Bruxelles, 06/07/2010 (Agence Europe) - Le Parlement européen devrait sans difficulté adopter, jeudi 8 juillet, la seconde version de l'accord UE-États-Unis sur le transfert de données de messagerie (Swift), lequel permettra aux États-Unis, après 6 mois d'interruption, d'accéder de nouveau aux données bancaires transitant par l'Europe via son programme de financement du terrorisme (TFTP). La commission des libertés civiles du Parlement, compétente sur ce dossier, a adopté, lundi 5 juillet, par 41 voix pour, 9 voix contre et 1 abstention, la recommandation d'Alexander Alvaro (ADLE, allemand) approuvant la conclusion du nouvel accord. Si l'Assemblée suit cette recommandation, ce qui devrait être sans doute le cas, jeudi à midi, en séance plénière, le texte entrera en vigueur le 1er août prochain. Les députés avaient rejeté l'accord précédent en février, mais ont depuis négocié certains garde-fous et obtenu que l'Union se dote d'un système permettant d'éviter tout transfert de données en masse vers les États-Unis.
La saga Swift… Dans la foulée des attentats du 11 septembre 2001, la société belge Swift, la plus grande société de messagerie financière à l'échelle mondiale, utilisée par quelque 8.300 organismes dans 208 pays, a été contrainte de fournir au Trésor américain des données en sa possession sur des transferts financiers, et ce, en l'absence de tout accord international et en violation des règles européennes de protection des données. En juin 2006, des médias révèlent l'affaire. En février 2007, le Parlement européen adopte une résolution qui condamne ces pratiques. En juin 2007, l'UE et les États-Unis parviennent à un accord, sous la forme d'échange de lettres, pour encadrer ces échanges de données. Le juge Jean-Louis Bruguière est nommé représentant de l'UE pour vérifier que le (TFTP) respecte l'accord. À l'été 2009, l'UE ouvre des négociations en vue de conclure un accord intérimaire sur les données Swift. Le 30 novembre, la veille de l'entrée en vigueur du Traité de Lisbonne, le Conseil de l'UE signe un accord, mais le Parlement le Parlement le rejette en février 2010, provoquant l'arrêt des transferts de données vers les États-Unis. Fin mars, la Commission présente un nouveau mandat de négociation en vue de conclure un accord à long terme avec les États-Unis. Après d'intenses négociations, un projet accord a été signé le 28 juin (EUROPE n° 10169 et 10159).
Contenu de l'accord négocié. Un TFTP européen: C'est le point clé pour l'accord du Parlement européen. Il permettra, à terme, l'élimination des transferts de données « en vrac » (« Bulk »). En contrepartie de leur soutien à l'accord, les députés ont obtenu que, dans les douze mois, la Commission entame des travaux sur la mise en place d'un équivalent européen au « Terrorism Finance Tracking Programme » (TFTP) nord-américain, qui mettrait fin aux transferts de données bancaires non-individualisées. Un nouveau rôle pour Europol: autre nouveauté du projet d'accord: il confère à Europol la capacité de bloquer les transferts de données vers les États-Unis: l'agence basée à La Haye devra vérifier que chaque requête formulée par le Trésor américain est justifiée au regard de la lutte antiterroriste et que le volume de données demandé est aussi réduit que possible. Contrôle indépendant: la nouvelle version de l'accord prévoit que l'utilisation des données par les Américains, qui doit être exclusivement à caractère antiterroriste, soit supervisée par un groupe de contrôleurs indépendants, incluant une personne désignée par la Commission européenne. Cette personne aura le pouvoir de réexaminer « en temps réel » et rétrospectivement toutes les recherches effectuées sur les données fournies, d'effectuer des recherches et, le cas échéant, de demander une justification complémentaire du lien avec le terrorisme. En particulier, elle aura le pouvoir de bloquer certaines recherches ou l'intégralité d'entre elles s'il apparaît qu'une ou plusieurs recherches sont illégitimes. Limitations: l'accord interdit au TFTP américain de procéder à la « fouille » (« data mining ») des données ou à tout type de recherche automatisée, de profilage algorithmique ou de filtrage électronique. Toutes les recherches conduites dans les données Swift devront être basées sur une information préexistante selon laquelle l'objet de la recherche est en lien avec le terrorisme ou son financement. L'accord introduit la possibilité pour l'une des deux parties de suspendre l'accord, avec effet immédiat, en cas d'infraction à ses règles par l'autre partie. Droits de correction et recours: selon l'accord, toute personne a le droit de demander la rectification, l'effacement ou le verrouillage de ses données à caractère personnel traitées par le département du Trésor lorsque ces données sont inexactes ou lorsque le traitement est contraire à l'accord. Les députés faisaient valoir que le « US Privacy Act », qui protège les citoyens américains contre tout traitement illégal de données, ne s'applique pas aux citoyens européens qui en seraient victimes sur le sol américain. Mais la nouvelle proposition prévoit que toute personne pourra envoyer une demande motivée à son autorité compétente chargée de la protection des données dans l'UE, qui transmettra la demande au responsable de la vie privée au département du Trésor. Ce dernier procédera à toutes les vérifications nécessaires au titre de la demande et fera savoir à l'autorité compétente chargée de la protection des données dans l'UE si les données à caractère personnel ont été rectifiées, effacées ou verrouillées, et si les droits de la personne concernée ont été dûment respectés. Par ailleurs, l'accord indique que les citoyens disposent, sans discrimination de nationalité, de droits de recours administratifs ou judiciaires effectifs devant leur permettre d'obtenir réparation. Rétention et effacement des données: le texte indique que les données extraites ne pourront être conservées que pendant la durée des procédures et investigations spécifiques pour lesquelles elles sont utilisées. Chaque année, le Trésor américain devra faire le bilan des données non-extraites, c'est-à-dire non-individualisées, qui ne seront plus utiles à des fins antiterroristes, et les effacer. Partage avec les pays tiers: tout partage d'informations concernant les ressortissants de l'UE avec les autorités d'un pays tiers est soumis à l'accord préalable des autorités compétentes de l'État membre concerné, sauf lorsque le partage des informations est essentiel pour prévenir une menace grave et immédiate pesant sur la sécurité publique. Dans ce cas, les autorités compétentes de l'État membre concerné seront informées dès que possible. Prochaines étapes: si l'accord est adopté par le Parlement, il entrera en vigueur pour une durée de cinq ans, et sera ensuite renouvelable année par année. Toutefois, Européens et Américains devront faire le point sur le fonctionnement des garde-fous et systèmes de contrôle de l'accord au plus tard six mois après son entrée en vigueur. Au plus tard trois ans après la date d'entrée en vigueur de l'accord, la Commission européenne et le département du Trésor prépareront un rapport conjoint relatif à la valeur des données fournies dans le cadre du TFTP.
Réactions majoritairement positives des députés. Les trois grands groupes de l'Assemblée (conservateurs, libéraux, socialistes), au contraire des Verts et de la GUE, ont réaffirmé, mardi 6 juillet, leur soutien à l'accord. « Le terme impossible n'existe pas s'il y a la volonté politique et le Parlement a su faire en sorte d'apporter des améliorations à cet accord désormais acceptable», s'est félicité M. Alvaro, le rapporteur dans cette affaire. « Grâce au futur TFTP européen, nous avons créé les bases d'une solution à moyen terme pour éviter de transférer des données en vrac aux États-Unis », a-t-il dit aux députés sceptiques. Il a toutefois pressé la Commission européenne d'arriver avant 5 ans à la création de ce nouveau système. Pour Ernst Strasser (PPE, autrichien), cet accord marque « un grand succès » du Parlement européen tant du point de vue politique que du point de vue du contenu du texte. Son collègue, le Portugais Carlos Coelho, a toutefois indiqué qu'il avait des doutes sur le rôle d'Europol, qui n'est, selon lui, « pas une agence juridique indépendante ». « Ce n'est pas un accord parfait, mais il comporte des éléments clefs en matière de protection des données », a constaté Claude Moraes (S&D, britannique). « Nous avons cessé cette approche binaire « du Bulk » grâce à un système européen », a-t-il ajouté. « C'est un accord amélioré. Nous devons nous réjouir des recours juridictionnels, du mécanisme de verrouillage, de vérification et de la perspective d'un TFTP européen », a souligné Timothy Kirkhope (ECR, britannique). Aguerrie sur ces questions, la Néerlandaise Sophia In't Veld (ADLE) a indiqué qu'elle voterait « oui » grâce aux améliorations apportées par le Parlement, mais malgré beaucoup d'hésitations au niveau juridique. « Ceux qui voteront non porteront une responsabilité importante » en termes de sécurité, a-t-elle néanmoins dit. Pour la Française Hélène Flautre (Verts/ALE), les deux grands groupes n'ont fait que jeter des « écrans de fumée » sur ce dossier: « Cet accord n'est absolument pas différent du précédent sur les principaux points: transferts en vrac, 5 ans de rétention, pas de recours pour les citoyens, Europol n'est pas une institution à caractère judiciaire ». Et de proférer à l'attention de la Présidence belge: « Après avoir bombé le torse, on est en train de courber l'échine. Ce n'est pas une bonne nouvelle pour les citoyens européens ». Le Portugais Rui Tavares (GUE/NGL) a déploré le fait que le contenu de l'accord n'ait pas changé. « On retrouve le transfert en vrac », a-t-il dit, évaluant ces transferts de données à environ 90 millions par mois, soit 1 milliard par an. Selon lui, il faut voir aussi quelles sont les conséquences juridiques d'un tel accord car Europol n'est pas l'agence responsable en matière de protection des données des citoyens. Gerard Batten (EFD, britannique) a estimé cet accord illégal en vertu de la législation de son pays sur la protection des données. Quant à Daniël van der Stoep (NI, néerlandais), il s'est dit en faveur de cet accord destiné à lutter contre le terrorisme islamiste. Le ministre belge de la Justice, Stefaan De Clerck, a exprimé sa volonté de boucler au plus vite ce dossier sous sa Présidence. Il a estimé que cet accord était « un très bon résultat » et « meilleur » que le précédent en ce sens qu'il représentait un plus grand équilibre entre sécurité et protection des données. Pour lui, il est « trop simple » de critiquer les Américains sans rien faire. « J'ai bon espoir qu'un système TFTP européen voie le jour d'ici 5 ans et qu'on ne se contente pas de faire confiance aux Américains», a-t-il dit. La commissaire européenne aux Affaires intérieures, Cecilia Malmström, qui a supervisé les négociations, a assuré que « cet accord est le résultat de négociations dures et de compromis (…) Ce n'est pas toujours quelque chose de satisfaisant à 100%, mais beaucoup d'améliorations ont été apportées », a-t-elle précisé. « Cet accord assure une protection élevée des données personnelles tout en assurant un niveau élevé de sécurité qui permet de protéger des vies aux États-Unis et dans l'Union européenne », a rappelé la commissaire, espérant que l'accord soumis aux députés soit adopté jeudi. EUROPE reviendra demain sur le point de vue des États-Unis, mais aussi sur les inquiétudes des responsables de la protection des données en Europe. (B.C.)