Qu’il s’agisse des députés européens  de la commission des libertés publiques ou du contrôleur européen des données  personnelles, qu’il  s’agisse de lassitude ou de résignation chacun admet qu’il faut en finir mais sans être totalement convaincus  de la pertinence de la démarche. Le Parlement européen donnera son feu vert à la prochaine session de juillet, la commission Libe se réunira à Strasbourg le 5 juillet et elle s’efforcera de faire passer un message dans sa résolution. Un feu vert sera donné selon toute probabilité en vue de l’accord avec les Etats-Unis. Reste posée : qui sont les terroristes ? Dans sa dernière résolution le Parlement européen avait souligné la nécessité de définir le terrorisme. Sa demande n’a pas été retenue, ouvrant ainsi la possibilité à des dérives de toute nature, comme par le passé. Qui sont les terroristes ? au vu du rapport des Nations Unies sur la criminalité internationale (présenté dans l’actuel  numéro de Nea Say), il serait légitime de chercher une réponse aussi ailleurs que dans l’extrémisme  d’origine islamique. La corruption, la criminalité en col blanc, les pratiques des banques et des traders ont plus réellement et durablement  déstabilisé nos sociétés que ne l’a fait ou pourra le faire al-Qaïda. Des avancées, certes, mais on reste littéralement stupéfait par les faiblesses insignes du précédent accord et par la durée du fonctionnement du système Swift  en l’absence de tout accord, un fonctionnement longtemps secret, un secret qui n’a été rompu que grâce aux révélations de la presse américaine.

   De nombreux députés de la commission des Libertés ont salué les avancées obtenues dans le nouvel accord sur les transferts de données bancaires vers les Etats-Unis à des fins antiterroristes – quatre mois après avoir rejeté l’accord précédent et poussé la Commission européenne à revoir sa copie. Ce jeudi, le Parlement a obtenu du Conseil et de la Commission des engagements plus fermes pour la mise en place d’un programme européen de lutte contre le financement du terrorisme.

« Le Parlement européen a fait émerger une solution constructive, garantissant à la fois la sécurité et le respect de la vie privée des citoyens européens » a déclaré le rapporteur Alexander Alvaro (ADLE, DE). « L’accord marque aussi une nouvelle étape dans les pouvoirs du Parlement. Non seulement, pour la première fois, un représentant de l’UE pourra contrôler et corriger les opérations effectuées par des agences américaines, sur territoire le américain, mais l’accord marque aussi une nouvelle étape dans le contrôle démocratique des accords internationaux ».

Le texte pourrait être adopté par le Conseil des ministres lundi 28 juin, a annoncé le Ministre de l’Intérieur espagnol et président en exercice du Conseil, Alfredo Pérez Rubalcaba. Commission et Conseil souhaitent que le Parlement autorise la conclusion de l’accord le 7 juillet prochain, en session plénière à Strasbourg.

Les dernières discussions ont porté sur la question de la mise en place, sur le sol européen, d’un système équivalent au « Terrorism Finance Tracking Programme » (TFTP) américain afin d’éviter de transférer des données « en vrac » outre-Atlantique. Le Parlement européen, dans une résolution adopté le 5 mai dernier, avait conditionné la mise en place d’un tel système à l’approbation d’accord SWIFT. Pendant les négociations qui ont suivi, le Parlement a obtenu une clause de révision de l’accord après trois ans.

« Un certain nombre d’éléments positifs ont été incorporés » a déclaré Claude Moraes (S&D, UK). « Nous devons reconnaître des améliorations (…) la présidence espagnole a bougé sur la modification de l’article 12 que nous demandions » (permettant à du personnel désigné par l’UE de superviser l’utilisation des données et, si besoin, de s’opposer au « fouillage » des données si des abus sont constatés). A la demande du Parlement, la Commission s’est en outre engagée à déposer dans les douze mois une proposition législative.

« De grands accomplissements ont été engrangés » a déclaré Simon Busuttil (PPE, MT) « car nous sommes à même de graver dans le marbre la double-approche » (qui vise à garantir la mise en place d’un TFTP européen en parallèle à un accord SWIFT). Toutefois, sur la possibilité d’une approbation par le Parlement en juillet, il a estimé qu' »il ne s’agit pas encore de sabler le champagne. Il faut faire primer la qualité sur la vitesse ». « Je crois que la démocratie américaine dispose des instruments pour corriger tous les problèmes qui pourraient survenir » a pour sa part déclaré Agustín Diaz de Mera (PPE, ES).

Tout n’est pas réglé, loin de là. Le projet d’accord prévoit qu’Europol évalue si les données transférées sont nécessaires aux fins de la lutte contre le terrorisme et son financement. « Le mandat de négociation a été violé, car Europol n’est pas une autorité judiciaire » comme prévu initialement, a estimé Rui Tavares. « Confier ce rôle à Europol revient à mettre un ivrogne en charge de la cave à vin » a-t-il ajouté. « Un agent du Contrôleur européen à la protection des données devrait être détaché auprès d’Europol, la Commission devrait s’engager là-dessus » a proposé Stavros Lambrinidis. Eurojust ne peut être tenu à l’écart. « Tous les actes d’Europol font l’objet d’un contrôle judiciaire » a répondu M. Rubalcaba. D’autres points qui ne sont pas de détails mériteraient d’être soulevés.

Mais subsiste un problème de fond non réglé: pourquoi transférer les données? Quelle est l’efficacité véritable et non pas l’efficacité occasionnelle, anecdotique ? au regard des dérives inévitables liées à la nature du système mis en place, un système disproportionné. »Il y’a un problème de fond qui est toujours là, qui n’est pas réglé » a déclaré Raul Romeva i Rueda (Verts/ALE, ES): « à aucun moment on ne nous a fourni de documents clairs justifiant les transferts de données vers les Etats-Unis. Ce débat-là n’a pas eu lieu » a-t-il regretté, rejoint par Rui Tavares (GUE/NGL, PT): « les données européennes doivent être traitées sur le sol européen et selon les lois européennes (…) si l’on cède pour les Etats-Unis, d’autres pays viendront nous demander la même chose, et ils auront aussi des armes pour négocier » a-t-il prévenu. En outre, « les citoyens européens seront toujours discriminés car la loi américaine ne sera pas modifiée » a-t-il ajouté.

Ces réserves sont totalement partagées par le contrôleur européen des données, Peter Hustinx, qui vient de rendre public son avis et a qualifié le système mis en place « d’intrusif ».

Au bout du compte, Peter Hustinx reste fondamentalement insatisfait : le CEPD demande des améliorations supplémentaires en matière de protection des données malgré le fait que  le nouveau projet vise notamment à répondre aux préoccupations en matière de vie privée et de protection des données.

Le CEPD accueille favorablement certaines des améliorations de la proposition par rapport à l’accord intérimaire, en particulier l’exclusion des données relatives à l’Espace unique de paiement en euros, une définition plus restreinte du terrorisme, et des garanties plus élevées en ce qui concerne les droits des citoyens en matière de protection des données. Il souligne toutefois que la nécessité de l’accord proposé doit être clairement établie, principalement par rapport à d’autres instruments existants moins intrusifs pour la vie privée (**). Le CEPD exprime également ses préoccupations concernant le projet visant à permettre des transferts de quantités massives de données bancaires aux autorités américaines (« transferts de masse »). Il souligne en outre les éléments essentiels qui devraient être améliorés du point de vue de la protection des données, en particulier en ce qui concerne la conservation des données, la force exécutoire des droits des citoyens en matière de protection des données, le contrôle judiciaire et la supervision indépendante.

Peter Hustinx, CEPD, déclare: « Je suis pleinement conscient que la lutte contre le terrorisme et le financement du terrorisme peuvent exiger des restrictions au droit à la protection des données à caractère personnel. Toutefois, compte tenu de la nature intrusive du projet d’accord, qui prévoit des transferts massifs de données aux États-Unis, la nécessité d’un tel régime doit d’abord être clairement établie, en particulier au regard des instruments déjà existants. Même si tel était le cas, d’autres éléments devraient cependant être améliorés afin de satisfaire les conditions du cadre juridique européen pour la protection des données. »

En outre, le CEPD recommande aux négociateurs de:

      -. s’assurer que les transferts de masse soient remplacés par des mécanismes permettant aux données financières d’être filtrées dans l’Union européenne et veiller à ce que seules les données pertinentes et nécessaires soient envoyées aux autorités américaines;

      -. réduire considérablement la période de conservation des « données non extraites » (données auxquelles les autorités américaines policières et judiciaires n’ont pas accédé dans le cadre des enquêtes liées au terrorisme);

      -. confier la tâche d’évaluation des demandes du Trésor américain à une autorité judiciaire publique, en conformité avec le mandat de négociation et le cadre juridique européen actuel de protection des données;

      -. veiller à ce que les droits de protection des données conférés aux citoyens par la proposition soient clairement énoncés et applicables, y compris dans le territoire américain;

      -. renforcer l’indépendance du système de surveillance et les mécanismes de supervision.

Le prochain numéro de Nea Say fera le point après le vote par le Parlement européen de sa résolution et l’adoption du projet d’accord.

(*) La proposition de la Commission a été motivée par des changements dans l’architecture de SWIFT qui, à partir du 1er Janvier 2010, garantit que les données financières de SWIFT qui sont internes à l’Espace économique européen et à la Suisse resteront dans la zone européenne – et non dans la zone transatlantique – et ne seront plus transférées au centre d’exploitation américain.

(**) Voir par exemple l’accord entre l’Union européenne et les États-Unis en matière d’entraide judiciaire qui permet l’échange d’informations bancaires et financières entre les autorités policières et judicaires.

Texte intégral de l’avis du CEPD  http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2010/10-06-22_Opinion_TFTP_EN.pdf