Accord Swift

Le 23 juin 2006, le New York Times révèle que les États-Unis exploitent les données de la Society for Worldwide Interbank Financial Telecommunication (SWIFT) pour espionner les transactions financières internationales dans le cadre de leur programme de lutte contre le terrorisme, depuis les attentats du 11 septembre 2001. Pendant plusieurs années, la société Swift a communiqué à la Central Intelligence Agency (CIA) et au Département du Trésor des États-Unis des données concernant des millions de transactions bancaires, en violation de la législation belge et européenne concernant la protection des données personnelles[1].

Les banques centrales belge[2], néerlandaise[3] et suisse[4] reconnaissent peu à peu qu'elles avaient été informées des activités menées par la CIA depuis le début de ces opérations, soit à l'été 2002.

Le quotidien bruxellois Le Soir publie un rapport confidentiel de la Banque nationale de Belgique qui décrit l'ensemble du processus.

« Après les attaques du 11 septembre 2001, le ministère des Finances américain a adressé une demande exécutoire à Swift. Ce ministère a estimé que les informations disponibles chez Swift pourraient l'aider dans son enquête sur le financement du terrorisme. Il a d'abord semblé que l'injonction adressée à Swift ne serait qu'une obligation temporaire […]. Lorsqu'il est devenu évident que les injonctions successives prenaient un caractère récurrent, Swift a insisté pour que la portée de ces injonctions soit limitée. »

— Banque nationale belge, citée par Les Échos[5].

Le 6 juillet 2006, le Parlement européen adopte une résolution qui rappelle que tout transfert de données doit se faire dans un cadre légal, et notamment respecter la directive 95/46/CE sur la protection des données personnelles. La résolution demande que toute la vérité soit faite concernant cette affaire[6].

Le 28 septembre 2006, la Commission belge de protection de la vie privée estime que Swift, qui est domiciliée en Belgique, a violé la loi belge en coopérant à l'insu de ses clients avec les autorités américaines dans le cadre de la lutte contre le terrorisme, mais n'exige cependant pas l'arrêt de cette collaboration[7].

Le Premier ministre belge Guy Verhofstadt indique qu'il souhaite un accord entre l'Union européenne et les États-Unis pour que la coopération en matière de lutte contre le terrorisme se fasse dans un cadre légal. Il déclare : « Ma conclusion, c’est qu’il est absolument nécessaire de mener des négociations entre les autorités européennes et les États-Unis pour trouver un accord ou peut être un traité dans lequel seraient définies les garanties en cas de transfert de données personnelles dans notre combat contre le terrorisme. »[8]

Le 22 novembre 2006, le Groupe de coordination des autorités de protection des données de l'Union européenne (dit « G29 ») rend un avis qui met en cause la société Swift. Il estime qu'elle a enfreint la législation européenne : « SWIFT n'a pas respecté les règles européennes de protection des données, en acceptant de communiquer aux autorités américaines les données bancaires transitant par son réseau » ; et ajoute que les banques centrales européennes ont une part de responsabilité dans cette affaire[9]. De plus, les États-Unis n'ont pas respecté le droit international concernant le financement du terrorisme[10].

En août 2007, l'administration américaine confirme qu'elle a l'intention d'invoquer le secret d'État pour mettre fin à la procédure judiciaire en Belgique, car celle-ci exposerait des secrets du programme américain de lutte contre le terrorisme[11].

La norme européenne qui a été violée est une directive, c'est-à-dire qu'elle doit pour être appliquée être transposée dans le droit national des États membres. Il revient donc aux autorités belges de faire respecter le droit européen incorporé dans son droit national, l'infraction ayant été commise dans sa juridiction. La Commission de protection de la vie privée mène une enquête pendant deux ans. Elle rend ses conclusions le 10 décembre 2008 : elle déclare que Swift a respecté la loi sur la vie privée et décide de clore les procédures ouvertes à l'encontre de la société[12] - [13].

En octobre 2007, la Society for Worldwide Interbank Financial Telecommunication décide de modifier sa structure informatique. Les données concernant les transactions bancaires intra-européennes sont stockées par Swift sur un serveur principal aux Pays-Bas et sur un « serveur jumeau » aux États-Unis, qui permet de disposer d'une copie de sauvegarde. Ce dernier sera remplacé en 2009 par un nouveau « centre opérationnel » situé en Suisse, ce qui permet de conserver en Europe toutes les données bancaires européennes. Les États-Unis ne pourront plus accéder à ces données, celles-ci n'étant plus stockées sur leur territoire[14] - [15].

Les États-Unis souhaitent conclure un accord avec l'Union européenne pour continuer à utiliser ces données bancaires. En juillet 2009, le Conseil des ministres de l'Union européenne, qui représente les États membres, annonce qu'il s'apprête à conclure un « accord intérimaire » avec les États-Unis leur permettant de continuer à utiliser le réseau Swift pour avoir accès aux données bancaires européennes[16]. Un accord définitif devrait ensuite être signé après l'entrée en vigueur du traité de Lisbonne. Ce dernier prévoit que les décisions concernant la Justice et les Affaires intérieures (JAI) devront désormais être adoptées suivant la procédure de codécision, c'est-à-dire qu'elles devront être adoptées à la fois par le Conseil des ministres et par le Parlement européen. Jusqu'à présent, le Conseil des ministres décidait seul dans ce domaine.

Ce projet d'accord suscite l'inquiétude de députés européens, notamment le Groupe des Verts/Alliance libre européenne (Verts/ALE)[16] et les membres de la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE), concernant la protection des données personnelles et de la vie privée. Le 17 septembre 2009, le Parlement européen réuni en session plénière adopte une résolution qui demande que l'accord négocié entre l'UE et les États-Unis respecte les droits des citoyens en matière de protection des données personnelles. La résolution exige que l'usage des données soit strictement réservé à des fins de lutte contre le terrorisme, et que les citoyens européens aient accès aux « mêmes procédures judiciaires de réparation que celles qui s'appliquent aux données détenues sur le territoire de l'Union européenne, en particulier du versement d'une indemnisation en cas de traitement illégal de données à caractère personnel »[17].

Elle demande par ailleurs que l'accord soit renégocié après l'entrée en vigueur du traité de Lisbonne le 1^er décembre 2009, pour que le contrôle parlementaire puisse s'exercer. Le 26 novembre 2009, le Parlement demande aux gouvernements des États membres de reporter la signature de l'accord[18].

L'accord dit « Swift I » est finalement signé le 30 novembre 2009 par les vingt-sept gouvernements, malgré les réticences exprimées par l'Allemagne et l'Autriche. Il prévoit la transmission à Washington de toutes les données bancaires stockées sur le réseau Swift européen. Cet « accord intérimaire » est prévu pour une durée de six mois et doit entrer en vigueur le 1^er février 2010[19].

Cette signature intervient la veille de l'entrée en vigueur du traité de Lisbonne. Les députés européens dénoncent ce qu'ils considèrent comme une manœuvre politique des gouvernements destinée à empêcher l'exercice du contrôle parlementaire. Le président du groupe parlementaire Alliance progressiste des socialistes et démocrates au Parlement européen (S&D) Martin Schulz déclare : « Nous n'avons pas été impliqués et c'est inacceptable. L'accord SWIFT prévoit des infractions assez sérieuses au droit à la vie privée. Nous devons nous assurer que la protection des données sera garantie, que les délais nécessaires seront respectés, ainsi que le droit à la réparation et la possibilité d'aller en justice. »[20] Le Conseil des ministres accepte que l'accord soit soumis à un vote du Parlement.

Le 4 février 2010, la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement rejette l'accord Swift par 23 voix pour et 29 voix contre[21]. Le 11 février 2010, le Parlement européen réuni en session plénière, vote par 378 voix contre 196 et 31 abstentions le rejet de l'accord, le privant ainsi d'effet juridique[22].

À la suite du rejet de l'accord Swift par le Parlement, la Commission européenne se prononce en faveur d'une renégociation de l'accord[23]. Cecilia Malmström, nouvelle commissaire européenne aux Affaires intérieures, déclare : « Je vais proposer le plus rapidement possible un nouveau mandat de négociation avec les États-membres. J'examine actuellement les solutions possibles avec nos partenaires américains tenant compte des préoccupations du parlement européen. »[24] Le Conseil des ministres, qui représente les États membres, se prononce à l'unanimité en faveur d'un nouvel accord entre l'Union européenne et les États-Unis pour poursuivre la coopération en matière de lutte contre le terrorisme[25].

Le 24 mars 2010, la Commission européenne propose un nouveau mandat pour négocier un nouvel accord avec les États-Unis, qui doit être approuvé par le Conseil des ministres[26].

Le mandat de négociation contient les instructions suivantes[27] :

• le transfert ou le traitement de données à caractère personnel par les autorités européennes ou américaines ne sera autorisé qu'à des fins déterminées, explicites et légitimes dans le cadre de la lutte contre la criminalité et le terrorisme ;
• toute personne aura un droit opposable en justice d'accéder aux données à caractère personnel la concernant ;
• toute personne aura le droit de faire rectifier ou effacer des données à caractère personnel la concernant si elles se révèlent inexactes ;
• toute personne aura un droit de recours administratif et juridictionnel, sans considération de nationalité ou de lieu de résidence.

Le Conseil des ministres s'accorde sur le projet de mandat le 23 avril 2010. La signature officielle est cependant reportée au 10 mai, car l'ensemble des ministres n'a pas pu être présent en raison de l'éruption de l'Eyjafjöll en Islande, qui perturbe l'espace aérien européen[28].

Le 5 mai 2010, le Parlement européen rend un avis sur le mandat de négociation. Il s'oppose au transfert de données bancaires « en vrac ». La députée S&D Birgit Sippel explique : « Nous leur fournissons 90 millions de données lorsqu'ils en réclament 4 ou 5. Il faut limiter ce volume. » Il exige également que des fonctionnaires européens soient détachés aux États-Unis pour contrôler l'exploitation des données bancaires issues du réseau Swift[29]. Le lendemain, le Vice-président des États-Unis Joe Biden prononce un discours dans l'hémicycle du Parlement européen en faveur de la conclusion rapide d'un nouvel accord Swift[30]. Cette intervention souligne l'importance croissante du Parlement européen induite par le traité de Lisbonne, qui lui confère un droit de veto sur le futur accord[23].

Les négociations de la Commission européenne avec les États-Unis sont entamées le 26 mai 2010 et menées rapidement. Le 15 juin 2010, la Commission adopte le projet d'accord relatif au programme de surveillance du financement du terrorisme (TFTP), dit « Swift II »[31]. L'accord est signé le 28 juin à Bruxelles[32].

Cet accord doit être ratifié par le Parlement européen. Le 5 juillet 2010, la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) vote une recommandation favorable par 41 voix pour, 9 contre et 1 abstention. Elle estime que le nouvel accord donne des garanties suffisantes sur le plan de la protection des données personnelles[33]. Le 8 juillet, le Parlement réuni en séance plénière ratifie l'accord Swift II, par 484 voix pour, 109 voix contre et 12 abstentions[34].

Le Conseil des ministres ratifie à son tour l'accord le 13 juillet[35]. L'accord Swift entre en vigueur le 1^er août 2010 pour une durée de cinq ans, automatiquement reconduite si aucune des parties ne souhaite le modifier.

Selon Miles Kahler et David Lake, l'affaire de l'espionnage des transactions bancaires est un exemple de régulation internationale fondée sur la hiérarchie, par opposition aux deux autres modes de régulation que sont la supranationalité et la gouvernance en réseau. La hiérarchie consiste en « un transfert de pouvoir politique d'un ou plusieurs États subordonnés à un État dominant qui obtient le pouvoir de prendre des décisions contraignantes »[36]. Dans le cas de Swift, la hiérarchie prend la forme de l'extraterritorialité : les États-Unis appliquent leurs règles nationales concernant la lutte contre le terrorisme à des personnes et des opérations financières en dehors de leur juridiction. Le conflit de normes entre la loi américaine, centrée sur la lutte contre le terrorisme, et la loi européenne, centrée sur la protection de la vie privée, est résolu par le mode de la hiérarchie : l'accord Swift conclu entre les deux parties est largement en faveur des intérêts des États-Unis[37].

Les raisons expliquant le choix de ce mode de gouvernance sont :

• un désaccord suffisamment important pour empêcher une résolution par un dialogue informel (« gouvernance en réseau »), mais pas au point qu'aucun accord ne soit atteint ;
• la légitimité traditionnelle des États-Unis, considérés comme l'acteur central de la régulation financière ;
• la légitimité exceptionnelle des États-Unis, bénéficiant de sympathie après les attentats du 11 septembre 2001[38].

La principale controverse autour de ces événements est l'étendue des pouvoirs implicitement transférés aux États-Unis par l'Union européenne. La médiatisation et le débat politique qu'ont suscité l'exploitation des données du réseau Swift, ainsi que d'autres affaires comme le blocage des transferts de fonds vers la Palestine ou l'extradition des dirigeants d'Enron, montrent que les États-Unis testent les limites de leur pouvoir sur d'autres États[39].

L'accord Swift entre en vigueur le 1^er août 2010.

En mars 2011, un rapport de l'Autorité de contrôle commune d'Europol critique les conditions du transfert de données bancaires européennes vers les États-Unis. Selon l'accord Swift, Europol vérifie pour chaque requête présentée par les États-Unis si le transfert de données est nécessaire. Les demandes d'accès aux données bancaires envoyées par les autorités américaines sont trop vagues pour pouvoir contrôler efficacement leur validité ; Europol accorde cependant tous les transferts demandés. L'article 15 de l'accord Swift prévoit que les citoyens européens ont un droit à savoir si leurs données bancaires personnelles ont été transmises aux autorités américaines. Ce droit d'accès n'est pas appliqué, et une personne adressant une demande d'accès se voit demander des données personnelles supplémentaires[40].

En juin 2011, le Groupe de coordination des autorités de protection des données de l'Union européenne (G29) adresse une lettre commune au gouvernement des États-Unis pour réclamer le respect des principes de la protection des données personnelles[41].

• Society for Worldwide Interbank Financial Telecommunication
• Terrorist Finance Tracking Program (en)
• Traité d'assistance judiciaire mutuelle