Comprendre le débat sur SWIFT
– La procédure : le Parlement a été saisi bien trop tardivement (le 25 janvier 2010 pour un accord signé le 30 novembre 2009 et devant entrer en vigueur le 1er février 2010). Résultat : le Parlement doit voter alors que l’accord est déjà entré en vigueur. Mais si le PE rejette l’accord, il est caduc car c’est une procédure d’avis conforme. Il y a donc eu un manque de considération pour le PE, même s’il ne faut pas réduire cela à une « crise puberté » du Parlement comme certains veulent le faire croire. Cet accord pose de gros problèmes du point de vue des droits individuels.
– Le fond de l’accord : il n’est pas acceptable car il ne respecte pas les conditions minimums exigées par le Parlement européen en matière de protection des données et des droits individuels dans une résolution adoptée en septembre 2009. Les flous et blancs de l’accord pourraient permettre une utilisation abusive de données transmises, une durée de conservation très longue, des droits de la défense réduits.
– Le rejet de l’accord n’équivaut pas à un no man’s land juridique : il faudrait absolument adopter cet accord sous peine d’affaiblir la lutte contre le terrorisme et donc la sécurité, menace encore agitée par la commissaire Cécilia Malmström lors du débat en plénière du 10 février 2010. Un rejet créerait une « importante brèche sécuritaire ». Or, l’échange des donnés, y compris bancaires, peut continuer à se faire dans le cadre de l’accord UE-US relatif à l’entraide judiciaire qui est un instrument plus général.
Plus en détails
Pourquoi un tel accord?
Il s’agit en fait de l’organisation du « traitement et du transfert de données de messagerie financière de l’Union européenne aux États-Unis aux fins du programme de surveillance du financement du terrorisme. » Dans le cadre de la lutte contre le terrorisme post-11 septembre, les Etats-Unis ont lancé un programme de surveillance du financement du terrorisme (TFTP) qui passait notamment par la réquisition d’informations auprès de la société SWIFT. Cette dernière (« Society for Worldwide Interbank Financial Telecommunication »), société de droit belge, est un fournisseur de messages sécurisés pour les transactions financières, avec environ 8500 clients, dont environ 7800 sont des institutions financières.
Or les transferts d’informations ainsi réalisés, facilités par le fait que SWIFT sauvegardait auparavant ses informations sur 2 serveurs, l’un basé en Europe, le second aux Etats-Unis, se faisaient en dehors de tout cadre légal, ce qui fut dénoncé et fît l’objet d’une polémique en 2006. SWIFT a depuis déplacé ses serveurs en Europe, rendant obligatoire la conclusion d’un accord pour l’échange de ces données (depuis le 1er janvier 2010, SWIFT ne transfère plus aucune donné aux Etats-Unis).
Toutes les données relatives à des virements intra-européens sont désormais uniquement stockées en Europe. Le 27 juillet 2009, le Conseil a donné mandat à la Commission pour la négociation d’un accord intérimaire afin de permettre de continuer le transfert de données de SWIFT vers les Etats-Unis.
Les demandes du Parlement européen
Dans une résolution adoptée le 17 septembre 2009, le Parlement européen a demandé à ce le futur accord respecte au minimum les conditions suivantes :
– La finalité : les données transférées le sont uniquement aux fins de la lutte contre le
terrorisme, tel que l’UE le définit. Elles ne peuvent être utilisées que sur des cas spécifiques et sélectionnés et sont limités dans le temps. Les données sont effacées si elles ne permettent pas de faire apparaître un lien avec des personnes ou des organisations qui sont l’objet d’une enquête aux États-Unis.
– La proportionnalité : les données ne doivent pas être utilisées de manière
disproportionnée.
– La réciprocité : un mécanisme de réciprocité doit être prévu obligeant les autorités
compétentes des États-Unis à communiquer aux autorités compétentes de l’Union, sur
demande, les données de messagerie financière pertinentes.
– Droits de la défense : les citoyens et les entreprises de l’UE doivent pouvoir jouir de droits de la défense et de garanties procédurales ainsi que d’un droit d’accès à la justice identiques à ce qui existe dans l’Union. Par ailleurs, des procédures de réparation identiques à celles qui s’appliquent aux données détenues sur le territoire de l’Union doivent être prévues.
– Durée de l’accord : il est provisoire et il doit être stipulé que l’entrée en vigueur du traité de Lisbonne entrainera une renégociation dans le nouveau cadre juridique de l’Union avec la pleine participation du Parlement européen et des parlements nationaux.
Le contenu de l’accord
L’accord a été signé par le Conseil le 30 novembre 2009 mais le Parlement n’a été
officiellement saisi que le 25 janvier 2010, rendant de fait impossible qu’il se prononce avant son entrée en vigueur le 1er février 2010. La date de signature de l’accord, le 30 novembre 2009, n’est pas anodine. Une journée avant le traité de Lisbonne, qui donne plus de pouvoirs en la matière au Parlement européen, cela permettait de tenir les parlementaires complétement à l’écart. ce n’est finalement que parce que certains Etats membres ont refusé de ratifier l’accord et en ont appelé à l’avis du Parlement que celui-ci a été saisi fin janvier 2010. Cette mise à l’écart consciencieuse du Parlement, et de ses demande pontilleuses sur le respect des droits des citoyens, a évidemment braqué les parlementaires sur ce dossier.
Sur le contenu de l’accord, notre évaluation, qui est également celle du service juridique du Parlement européen, est que le compte n’y est pas par rapport aux demandes minimales de la résolution de septembre 2009:
– La définition de terrorisme n’est pas la même que celle de l’UE. En conséquence, l’accord pourrait concerner le transfert de données pour des personnes considérées comme ne relevant pas du terrorisme dans l’UE.
– Concernant la proportionnalité, SWIFT ne peut en fait, pour des raisons techniques,
rechercher des données précises tels que les noms, les adresses, numéros de facture, etc, et ne peut donc livrer aux Etats-Unis que des informations en masse, potentiellement cela veut dire que Swift devrait livrer la quasi-totalité de ses informations aux Etats-Unis.
– L’accord ne prévoit pas expressément que les demandes de transfert soient soumises à une autorisation judiciaire
– L’accord ne fournit aucune précision sur les durées de conservation des données extraites
– Les droits d’accès, de rectification, de compensation et de recours de la personne concernée à l’extérieur de l’UE ne sont pas définis de façon appropriée.
– L’accord ne garantit pas aux citoyens et entreprises européens les mêmes droits et garanties au titre de la législation américaine que ceux dont ils bénéficieraient sur le territoire de l’UE.