L’accord ‘Swift’ encore et toujours en contradiction avec la législation européenne sur la vie privée

L’accord conclu début juin entre l’Europe et les Etats-Unis à propos du transfert des données financières n’est pas conforme à la législation européenne en matière de respect de la vie privée, aux dires des autorités en charge de la sécurisation des données.

L’accord conclu début juin entre l’Europe et les Etats-Unis à propos du transfert des données financières n’est pas conforme à la législation européenne en matière de respect de la vie privée, aux dires des autorités en charge de la sécurisation des données.

La première version de cet accord conclu dans le cadre de ce qu’on appelle le ‘Terrorist Finance Tracking Program’ (TFTP) américain avait été rejetée au début de cette année, mais début juin, une deuxième version de l’accord – TFTP II, généralement connu sous l’appellation accord Swift – a quand même été signée. Dans un courrier adressé à toute une série de responsables européens, le ‘Groupe de protection des données Article 29’, le ‘groupe de travail police et justice’ et le ‘Data Protection Forum’ européen ont lancé une mise en garde, selon laquelle l’accord actuel est encore et toujours en contradiction avec la législation européenne sur la vie privée.

A la fois trop et pas assez!

L’accord TFTP II est aussi connu sous l’appellation accord Swift, parce qu’il prévoit le transfert des données relatives aux transactions financières vers les Etats-Unis, dans le cadre de la lutte contre le terrorisme. Et ces données seraient fournies par le réseau bancaire Swift. Selon les autorités en charge de la sécurisation des données, l’accord actuel n’offre pas assez de clarté à propos de la protection des données issues de la ‘Single Euro Payments Area’ (SEPA). Les Etats-Unis doivent sur ce point donner des garanties claires qu’ils n’exigeront pas ces données par voie de citation. En outre, l’accord ne prévoit pas assez de mécanismes de filtrage fin, de sorte qu’une demande émanant des Etats-Unis engendrera des transferts en vrac de données, dont il n’est pas certains qu’elles soient toutes pertinentes. Bref, beaucoup trop de données seraient transférées (avec, à la clé, un abus possible à d’autres fins), outre des difficultés et des retards lors d’éventuels contrôles quant à savoir quelles données ont été précisément transférées et leur degré d’exactitude. En outre, l’accord ne prévoit pas non plus suffisamment de garanties à propos de la protection nécessaire des données, au cas où celles-ci seraient transférées à leur tour à d’autres organisations aux Etats-Unis.

Les autorités européennes en charge de la sécurisation des données affirment formellement que leurs compétences en matière de contrôle et de protection sont bridées, notamment parce que ce sont les autorités américaines qui déterminent leur droit de regard. Les autorités européennes voient de ce fait leur rôle se réduire à celui de laisser pour compte, sans aucune possibilité de contrôler le respect des garanties en matière de protection des données. L’alternative prévue – un contrôle par une autorité policière européenne comme Europol – est rejetée du fait de sa non-indépendance.

Le groupe de travail évoque aussi une garantie insuffisante à propos du fait que des citoyens non américains peuvent interjeter appel auprès d’un tribunal américain.

Le communiqué se conclut ainsi: “Les autorités européennes en charge de la sécurisation des données ont décidé que si l’accord entre en vigueur, elles s’efforceront de veiller à ce que les transferts non filtrés (en vrac) et d’autres transmissions de données fassent partie de la première évaluation commune. Elles entendent veiller aussi à ce que les données concernant les transactions financières strictement internes à l’Europe, ce qu’on appelle les données SEPA, ne soient pas transférées, du fait que l’accord est équivoque à cet égard.”