données de nombreuse zones d’ombres subsistent même si l’accord stipule un droit de recours administratif et judiciaire aux Etats-Unis. Là où le Parlement européen avait souligné la nécessité de transferts de données ciblées, les transferts massifs resteront possibles tant que Swift ne sera pas techniquement en mesure d’identifier et de produire des données spécifiques pour répondre aux requêtes américaines. De plus ni la durée de détention des données (5 ans), ni l’assurance qu’elle ne seront pas détournées, ni les modalités de revue de l’accord dans la place qu’elles donnent aux européens ne font pas l’objet de garanties supplémentaires. La notion de terrorisme n’étant pas définie, elle souffre les interprétations les plus larges et peut donc servir de justificatif à des transferts de données infondés. Enfin, aucune autorité judiciaire européenne ne pourra se saisir d’affaires relatives à l’accord Swift. 

Plus profondément, la victoire stratégique américaine est d’être arrivée à faire légitimer des actes par nature illégaux et d’avoir fait en sorte de voir les Européens se mettre en conformité avec le droit américain. L’Union a déjà renoncé à ses standards juridiques pour s’aligner sur ceux des Etats-Unis lors de l’accord sur la surveillance des passagers européens (PNR), signé en 2007. On peut supposer que les informations obtenues via la société Swift auraient pu être obtenus ou ont peut être été obtenues par d’autres canaux tels le projet Echelon ou certains programmes de surveillance de la NSA, d’autant que les cryptages (DES, 3DES et AES) relatifs aux transactions interbancaires relève de standards américains.

En définitive, plus encore que l’interception de données personnelles, c’est l’affirmation du droit américain sur le territoire des états européens. Affirmation relayée par les instances communautaires et celles des états membres devenant des organes de diffusion de la puissance américaine. On peut même souligner que l’accord Swift amplifie des dispositions juridiques américaines à destination de l’étranger. En effet, si les entreprises américaines ont droit dans certains cas d’avoir accès aux informations d’agences les concernant (Information Act), les entreprises étrangères dans le cadre de l’accord Swift ne pourront faire de recours qu’à posteriori. De même si le Patriot Act donne à l’administration américaine la possibilité de contrôler les banques ayant des filiales sur le territoire américain, celui-ci ne permet que des contrôles ciblés suite à une demande précise. Cet impérialisme juridique constitue une victoire stratégique majeure. Peut être même devrions nous nous interroger sur le fait que la disparition de standard juridique et l’application de la souveraineté américaine sur les territoires européens puissent constituer une démarche d’intégration en vue du marché transatlantique à venir.  

Pierre Yves Rougeyron