L'accord Swift est un traité international entré en vigueur le entre l'Union européenne et les États-Unis. Il donne aux autorités américaines l'accès aux données bancaires européennes stockées sur le réseau de la Society for Worldwide Interbank Financial Telecommunication (SWIFT), dans le but de lutter contre le terrorisme, sous certaines conditions de protection de la vie privée des citoyens.

Depuis 2001, les États-Unis exploitaient secrètement les données du réseau Swift sans aucune base juridique. Cependant, la justice belge, où la société Swift est domiciliée, a estimé que celle-ci présentait des garanties suffisantes et a abandonné les poursuites judiciaires à son encontre. En novembre 2009, un premier accord est signé par les vingt-sept États membres de l'Union européenne, mais il a été rejeté par le Parlement européen qui estime qu'il ne protègerait pas suffisamment les données personnelles des citoyens européens.

Espionnage des transactions par les États-Unis modifier

Le , le New York Times révèle que les États-Unis exploitent les données de la Society for Worldwide Interbank Financial Telecommunication (SWIFT) pour espionner les transactions financières internationales dans le cadre de leur programme de lutte contre le terrorisme, depuis les attentats du 11 septembre 2001. Pendant plusieurs années, la société Swift a communiqué à la Central Intelligence Agency (CIA) et au département du Trésor des États-Unis des données concernant des millions de transactions bancaires, en violation de la législation belge et européenne concernant la protection des données personnelles[1].

Les banques centrales belge[2], néerlandaise[3] et suisse[4] reconnaissent peu à peu qu'elles avaient été informées des activités menées par la CIA depuis le début de ces opérations, soit à l'été 2002.

Le quotidien bruxellois Le Soir publie un rapport confidentiel de la Banque nationale de Belgique qui décrit l'ensemble du processus.

« Après les attaques du , le ministère des Finances américain a adressé une demande exécutoire à Swift. Ce ministère a estimé que les informations disponibles chez Swift pourraient l'aider dans son enquête sur le financement du terrorisme. Il a d'abord semblé que l'injonction adressée à Swift ne serait qu'une obligation temporaire […]. Lorsqu'il est devenu évident que les injonctions successives prenaient un caractère récurrent, Swift a insisté pour que la portée de ces injonctions soit limitée. »

— Banque nationale belge, citée par Les Échos[5].

Le , le Parlement européen adopte une résolution qui rappelle que tout transfert de données doit se faire dans un cadre légal, et notamment respecter la directive 95/46/CE sur la protection des données personnelles. La résolution demande que toute la vérité soit faite concernant cette affaire[6].

Le , la Commission belge de protection de la vie privée estime que Swift, qui est domiciliée en Belgique, a violé la loi belge en coopérant à l'insu de ses clients avec les autorités américaines dans le cadre de la lutte contre le terrorisme, mais n'exige cependant pas l'arrêt de cette collaboration[7].

Le Premier ministre belge Guy Verhofstadt indique qu'il souhaite un accord entre l'Union européenne et les États-Unis pour que la coopération en matière de lutte contre le terrorisme se fasse dans un cadre légal. Il déclare : « Ma conclusion, c’est qu’il est absolument nécessaire de mener des négociations entre les autorités européennes et les États-Unis pour trouver un accord ou peut être un traité dans lequel seraient définies les garanties en cas de transfert de données personnelles dans notre combat contre le terrorisme. »[8]

Le , le Groupe de coordination des autorités de protection des données de l'Union européenne (dit « G29 ») rend un avis qui met en cause la société Swift. Il estime qu'elle a enfreint la législation européenne : « SWIFT n'a pas respecté les règles européennes de protection des données, en acceptant de communiquer aux autorités américaines les données bancaires transitant par son réseau » ; et ajoute que les banques centrales européennes ont une part de responsabilité dans cette affaire[9]. De plus, les États-Unis n'ont pas respecté le droit international concernant le financement du terrorisme[10].

En , l'administration américaine confirme qu'elle a l'intention d'invoquer le secret d'État pour mettre fin à la procédure judiciaire en Belgique, car celle-ci exposerait des secrets du programme américain de lutte contre le terrorisme[11].

La norme européenne qui a été violée est une directive, c'est-à-dire qu'elle doit pour être appliquée être transposée dans le droit national des États membres. Il revient donc aux autorités belges de faire respecter le droit européen incorporé dans son droit national, l'infraction ayant été commise dans sa juridiction. La Commission de protection de la vie privée mène une enquête pendant deux ans. Elle rend ses conclusions le  : elle déclare que Swift a respecté la loi sur la vie privée et décide de clore les procédures ouvertes à l'encontre de la société[12],[13].

L'accord « Swift I » modifier

En octobre 2007, la Society for Worldwide Interbank Financial Telecommunication décide de modifier sa structure informatique. Les données concernant les transactions bancaires intra-européennes sont stockées par Swift sur un serveur principal aux Pays-Bas et sur un « serveur jumeau » aux États-Unis, qui permet de disposer d'une copie de sauvegarde. Ce dernier sera remplacé en 2009 par un nouveau « centre opérationnel » situé en Suisse, ce qui permet de conserver en Europe toutes les données bancaires européennes. Les États-Unis ne pourront plus accéder à ces données, celles-ci n'étant plus stockées sur leur territoire[14],[15].

Les États-Unis souhaitent conclure un accord avec l'Union européenne pour continuer à utiliser ces données bancaires. En juillet 2009, le Conseil des ministres de l'Union européenne, qui représente les États membres, annonce qu'il s'apprête à conclure un « accord intérimaire » avec les États-Unis leur permettant de continuer à utiliser le réseau Swift pour avoir accès aux données bancaires européennes[16]. Un accord définitif devrait ensuite être signé après l'entrée en vigueur du traité de Lisbonne. Ce dernier prévoit que les décisions concernant la Justice et les Affaires intérieures (JAI) devront désormais être adoptées suivant la procédure de codécision, c'est-à-dire qu'elles devront être adoptées à la fois par le Conseil des ministres et par le Parlement européen. Jusqu'à présent, le Conseil des ministres décidait seul dans ce domaine.

Ce projet d'accord suscite l'inquiétude de députés européens, notamment le Groupe des Verts/Alliance libre européenne (Verts/ALE)[16] et les membres de la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE), concernant la protection des données personnelles et de la vie privée. Le , le Parlement européen réuni en session plénière adopte une résolution qui demande que l'accord négocié entre l'UE et les États-Unis respecte les droits des citoyens en matière de protection des données personnelles. La résolution exige que l'usage des données soit strictement réservé à des fins de lutte contre le terrorisme, et que les citoyens européens aient accès aux « mêmes procédures judiciaires de réparation que celles qui s'appliquent aux données détenues sur le territoire de l'Union européenne, en particulier du versement d'une indemnisation en cas de traitement illégal de données à caractère personnel »[17].

Elle demande par ailleurs que l'accord soit renégocié après l'entrée en vigueur du traité de Lisbonne le , pour que le contrôle parlementaire puisse s'exercer. Le , le Parlement demande aux gouvernements des États membres de reporter la signature de l'accord[18].

L'accord dit « Swift I » est finalement signé le par les vingt-sept gouvernements, malgré les réticences exprimées par l'Allemagne et l'Autriche. Il prévoit la transmission à Washington de toutes les données bancaires stockées sur le réseau Swift européen. Cet « accord intérimaire » est prévu pour une durée de six mois et doit entrer en vigueur le [19].

Cette signature intervient la veille de l'entrée en vigueur du traité de Lisbonne. Les députés européens dénoncent ce qu'ils considèrent comme une manœuvre politique des gouvernements destinée à empêcher l'exercice du contrôle parlementaire. Le président du groupe parlementaire Alliance progressiste des socialistes et démocrates au Parlement européen (S&D) Martin Schulz déclare : « Nous n'avons pas été impliqués et c'est inacceptable. L'accord SWIFT prévoit des infractions assez sérieuses au droit à la vie privée. Nous devons nous assurer que la protection des données sera garantie, que les délais nécessaires seront respectés, ainsi que le droit à la réparation et la possibilité d'aller en justice. »[20] Le Conseil des ministres accepte que l'accord soit soumis à un vote du Parlement.

Le , la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement rejette l'accord Swift par 23 voix pour et 29 voix contre[21]. Le , le Parlement européen réuni en session plénière, vote par 378 voix contre 196 et 31 abstentions le rejet de l'accord, le privant ainsi d'effet juridique[22].

L'accord « Swift II » modifier

À la suite du rejet de l'accord Swift par le Parlement, la Commission européenne se prononce en faveur d'une renégociation de l'accord[23]. Cecilia Malmström, nouvelle commissaire européenne aux Affaires intérieures, déclare : « Je vais proposer le plus rapidement possible un nouveau mandat de négociation avec les États-membres. J'examine actuellement les solutions possibles avec nos partenaires américains tenant compte des préoccupations du parlement européen. »[24] Le Conseil des ministres, qui représente les États membres, se prononce à l'unanimité en faveur d'un nouvel accord entre l'Union européenne et les États-Unis pour poursuivre la coopération en matière de lutte contre le terrorisme[25].

Le , la Commission européenne propose un nouveau mandat pour négocier un nouvel accord avec les États-Unis, qui doit être approuvé par le Conseil des ministres[26].

Le mandat de négociation contient les instructions suivantes[27] :

  • le transfert ou le traitement de données à caractère personnel par les autorités européennes ou américaines ne sera autorisé qu'à des fins déterminées, explicites et légitimes dans le cadre de la lutte contre la criminalité et le terrorisme ;
  • toute personne aura un droit opposable en justice d'accéder aux données à caractère personnel la concernant ;
  • toute personne aura le droit de faire rectifier ou effacer des données à caractère personnel la concernant si elles se révèlent inexactes ;
  • toute personne aura un droit de recours administratif et juridictionnel, sans considération de nationalité ou de lieu de résidence.

Le Conseil des ministres s'accorde sur le projet de mandat le . La signature officielle est cependant reportée au , car l'ensemble des ministres n'a pas pu être présent en raison de l'éruption de l'Eyjafjöll en Islande, qui perturbe l'espace aérien européen[28].

Le , le Parlement européen rend un avis sur le mandat de négociation. Il s'oppose au transfert de données bancaires « en vrac ». La députée S&D Birgit Sippel explique : « Nous leur fournissons 90 millions de données lorsqu'ils en réclament 4 ou 5. Il faut limiter ce volume. » Il exige également que des fonctionnaires européens soient détachés aux États-Unis pour contrôler l'exploitation des données bancaires issues du réseau Swift[29]. Le lendemain, le Vice-président des États-Unis Joe Biden prononce un discours dans l'hémicycle du Parlement européen en faveur de la conclusion rapide d'un nouvel accord Swift[30]. Cette intervention souligne l'importance croissante du Parlement européen induite par le traité de Lisbonne, qui lui confère un droit de veto sur le futur accord[23].

Les négociations de la Commission européenne avec les États-Unis sont entamées le et menées rapidement. Le , la Commission adopte le projet d'accord relatif au programme de surveillance du financement du terrorisme (TFTP), dit « Swift II »[31]. L'accord est signé le à Bruxelles[32].

Cet accord doit être ratifié par le Parlement européen. Le , la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) vote une recommandation favorable par 41 voix pour, 9 contre et 1 abstention. Elle estime que le nouvel accord donne des garanties suffisantes sur le plan de la protection des données personnelles[33]. Le , le Parlement réuni en séance plénière ratifie l'accord Swift II, par 484 voix pour, 109 voix contre et 12 abstentions[34].

Le Conseil des ministres ratifie à son tour l'accord le [35]. L'accord Swift entre en vigueur le pour une durée de cinq ans, automatiquement reconduite si aucune des parties ne souhaite le modifier.

Analyse politique modifier

Selon Miles Kahler et David Lake, l'affaire de l'espionnage des transactions bancaires est un exemple de régulation internationale fondée sur la hiérarchie[Laquelle ?], par opposition aux deux autres modes de régulation que sont la supranationalité et la gouvernance en réseau. La hiérarchie consiste en « un transfert de pouvoir politique d'un ou plusieurs États subordonnés à un État dominant qui obtient le pouvoir de prendre des décisions contraignantes »[36]. Dans le cas de Swift, la hiérarchie prend la forme de l'extraterritorialité : les États-Unis appliquent leurs règles nationales concernant la lutte contre le terrorisme à des personnes et des opérations financières en dehors de leur juridiction. Le conflit de normes entre la loi américaine, centrée sur la lutte contre le terrorisme, et la loi européenne, centrée sur la protection de la vie privée, est résolu par le mode de la hiérarchie : l'accord Swift conclu entre les deux parties est largement en faveur des intérêts des États-Unis[37].

Les raisons expliquant le choix de ce mode de gouvernance sont :

  • un désaccord suffisamment important pour empêcher une résolution par un dialogue informel (« gouvernance en réseau »), mais pas au point qu'aucun accord ne soit atteint ;
  • la légitimité traditionnelle des États-Unis, considérés comme l'acteur central de la régulation financière ;
  • la légitimité exceptionnelle des États-Unis, bénéficiant de sympathie après les attentats du [38].

La principale controverse autour de ces événements est l'étendue des pouvoirs implicitement transférés aux États-Unis par l'Union européenne. La médiatisation et le débat politique qu'ont suscité l'exploitation des données du réseau Swift, ainsi que d'autres affaires comme le blocage des transferts de fonds vers la Palestine ou l'extradition des dirigeants d'Enron, montrent que les États-Unis testent les limites de leur pouvoir sur d'autres États[39].

Mise en œuvre de l'accord modifier

L'accord Swift entre en vigueur le .

En , un rapport de l'Autorité de contrôle commune d'Europol critique les conditions du transfert de données bancaires européennes vers les États-Unis. Selon l'accord Swift, Europol vérifie pour chaque requête présentée par les États-Unis si le transfert de données est nécessaire. Les demandes d'accès aux données bancaires envoyées par les autorités américaines sont trop vagues pour pouvoir contrôler efficacement leur validité ; Europol accorde cependant tous les transferts demandés. L'article 15 de l'accord Swift prévoit que les citoyens européens ont un droit à savoir si leurs données bancaires personnelles ont été transmises aux autorités américaines. Ce droit d'accès n'est pas appliqué, et une personne adressant une demande d'accès se voit demander des données personnelles supplémentaires[40].

En , le Groupe de coordination des autorités de protection des données de l'Union européenne (G29) adresse une lettre commune au gouvernement des États-Unis pour réclamer le respect des principes de la protection des données personnelles[41].

Références modifier

  1. « Washington espionne les transactions bancaires internationales », L'Expansion, 23 juin 2006.
  2. « Comment la CIA épie le financement du terrorisme », Le Figaro, 23 juin 2006.
  3. « La CIA a espionné des banques du monde entier », Le Parisien, 25 juin 2006.
  4. « Espionnage bancaire : la Suisse savait déjà en 2002 », Armees.com, 2 juillet 2006.
  5. « Swift : comment l'agence fédérale a intercepté des données bancaires », Les Échos, 21 juillet 2006.
  6. Résolution du Parlement européen, 6 juillet 2006.
  7. « Vous êtes en faute, surtout continuez », La Libre Belgique, 29 septembre 2006
  8. « Swift irrespectueux de la vie privée en Belgique », Euronews, 28 septembre 2006.
  9. « Swift transfère illégalement des données personnelles à Washington », Le Monde Informatique", 27 novembre 2006.
  10. « Le G29 confirme que SWIFT a violé les règles européennes de protection des données », Commission nationale de l'informatique et des libertés (France), 5 décembre 2006
  11. (en) « U.S. may invoke 'state secrets' to squelch suit against Swift », International Herald Tribune, 31 août 2007.
  12. Rapport de la Commission de la vie privée, 10 décembre 2008.
  13. « Vie privée : Swift blanchi », Le Soir, 11 décembre 2008.
  14. « Swift installera son deuxième centre en Suisse », La Libre, 8 octobre 2007.
  15. Note d'information réalisée par le Conseil des ministres, 30 novembre 2009
  16. a et b « États-Unis et Europe négocient l'accès aux données bancaires », Les Échos, 28 juillet 2009.
  17. Communiqué du Parlement européen, 17 septembre 2009.
  18. « Terrorisme : l'Europe hésite à conclure un accord clef avec Washington », Romandie News, 26 novembre 2009.
  19. « US-UE : accord maintenu sur les données bancaires », France 2, 30 novembre 2009.
  20. Communiqué du Parlement européen, 20 janvier 2010.
  21. Communiqué du Parlement européen, 4 février 2010.
  22. Communiqué du Parlement européen, 11 février 2010.
  23. a et b « Négociations SWIFT : nouvelle donne dans les relations UE/États-Unis », Europolitique, 19 mars 2010.
  24. « La Commission européenne veut un nouveau mandat de négociations sur Swift », Le Vif, 24 février 2010.
  25. Communiqué de presse de la Commission européenne, 24 mars 2010.
  26. « Swift : l’UE relance les négociations », Le Soir, 24 mars 2010.
  27. Communiqué de presse de la Commission européenne, 26 mai 2010
  28. « Swift : le feu vert au mandat de négociation reporté au 10 mai », Europolitique, 23 avril 2010.
  29. « Terrorisme: le mandat de négociation de l'UE avec Washington durci », Romandie News, 5 mai 2010.
  30. « Joe Biden en Europe pour plaider l'accord Swift », RTBF, 6 mai 2010.
  31. « La Commission européenne a adopté un projet d'accord avec les États-Unis visant à surveiller le financement du terrorisme », Europaforum.lu, 15 juin 2010.
  32. Annonce sur le site de la présidence espagnole de l'Union européenne.
  33. Communiqué du Parlement européen, 5 juillet 2010.
  34. « Le Parlement européen a approuvé jeudi l'accord Swift », Nouvel Observateur, 8 juillet 2010.
  35. Communiqué de presse du Conseil des ministres, 13 juillet 2010.
  36. « Hierarchy shifts political authority from one or more subordinate states to a dominant state that is empowered to issue authoritative decisions. », traduction libre, p. 246.
  37. KAHLER Miles, LAKE David, « Economic Integration and Global Governance: Why So Little Supranationalism? », in MATTLI Walter, NGAIRE Woods, The Politics of Global Regulation, Princeton University Press, 2009, p. 266.
  38. Idem, p. 267.
  39. Idem, p. 268.
  40. (en) « Brussels Eyes a Halt to SWIFT Data Agreement », Der Spiegel, 16 mars 2011.
  41. « Accord SWIFT: Les autorités de contrôle européennes pour une meilleure prise en compte des principes de la protection des données », Commission nationale pour la protection des données du Luxembourg, 24 juin 2011.

Articles connexes modifier