SWIFT

COMMUNIQUE DE PRESSE RELATIF A LA TRANSMISSION DE DONNEES A CARACTERE PERSONNEL PAR LA SCRL SWIFT SUITE AUX SOMMATIONS DE L'UST (OFAC)

La Commission de la protection de la vie privée a émis un avis à la demande du Collège du Renseignement et de la Sécurité ce 27 septembre 2006 sur le processus de transmission de données à caractère personnel par la SCRL SWIFT suite aux sommations de l' US departement of the Treasury (UST) (OFAC). Cet avis s'appuie notamment sur la loi belge relative à la protection de la vie privée, sur des informations publiques relatives à SWIFT, sur de la documentation demandée à SWIFT et sur des éléments issus de demandes de renseignements répétées. La Commission s'est concertée avec le groupe européen de protection des personnes à l'égard du traitement des données à caractère personnel, créé sur la base de l'article 29 de la Directive 95/46/CE (dénommé ci-après le "Groupe 29"). Le Groupe 29 a d'ores et déjà déclaré qu'il considérait comme étant sa priorité de maintenir les droits européens de protection des données et a également souligné le manque de transparence des négociations avec l' UST, plus précisément avec l' "Office of Foreign Assets Control" (OFAC). + + + 1. Introduction L'examen de la Commission s'est concentré sur le traitement de données à caractère personnel via le service "SWIFTNet FIN" et sur le rôle de SWIFT lors de la transmission de données à caractère personnel à l'UST. Cet examen ne vise donc pas des traitements dans le cadre de l'administration normale d'une entreprise (pour laquelle SWIFT a effectué les déclarations requises auprès de la Commission). La question de savoir si les institutions financières (belges) ont violé la loi belge relative à la protection de la vie privée ne fait pas partie de l'objet de cet avis. + + + 2. Les faits SWIFT fournit à ses clients (environ 7800 institutions financières) des services automatisés qui consistent essentiellement en la transmission de messages financiers entre des institutions financières dans le monde entier. SWIFT n'est donc pas elle-même une institution financière. SWIFT dispose de deux centres de traitement, un en Europe et un aux Etats-Unis, qui stockent pendant 124 jours les messages de transaction traités via SWIFT. Le service SWIFTNet FIN permet d'envoyer des messages concernant des transactions financières entre des institutions financières. Après les attentats de septembre 2001, l'UST a adressé plusieurs sommations à la filiale SWIFT aux Etats-Unis. L'application de celles-ci est très large d'un point de vue matériel, territorial et temporel. Il s'agit de demandes non individualisées et massives émanant de l'UST concernant des informations sur (entre autres) des transactions financières européennes. Il ressort plus précisément des vérifications effectuées par la Commission que, dans le processus d'extraction pour l'UST, une distinction a été faite entre deux étapes ; d'une part, la conservation dans une boîte noire des messages fournis en vertu des sommations et d'autre part, la consultation effective de messages dans la boîte noire par l'UST après avoir réalisé des recherches en vue de lutter contre le terrorisme. Après vérification des sommations, SWIFT a pris des décisions quant au respect de celles-ci. SWIFT a également informé ces autorités de contrôle dont la Banque nationale de Belgique (BNB), qui a toutefois jugé ne pas être compétente pour apprécier le respect par SWIFT des sommations successives de l'UST dès lors que cela ne ressortait pas de sa compétence de contrôle de la stabilité financière. + + + 3. L'application de la loi belge relative à la protection de la vie privée La Commission estime que la loi belge relative à la protection de la vie privée s'applique à l'échange de données via le service SWIFTNet FIN. Il s'agit de transactions qui peuvent concerner des particuliers belges via les ordres de paiement internationaux qu'ils confient à leur banque. SWIFT a également son siège en Belgique (La Hulpe). + + + 4. La question de savoir si SWIFT et les institutions financières sont "responsables du traitement" La question est de savoir si SWIFT n'est qu'un sous-traitant, par exemple en tant que service postal, ou un responsable du traitement de données à caractère personnel via son service SWIFTNet FIN. La Commission estime que : - SWIFT est un responsable du traitement des données à caractère personnel qui sont traitées via le service SWIFTNet FIN. La Commission considère notamment que SWIFT est un réseau coopératif international à forte gestion centrale qui offre un service à plusieurs milliers d'institutions financières. Cette situation n'est pas comparable à celle d'un simple concept de services où un seul prestataire professionnel traite des données à caractère personnel à l'égard d'une seule autre partie professionnelle ou non. SWIFT prend des décisions qui vont plus loin que l' "espace de manœuvre" normal défini légalement dans lequel un sous-traitant normal peut décider. SWIFT est également clairement un responsable parce qu'elle a pris toutes les décisions cruciales au sujet de la communication de données à l'UST, ce à l'insu de ses 7800 clients. - les institutions financières sont responsables étant donné qu'elles déterminent également la finalité et les moyens de l'exécution des ordres de paiement dans la circulation interbancaire. + + + 5. L'examen des possibles violations de la loi belge relative à la protection de la vie privée Il existe des différences fondamentales entre l'Union européenne et les Etats-Unis en ce qui concerne les législations et les principes régissant les traitements de données (à caractère personnel), principalement dans le domaine du niveau de protection qui est plus élevé en Europe. A cet égard, la Commission estime que : - en ce qui concerne le traitement normal de données à caractère personnel dans le cadre du service SWIFTNet FIN, SWIFT aurait dû respecter ses obligations en vertu de la loi belge relative à la protection de la vie privée, dont l'obligation de déclaration, l'obligation d'information et l'obligation de respecter les dispositions relatives à la transmission de données à caractère personnel vers des pays extérieurs à l'Union européenne. - en ce qui concerne la communication de données à caractère personnel à l'UST, SWIFT se trouve en situation de conflit entre le droit américain et européen. Bien que SWIFT ait fourni des efforts considérables pour prévoir un certain nombre de garanties via des négociations avec l'UST, elle a commis plusieurs erreurs d'évaluation lors de l'exécution des sommations américaines. SWIFT aurait dû, dès le début, être consciente du fait que, outre l'application du droit américain, les principes fondamentaux du droit européen doivent également être respectés, comme le principe de proportionnalité, le délai de conservation limité, la politique de transparence, l'exigence de contrôle indépendant et celle de niveau de protection adéquat. + + + 6. Conclusion Le gouvernement est convaincu que ce dossier concerne l'ensemble des états membres de l'Union Européenne dans la mesure où il met directement en lumière un conflit de systèmes juridiques qui doit être résolu dans le cadre d'un concertation la plus large possible avec les Etats Unis. Le gouvernement prendra les contacts nécessaires avec ses partenaires européens pour rapidement examiner les solutions possibles afin de concilier la lutte contre le financement du terrorisme et le nécessaire respect des garanties de la Protection de la vie privée des citoyens au regard des règles européennes.