Disponible au format Acrobat (148 Koctets)


Réunion du jeudi 1er juillet 2010

Justice et affaires intérieures

Accord sur le transfert de données
entre l'Union européenne et les États-Unis (SWIFT) :
examen de la proposition de décision relative
à la conclusion de l'accord (E 5430 et E 5431)

Communication de M. Robert Badinter

Nous devons examiner aujourd'hui le nouvel accord SWIFT, sur le point d'être conclu entre l'Union européenne et les États-Unis, qui concerne le transfert aux autorités américaines des données financières détenues par cette société. Avant d'aborder le fond, je voudrais marquer une désapprobation sur la façon dont le Parlement est appelé à délibérer sur une question aussi essentielle pour les libertés publiques. Je rappelle que l'accord a été finalisé le 11 juin. Nous avons été saisis le 21 juin. Le Conseil a autorisé la signature de l'accord la semaine passée le 24 juin. L'accord a été signé le 28 juin. Arguant de l'existence d'une réserve parlementaire, le Gouvernement s'est abstenu lors du vote au Conseil. Nous entrons maintenant dans une seconde phase qui doit conduire à la conclusion de l'accord qui ne pourra se faire qu'après l'approbation de celui-ci par le Parlement européen. Autant dire que nos réflexions de ce jour ne seront susceptibles d'influencer que le seul Parlement européen, la position du Conseil étant d'ores et déjà acquise !

I. Rappel du contexte

1. La nouvelle architecture SWIFT

L'historique de ce dossier a été présenté dans des communications précédentes d'Hubert Haenel et tout récemment du président Jean Bizet. Je rappelle que SWIFT, société coopérative de droit belge, est un prestataire international de services informatiques qui facilite les opérations financières grâce à un réseau de communication et un système de messagerie standardisée. Plus de 8 000 organisations bancaires, institutions financières et leurs clients professionnels échangent par ce biais, 15 millions de messages par jour dans de nombreux domaines d'activité du secteur bancaire et des titres, notamment celui des paiements de masse (virements, paiements par cartes de crédit).

SWIFT transporte des messages standardisés entre deux établissements financiers sans traiter autrement ni stocker de façon prolongée les messages qu'il véhicule. L'architecture du système SWIFT reposait jusqu'à tout récemment sur un centre d'exploitation mondial situé aux Pays-Bas avec une sauvegarde des informations traitées dans une base de données localisée aux États-Unis ( en Virginie ).

Après les attentats du 11 septembre 2001, le département du Trésor des États-Unis a mis au point un programme de surveillance du financement du terrorisme (TFTP). Dans ce cadre, des injonctions administratives ont été adressées à la société SWIFT pour que les bureaux de cette entreprise implantés aux États-Unis transfèrent au bureau du contrôle des avoirs étrangers des données à caractère personnel devant servir à agir contre les personnes soupçonnées d'activités terroristes. Cette situation a suscité beaucoup d'émoi. Des négociations ont alors été engagées en décembre 2006 sous l'égide de la Commission européenne avec le département du Trésor américain. Elles ont abouti à des engagements unilatéraux américains (sous la forme d'un échange de lettres, publiées au Journal officiel de l'Union européenne en juillet 2007).

Ce dossier a ensuite évolué avec la décision de SWIFT, en octobre 2007, de mettre en place une nouvelle organisation. Opérationnelle depuis le début de l'année, cette nouvelle organisation distingue deux zones de traitement : la zone européenne et la zone transatlantique. En conséquence, les messages internes à l'espace européen sont désormais traités et stockés exclusivement en Europe .

Cette nouvelle architecture SWIFT a donc abouti à rapatrier en Europe les données financières auparavant stockées aux États-Unis. Plus de 50 % des données sur lesquelles portaient les injonctions du Trésor américain au titre du programme de lutte contre le financement du terrorisme (TFPT), ne sont plus stockées aux États-Unis. C'est cette situation qui a motivé la négociation d'un nouvel accord pour permettre de maintenir ce transfert de données jugé indispensable par les autorités américaines dans la lutte contre le terrorisme.

2. Le transfert de données financières : quelle efficacité dans la lutte contre le terrorisme ?

Ce transfert de données financières est-il réellement efficace dans la lutte contre le terrorisme ? Nous le savons, l'évaluation du programme TFTP a été faite deux années de suite par le juge Bruguière. Celui-ci a conclu, dans des rapports adressés au Conseil, à la grande utilité du TFTP pour la lutte contre terrorisme, aussi bien pour la sécurité des États-Unis que pour celle de l'Union européenne. La Commission européenne elle-même évoque un bon millier de cas dans lesquels des informations pertinentes ont été fournies aux États membres en matière de terrorisme grâce au TFTP.

J'ai interrogé le Gouvernement qui fait valoir qu'accéder aux messages des virements bancaires effectués dans le monde entier - j'indique que SWIFT détient 90 % du marché -permettrait une grande efficacité dans les enquêtes financières (pas seulement terroristes d'ailleurs). Cela autoriserait notamment à contourner les juridictions non coopératives (c'est-à-dire les « paradis fiscaux ») et de remonter facilement des flux bancaires sans devoir passer par l'obstacle de la connaissance préalable des comptes bancaires et de leur exploitation. Prenons acte de ces affirmations, tout en soulignant néanmoins qu'une évaluation plus concrète et contradictoire serait nécessaire.

3. La négociation d'un nouvel accord

Le Sénat a adopté, le 21 novembre 2009, une résolution qui affirmait plusieurs priorités - sur lesquelles je reviendrai - dans la perspective de la conclusion du projet d'accord avec les États-Unis sur le transfert des données financières (dit « accord SWIFT »).

Par la suite, le conseil « JAI » du 30 novembre 2009 a autorisé la présidence du Conseil à signer cet accord qui devait revêtir un caractère intérimaire avant la conclusion d'un accord à plus long terme. Mais, le 11 février 2010, le Parlement européen n'a pas approuvé l'accord. Or, depuis l'entrée en vigueur du traité de Lisbonne, le 1 er décembre 2009, cette approbation est indispensable. L'accord intérimaire n'est donc pas entré en vigueur.

Pour autant, la situation qui avait motivé la conclusion d'un accord intérimaire demeure. C'est pourquoi de nouvelles négociations ont été engagées en vue de la conclusion d'un accord à long terme. Toutefois, il est clair qu'un tel accord ne pourra aboutir que s'il répond aux préoccupations exprimées par le Parlement européen, qui rejoignent les nôtres, concernant la protection des données à caractère personnel.

Je vous rappelle qu'à l'invitation du président Jean Bizet, le 28 avril dernier, nous avions conclu à la nécessité de rester vigilants sur le déroulement de la négociation d'un nouvel accord pour que l'enjeu d'efficacité de la lutte contre le terrorisme - que nous partageons - se concilie avec un autre enjeu tout aussi essentiel de protection des droits fondamentaux, en particulier des données personnelles. Ce n'est que sous cette réserve que nous avions pris acte de la recommandation de la Commission européenne.

II. Le contenu de l'accord

Je voudrais maintenant examiner le contenu de l'accord, au regard des préoccupations que le Sénat avait exprimées.

1. La finalité de la transmission des données

Selon la résolution du Sénat, la lutte contre le terrorisme doit être la finalité exclusive de la transmission de ces données financières.

L'accord prévoit bien que la lutte contre le terrorisme et son financement sera la finalité exclusive de la transmission des données SWIFT . Nous pouvons donc prendre acte de cette garantie qui est essentielle.

Je précise que la définition du terrorisme donnée par l'accord est celle de la loi américaine. Je rappelle que c'était déjà le cas dans l'accord temporaire finalement rejeté par le Parlement européen. Toutefois, le Gouvernement considère que les différences avec la définition européenne, telles qu'elle résulte d'une décision-cadre de 2002, sont mineures et n'ont aucune portée opérationnelle.

Définition du terrorisme par l'article 2 de l'accord

Champ d'application lié au terrorisme ou au financement du terrorisme

Le présent accord s'applique à l'obtention et à l'utilisation de données de messagerie financière et de données connexes aux fins de la prévention, de la détection, des enquêtes ou des poursuites portant sur :

a) les actes d'une personne ou d'une entité qui présentent un caractère violent, un danger pour la vie humaine ou qui font peser un risque de dommage sur des biens ou des infrastructures, et qui, compte tenu de leur nature et du contexte, peuvent être raisonnablement perçus comme étant perpétrés dans le but:

i) d'intimider une population ou de faire pression sur elle;

ii) d'intimider ou de contraindre des pouvoirs publics ou une organisation internationale, ou de faire pression sur ceux-ci, pour qu'ils agissent ou s'abstiennent d'agir; ou

iii) de gravement déstabiliser ou détruire les structures fondamentales politiques, constitutionnelles, économiques ou sociales d'un pays ou d'une organisation internationale;

b) une personne ou une entité qui facilite ou favorise les actes visés au point a), ou y contribue financièrement, matériellement ou techniquement, ou par des services financiers ou autres en leur faveur; ou

c) une personne ou une entité fournissant ou collectant des fonds, par quelque moyen que ce soit, directement ou indirectement, en vue de les utiliser ou en sachant qu'ils seront utilisés, en partie ou dans leur intégralité, pour commettre tout acte décrit aux points a) ou b); ou

d) une personne ou une entité qui aide à commettre les actes visés au point a), b), ou c) qui s'en rend complice ou qui tente de les commettre.

On relèvera néanmoins que, dans l'hypothèse où ce sont les autorités d'un État membre de l'Union européenne qui interrogent le TFTP, la définition retenue est celle de l'Union européenne. Il y a là un problème de cohérence que l'on peut regretter. Mais concrètement cela ne devrait pas prêter à conséquence.

Nous avions aussi émis des réserves sur une transmission en masse des données « potentiellement intéressantes » . J'observe que l'accord précise que la demande de transmission devra recenser « aussi clairement que possible » les données nécessaires, expliquer clairement en quoi les données sont nécessaires et être adaptée « aussi strictement que possible » pour réduire au maximum le volume des données demandées.

Pour autant, L'accord ne garantit pas que seules des données pertinentes seront transmises aux autorités américaines et que seront exclus les transferts « en vrac » de données.

Le Gouvernement m'a fait observer que c'est en pratique impossible. Le TFTP repose sur le fonctionnement suivant : des messages concernant principalement une zone géographique (par exemple les messages entre le Soudan et l'Iran) sont transférés en bloc, depuis les Pays-Bas, dans la base de données TFTP, système permettant de passer des requêtes d'interrogation. Il y aurait 15 millions de messages transmis chaque mois d'Europe vers les États-Unis. Mais ce sont des messages « fermés » dont on ne connaît pas le contenu.

J'ajoute la question des données sensibles qui ne sont pas exclues mais qui devront être protégées conformément aux garanties prévues par l'accord « et en tenant dûment compte de leur caractère particulièrement sensible. » Je rappelle que le Sénat avait demandé l'exclusion pure et simple de ces données du projet de PNR européen. Le Gouvernement fait valoir que la « typologie SWIFT » exclut a priori ces données. On peut néanmoins avoir des doutes compte tenu de la formulation laconique de l'accord sur ce point. Il aurait été préférable d'exclure leur transmission.

2. La définition et le rôle des autorités compétentes pour la transmission des données

Selon la résolution du Sénat, la qualité et les missions qu'aura l'autorité européenne responsable de la transmission des données doivent être définies précisément. Cette autorité doit pouvoir exercer un contrôle effectif sur la conformité des demandes aux conditions posées par le projet d'accord et par l'accord bilatéral sur l'entraide judiciaire.

La recommandation de la Commission européenne prévoyait qu'une autorité judiciaire publique devrait être désignée au sein de l'Union européenne. Or l'accord a choisi de confier ce rôle à Europol.

Ce choix est très contestable. Europol n'est pas une autorité européenne indépendante. C'est une agence de nature policière, qui est destinataire des données obtenues par le biais du TFTP. Elle n'a donc pas véritablement d'intérêt à limiter l'envoi de données aux États-Unis.

Le gouvernement français avait pour sa part préconisé la création d'une sorte d'autorité indépendante européenne, à la tête de laquelle aurait été nommé un magistrat ou une personnalité éminente. Ce n'est pas le choix qui a été fait par la Commission européenne qui a imposé la solution Europol dans l'accord.

Dans une déclaration du Conseil prise au moment de l'adoption de la décision de signature par le Conseil, il est néanmoins indiqué que l'officier à la protection des données d'Europol sera impliqué dans cette évaluation.

3. La conservation des données et le partage de l'information

La résolution du Sénat demandait que l'accès aux données soit réservé à des services dûment habilités et pour cette seule finalité et que la communication à des tiers des données fournies soit prohibée.

L'accord prévoit que les données ne pourront être partagées qu'avec des services répressifs (ou des organismes internationaux type Interpol) pour la finalité de lutte contre le terrorisme, mais ces services pourront relever de pays tiers, sous réserve de l'accord du pays de provenance des données dont un ressortissant serait concerné par le transfert.

En outre, les informations seront partagées uniquement dans un but de recherches d'indices et pour la fin exclusive de la lutte contre le terrorisme ou son financement.

La faculté de transférer les données à des services issus d'États tiers ne va pas sans susciter de fortes interrogations sur les garanties qui pourront être obtenues sur l'utilisation des données et leur respect assuré. Je rappelle qu'à la demande de la France, une déclaration du Conseil annexée à l'accord intérimaire précisait que celui-ci « est sans préjudice d'aucune des dispositions de l'accord à long terme, en particulier en ce qui concerne (...) la transmission de données aux États tiers. »

Le Gouvernement fait valoir qu'il semble difficile, à partir du moment où des données extraites de la base TFTP présentent un intérêt dans la lutte contre le terrorisme, d'interdire purement et simplement leur transmission à des pays tiers et qu'en outre l'autorisation préalable de l'État membre concerné par les données sera requis. C'est en effet une garantie appréciable mais pas suffisante à mes yeux.

4. Le délai de conservation des données

Dans sa résolution, le Sénat demandait que le délai de conservation soit proportionné aux finalités de l'accord et que celui-ci détermine un délai raisonnable.

L'accord prévoit que les données non extraites devront être effacées cinq ans après leur transmission. Les informations extraites de données fournies seront conservées « pendant une durée n'excédant pas celle nécessaire aux enquêtes ou poursuites spécifiques pour lesquelles elles sont utilisées. »

Pour le PNR européen, le Sénat avait proposé une durée de trois ans, qui pourrait être complétée par un nouveau délai de trois ans pour les données ayant montré un intérêt particulier.

Le Gouvernement fait valoir que le délai de 5 années est généralement celui qui est admis pour le stockage des données.

Le contrôleur européen pour la protection des données a, pour sa part, considéré que le délai ( cinq ans ) devrait être réduit pour les données qui n'ont pas été extraites. Le Gouvernement estime que la différence entre données ouvertes et données non ouvertes n'est pas nécessairement pertinente. Pour l'efficacité du système, il est important de pouvoir bénéficier des données sur une période de temps significative. En outre, l'accord prévoit qu'une évaluation sera faite de la pertinence d'une conservation des données sur cette durée. Concrètement, la Commission européenne et les États-Unis analyseront conjointement si des informations pertinentes pour la lutte contre le terrorisme ont été obtenues grâce à de « vieilles » données.

Il faudra donc regarder de près cette évaluation pour vérifier l'adéquation du délai de cinq ans avec la finalité poursuivie.

5. Le droit des personnes concernées

La résolution du Sénat demandait que des garanties soient établies sur les droits des personnes concernées en particulier pour leur permettre d'exercer un recours administratif ou juridictionnel effectif tant dans un État membre qu'aux États-Unis.

L'accord prévoit un droit d'accès aux données ainsi qu'un droit de rectification, d'effacement ou de verrouillage. Il précise que le Trésor américain ne prévoit pas l'exploration de données ( data mining ) ni aucun autre type de profilage ou de filtrage ; les recherches sur ces données devront s'appuyer sur des éléments de preuve préexistants ; les données devront être conservées dans un environnement sécurisé et stockées de manière séparée ; l'accès sera limité aux analystes enquêtant sur le terrorisme.

Nous avions par ailleurs indiqué que l'on ne pouvait admettre la situation - qui résultait de l'accord intérimaire - dans laquelle les citoyens européens ne disposeraient pas de toutes les voies de recours judiciaire ouverte aux citoyens et résidents permanents des États-Unis.

L'accord marque un grand progrès sur ce point. Le droit de recours administratif est garanti. Le recours judiciaire le sera aussi de façon indirecte. Si le recours administratif a échoué, un recours judiciaire pourra être introduit, sans aucune discrimination liée à la résidence ou à la nationalité du demandeur.

6. La supervision et l'évaluation de l'accord

La résolution du Sénat insistait sur le rôle des autorités de contrôle de la protection des données pour superviser et évaluer la mise en oeuvre de l'accord.

L'accord prévoit l'intervention de réviseurs indépendants chargés de contrôler en temps réel le respect des conditions d'accès et d'interrogation à la base de données TFTP. Parmi ces réviseurs, il y aura une « personnalité désignée par la Commission européenne, en accord avec les États-Unis et sous réserve des habilitations de sécurité appropriées ». C'est une garantie importante.

Le réexamen conjoint de l'accord s'effectuera à la demande de l'une des parties et en tout état de cause dans un délai de six mois à compter de son entrée en vigueur. Il associera des experts de la protection des données. Pour l'Union européenne, participeront au réexamen des représentants de deux autorités chargées de la protection des données.

7. L'accès des parlements nationaux aux évaluations

La résolution du Sénat demandait que les parlements nationaux  aient accès aux résultats de la supervision et à l'évaluation qui sera faite de l'accord.

L'accord prévoit qu'à la suite du réexamen conjoint, un rapport est adressé au Conseil et au Parlement européen sur le fonctionnement de l'accord. Il me paraît indispensable que les parlements nationaux aient eux-mêmes accès à ce rapport. Le Gouvernement m'a assuré qu'il nous le transmettrait.

8. La dénonciation de l'accord et la suspension du transfert de données

L'accord restera en vigueur pour une durée de cinq ans et sera automatiquement reconduit pour de nouvelles périodes d'un an, sauf intention contraire exprimée par l'une des parties. Cette reconduction automatique chaque année de l'accord peut paraître difficilement conciliable avec la volonté de procéder à une évaluation approfondie de sa mise en oeuvre. Cependant, pendant la durée de l'accord, la Commission européenne, avec la coopération des États-Unis, entreprendra une étude sur l'introduction d'un système équivalent propre à l'Union européenne « permettant un transfert plus ciblé de données ». La mise en place d'un tel système européen entraînerait une consultation des parties sur l'adaptation de l'accord avec les États-Unis.

Par ailleurs, l'accord permettra à l'Union européenne de suspendre le transfert des données financières lorsque les obligations ne seront pas respectées. Enfin, l'accord pourra être dénoncé.

*

Pour conclure, je crois que nous devons relever les progrès accomplis dans ce nouvel accord pour renforcer les garanties sur la protection des données et les droits des personnes concernées. Il faut y voir l'effet du rôle joué par le Parlement européen qui, devant donner son approbation préalable, est désormais en mesure d'exprimer ses propres exigences pour que soit assuré le respect des droits fondamentaux.

Mais nous devons aussi déplorer certains choix qui ont été faits, en particulier celui d'Europol pour examiner les demandes de transfert de données.

Au-delà, les conditions de supervision de l'accord et son réexamen conjoint seront essentiels. De même, il faudra être très vigilant sur les démarches engagées par la Commission européenne en vue de mettre en place un système européen équivalent permettant un transfert plus ciblé de données.

Compte rendu sommaire du débat

M. Jean Bizet :

Ce qui m'étonne, c'est comment une société a pu, à elle seule, concentrer entre ses mains la transmission de 90 % des paiements bancaires. C'est étonnant et inquiétant à la fois.

Parmi les points surprenants ou contestables de cet accord, je retiens le choix d'Europol comme autorité responsable de la transmission des données aux autorités américaines et la possibilité de transmettre ces données à des États tiers.

Je retiens tout particulièrement l'engagement du Gouvernement français à nous transmettre le rapport au Conseil et au Parlement européen sur le fonctionnement de l'accord SWIFT car je pense qu'il nous faudra périodiquement faire le point sur l'application de l'accord. Enfin, je note que l'Union peut suspendre le transfert des données financières lorsque les obligations ne seront pas respectées. C'est très certainement le moyen de pression le plus efficace entre les mains des européens.

M. Robert Badinter :

Un point mérite d'être approfondi. Compte tenu de la position écrasante de la société SWIFT dans un secteur stratégique, il est essentiel de savoir exactement à qui appartient cette société. Du fait de la sensibilité des données qui transitent par elle, nos États ne peuvent rester indifférents à d'éventuels changements de capital.

M. Jacques Blanc :

On a là la démonstration de l'évolution importante résultant du traité de Lisbonne. C'est en effet le traité de Lisbonne qui a permis au Parlement européen de faire rouvrir les négociations.

Cela nous amène à repenser les rapports entre Parlement européen et parlements nationaux. Nous avons connu un moment de tension entre le Parlement européen et les parlements nationaux lors de l'examen du texte sur l'organisation et le fonctionnement du service européen d'action extérieure. Cette tension était notamment perceptible lors de la rencontre interparlementaire qui s'est déroulée à Bruxelles à ce sujet au début du mois. Mais là, nous sommes en présence d'un dossier où nos préoccupations convergent avec celles du Parlement européen et une bonne coopération peut avoir un effet de levier important.

M. Yann Gaillard :

Le caractère stratégique de la société SWIFT amène en effet à s'interroger sur les détenteurs de son capital.

M. Jean Bizet :

Nous allons approfondir cette question et je vous propose de refaire le point au moment de la transmission du rapport sur le fonctionnement de l'accord.