Fin juin 2006, la presse américaine révélait qu’invoquant le Terrorist Finance Tracking Program (TFTP), le Trésor américain (et plus particulièrement l’Office of Foreign Assets Control) obtenait auprès de la société de droit belge SWIFT des données confidentielles concernant les ordres de virement passés par les banques européennes pour le compte de leurs clients européens.

Cela déclencha l’intervention du parlement européen au nom de la législation sur la protection des données personnelles ^[1]

«Les sommations du ministère des Finances américain peuvent être qualifiées de demandes non individualisées et massives - carpetsweepings. Le champ d’application des sommations est tant matériel que territorial et très étendu dans le temps. … Les messages financiers qui sont traités et enregistrés par SWIFT contiennent … des données physiques telles que l’identité du bénéficiaire et l’identité du donneur d’ordre ... ^[2] »

L’enquête parlementaire belge révéla que, confrontée aux sommations américaines, la société SWIFT fit le choix de traiter plutôt que d’attaquer devant les tribunaux, non sans aviser, en février 2002, les banques centrales européennes de l’accord conclu. Mais aucune d’elles «n’a eu le réflexe d’informer ou de consulter les autorités européennes compétentes en matière de protection des données». Selon ces accords, ce transfert massif de données ne pouvait être opéré qu’au profit de la lutte contre le terrorisme, sous la supervision d’un «auditeur externe» ^[3] . En septembre 2003, le Trésor américain assurait SWIFT de son soutien «au cas où des autorités d’autres pays mettraient en cause le respect des sommations par SWIFT».

Viol, en toute connaissance de cause, de la loi concernant la protection des données

Le Gardien européen de la protection des données personnelles (EDPS) rendit son avis le 1er février 2007, constatant le viol, en toute connaissance de cause, de la loi concernant la protection des données, y compris par la Banque centrale européenne pour ses transactions effectuées via SWIFT, L’EDPS notait dans ses conclusions:

«Il existe déjà au sein de l’UE et internationalement de nombreux instruments destinés à la lutte contre le crime et le terrorisme, respectant pour autant les droits fondamentaux. Ceux-ci doivent être pleinement exploités avant de proposer tout nouvel accord au niveau international. En aucun cas, la lutte contre le crime et le terrorisme ne doit s’affranchir des normes de protection des droits fondamentaux caractérisant les sociétés démocratiques. ^[4] »

Mais l’Union européenne dispose d’une dérogation à ses propres lois concernant la protection des données.

«Le Conseil et le parlement ont donné le pouvoir à la Commission de décider sur la base de l’article 25-6 de la directive 95/46/CE qu’un pays tiers offre un niveau de protection adéquat en raison de sa législation interne ou des engagements pris au niveau international ^[5] ».

En juin 2007, dans un échange de lettres entre le Trésor américain et le Conseil de l’UE, le premier mettait en avant que

«le TFTP comprend de multiples dispositions intercroisant des niveaux de contrôle tant gouvernementaux qu’indépendants pour assurer que ces données, de nature limitée, ne sont utilisées que pour la lutte antiterroriste, qu’elles ne sont conservées que pour la durée nécessaire à cette fin et qu’elles sont toutes gardées en sécurité». Par ailleurs, le TFTP «représente exactement ce que les citoyens attendent de leurs gouvernements pour les protéger des menaces terroristes... Le TFTP s’est révélé un instrument puissant d’investigation et a contribué de façon significative à protéger les citoyens américains et d’autres personnes partout dans le monde... Le programme a joué un rôle permettant d’identifier et de capturer des terroristes et leurs financiers. La communauté internationale et les autorités nationales reconnaissent que l’argent est l’oxygène du terrorisme». Enfin, c’est «une réalité quotidienne que les terroristes dépendent de ressources régulières pour recruter des agents, voyager, contrefaire des documents, payer des pots-de-vin, acheter des armes, et planifier des attaques ^[6] .»

Il était pourtant déjà tout à fait avéré en juin 2007 que la plupart de ces arguments ne correspondaient pas à la réalité. Le Conseil de l’UE estima pourtant que le transfert de données respectait le droit européen: moyennant la nomination d’une «haute personnalité européenne» chargée de garantir le contrôle de leur utilisation; et en informant les clients des banques européennes de la possibilité que leurs données soient transmises au Trésor américain ^[7] . Toutefois, selon l’organisation de défense des libertés publiques Statewatch, «le respect par SWIFT des lois sur la protection des données signifie apparemment simplement informer les gens que toutes leurs données seront transférées aux États-Unis pour n’importe quelle raison en lien avec le terrorisme, sans obligation de leur dire à qui on les donne, comment elles sont traitées, qui pourra y avoir accès, pour combien de temps, auprès de qui ils peuvent se renseigner, auprès de qui ils peuvent se plaindre de leur contenu ou de leur traitement immédiat ou futur par des agences et des administrations dont on ne connaît pas le nom ^[8]»

Transmission de données sur les passagers aériens

Quant à la protection des données liées au transport aérien, les autorités européennes se sont également rangées aux exigences américaines. Le 4 janvier 2003, court-circuitant le processus législatif en cours, l’US Department of Justice, Immigration and Naturalisation Service requérait la transmission électronique préalable des données de tout passager au départ ou à l’arrivée aux États-Unis. Un accord intervint rapidement avec la Commission européenne, entrant en vigueur dès le 5 mars 2003. Aux termes de celui-ci, ces données, transmises aux douanes américaines, pouvaient en fait être utilisées par un nombre indéterminé d’agences américaines, sans même garantir une limitation aux enquêtes terroristes (puisque tombant sous le coup de la loi américaine Aviation and Transportation Security Act passée le 11 septembre 2001).

Les États-Unis ne disposant d’aucune législation sur la protection des données, la Commission comptait sur «la bonne foi» des douanes américaines pour respecter la loi européenne ^[9] . L’autorité de protection des données de l’UE réclama que cet accord soit différé – «Il n’appartient pas aux autorités nationales judiciaires et de protection des données de décider d’appliquer ou non la loi 55 » – sur la base de son rapport rendu en octobre 2002. Celui-ci constatait que l’expérience de l’application de cette loi aux États-Unis ne donnait aucune garantie de sécurisation des données, lesquelles incluaient «des informations religieuses ou ethniques - choix de repas à bord, etc. -, l’appartenance à un groupe, le lieu de résidence ou les informations de contact - email, coordonnées d’un ami, lieu de travail, etc. -, et des données médicales». Ce rapport ajoutait :

«Il ne paraît pas acceptable qu’une décision unilatérale prise par un pays tiers au nom de ses propres intérêts publics conduise à une transmission routinière et étendue de données protégées par la directive. ^[10]

Une campagne intense s’ensuivit, tandis que le Parlement européen adoptait le 12 mars 2003 une résolution critiquant sévèrement ces accords. Le 22 mai, les États-Unis publiaient une liste de 43 types de données à transmettre par passager - des informations auxquelles les forces de police européennes n’avaient elles-mêmes pas accès - et, le 1er juin, il était avéré que les autorités américaines avaient effectivement accès en temps réel à ces informations via le système de réservation Amadeus ^[11]

«Le transfert des données passagers aux États-Unis est dans tous les cas illégal et rien ne doit être entrepris susceptible de dissimuler ce fait» - L'Autorité européenne de protection des données.

Sous prétexte que, selon le commissaire Bolkenstein «l’Europe ne peut faire défaut à ses alliés dans leur lutte contre le terrorisme», la Commission prépara un nouvel accord avec les États-Unis à la fin 2003. L’autorité européenne de protection des données refusa de se prononcer sur cet accord au prétexte que

«le transfert des données passagers aux États-Unis est dans tous les cas illégal et rien ne doit être entrepris susceptible de dissimuler ce fait ^[12] ».

La Commission adopta une «déclaration de conformité» d’engagements américains purement formels, l’Agence de protection des données manquant de s’étrangler en relevant que ceux-ci

«ne créaient ni conféraient aucun droit ni bénéfice pour toute personne ou partie, privée ou publique ^[13] ».

Le 31 mars 2004, malgré de fortes pressions sur ses membres, le parlement adoptait une résolution accusant la Commission d’excès de pouvoir - une résolution ignorée par le Conseil -, poussant à saisir la Cour européenne de justice. Différence notable: du côté américain, l’accord nécessitait au moins ratification par le Sénat… Qualifiée de victoire à la Pyrrhus par Statewatch, la décision de la Cour européenne annula l’accord mais ouvrit la porte à une nouvelle directive. Selon la Commission de protection des données, cette décision «semble créer une faille au sein de la protection du citoyen européen dans la mesure où il n’est plus assuré que les données, collectées à des fins commerciales mais utilisées par les services de police, soient protégées par la directive sur la protection des données».

Droit donné aux Américains de légiférer sur l’utilisation des données européennes

Alors que cette décision ouvrait la voie à l’adoption du texte antérieur sur une autre base légale, les États-Unis profitèrent de ce contexte pour négocier un accord mettant encore plus gravement en cause la souveraineté européenne. Les règles de traitement des données sont tout simplement dépendantes des évolutions de leur législation, ce qui donne concrètement aux Américains le droit de légiférer sur l’utilisation des données européennes. Et cela alors même que, contrairement aux déclarations du secrétaire du Homeland Security Office, Michael Chertoff, devant le parlement européen le 14 mai 2007, les protections judiciaires américaines au titre de l’US Privacy Act et du Freedom of Information Act ne s’appliquent qu’aux citoyens américains ^[14] .

Finalement, les données transférées aux États-Unis pourront aussi être utilisées pour repérer des infractions non terroristes telles que les infractions aux lois sur l’immigration…