L E S T E M P S F O R T S D E L’ A N N É E 2 0 0 6
SÉCURITÉ CONTRE PROTECTION DES
DONNÉES : le grand débat transatlantique
L’affaire SWIFT : quand
les autorités américaines
surveillent les transferts
bancaires internationaux
La presse américaine a révélé le 23 juin 2006 l’existence
d’un programme de surveillance de la finance internationale mis en place par la CIA depuis les attentats du
11 septembre 2001. Ces révélations ont notamment porté
sur le fait que la CIA et le département du Trésor américain
surveillent, depuis des années, des millions de données
transitant par SWIFT. Cette surveillance,
que les autorités américaines et SWIFT
déclarent être uniquement liée à la
poursuite d’objectifs liés à la lutte contre
le financement du terrorisme, concerne
non seulement des transferts financiers
vers les États-Unis, mais également
des transferts domestiques ou intra-UE.
Cette surveillance a été réalisée sans
information préalable des autorités
publiques européennes ou nationales,
et hors du cadre légal de coopération
normalement établi à ces fins.
Dès sa révélation, les institutions
européennes (Commission, Parlement,
puis Conseil) se sont saisies de cette affaire afin de se
Qu’est-ce que c’est ?
SWIFT (Society for Worldwide Interbank
Financial Telecommunication)
Il s’agit d’une société coopérative de droit belge fondée en
1973, qui offre à ses clients des secteurs bancaire et financier un ensemble de services, dont un système de messagerie sécurisée et standardisée assorti d’une palette de
services financiers. Une grande partie des transferts bancaires internationaux transite aujourd’hui par cette société,
dont les services sont devenus incontournables pour les
milieux concernés. À l’horizon 2008, SWIFT devrait en outre
être au cœur du futur Système européen des systèmes de
paiement (SEPA), dont il constituera le système par défaut.
L’intégralité des ordres de paiement nationaux, européens
ou internationaux, transitera donc à terme par ce réseau.
prononcer sur le soupçon de surveillance irrégulière du
réseau SWIFT au regard des règles européennes de
protection des données personnelles.
À l’issue de sa session plénière des 21 et 22 novembre
2006, le G29 a considéré que la société SWIFT n’avait
pas respecté les règles européennes de protection
des données, notamment en prêtant un concours actif
à la mise en œuvre du programme de surveillance
des données bancaires et financières par les autorités
américaines. Le Groupe a également considéré que les
institutions financières ont une part de responsabilité dans
cette affaire. Il a également invité les banques centrales
du G10 à mener une réflexion sur
la forme de surveillance qu’elles se
doivent d’exercer sur SWIFT.
La CNIL a participé à la rédaction
de cet avis, en totale coopération
avec ses homologues. Elle participe
également aux travaux de suivi de la
mise en œuvre de cet avis. À cet effet,
elle a pris contact avec les institutions
françaises concernées (ministère de
l’Économie et des Finances, Banque
de France, notamment) ainsi qu’avec
la Fédération bancaire française et les
institutions financières concernées.
Différentes hypothèses étaient évoquées, fin 2006, quant
à la manière de régler cette affaire. La CNIL, comme le
G29, insiste sur le fait que, quelle que soit l’hypothèse
retenue, les acteurs européens concernés (gouvernements
nationaux de l’UE, Commission, Banque centrale
européenne) doivent placer la protection des libertés des
citoyens de l’UE ainsi que le maintien de la souveraineté
économique européenne au cœur de leurs travaux.
Le nouvel accord PNR
Peu après les attentats terroristes du 11 septembre 2001,
les États-Unis ont exigé des compagnies aériennes
européennes opérant des vols vers leur territoire, ou traversant simplement celui-ci, que les données PNR sur chaque
passager leur soient transmises.
En 2004, l’Union européenne et les États-Unis avaient
difficilement conclu un accord pour légaliser ces transferts.
Ce compromis a été annulé par un jugement du 30 mai
2006 de la Cour de justice européenne, saisie par le
27