AV 37 / 2006 - 12 / 28 centres de traitement et de la distribution des services via l'�tablissement de ses bureaux de vente. SWIFT dispose enfin d'une grande autonomie quant � l'imposition de sa politique de protection des donn�es aux institutions financi�res, concernant des �l�ments qui tombent en dehors des obligations normales d'un sous-traitant et d'un contrat de sous-traitant (voir article 16, � 1 de la LVP). Par exemple, la "politique de compliance" ("no comment policy") diff�re de la politique de certains clients (europ�ens) de SWIFT et des clauses relatives � la vie priv�e qui figurent dans les diff�rents contrats d'affiliation de SWIFT pour le service SWIFTNet FIN. Les exemples pr�cit�s concernent les aspects juridiques essentiels effectifs du traitement au sujet desquels seul le responsable a voix au chapitre et non le sous-traitant. � Il n'est pas inhabituel que les responsables du traitement n'aient pas de contact direct avec les personnes concern�es et la LVP n'exige pas non plus cet �l�ment pour parler d'un responsable. Autrement dit, l'application de la LVP n'est absolument pas exclue dans un contexte "business to business". Des exemples concrets de tels responsables qui n'ont pas de contact direct ou de relation contractuelle avec la personne concern�e ont d�j� �t� mentionn�s pr�c�demment (VISA, Mastercard, entreprises de distribution et Computer Reservation Systems ou "CRS"). � Si l'on pr�tendait enfin que seules les 7800 institutions financi�res seraient responsables des traitements des donn�es � caract�re personnel via le service SWIFTNet FIN, cela impliquerait que le justiciable serait confront� � une si grande dispersion et � un si grand fractionnement juridique des responsables concern�s, que cela les emp�cherait de facto d'exercer leurs droits r�sultant de la LVP. � Enfin, SWIFT n'est pas un sous-traitant parce qu'il n'appartient pas au sous-traitant de prendre, d'initiative et sans information et accord du responsable, des d�cisions cruciales pendant (presque) 5 ans au sujet de la r�ception de donn�es par des administrations telles que l'UST. SWIFT a toutefois clairement pris toutes les d�cisions cruciales au sujet de la communication de donn�es � l'UST, et l'a fait � l'insu de ses 7800 clients. C'est ce qu'il ressort des �l�ments suivants : 1. Le r�le d�terminant de SWIFT lors de la communication de donn�es � l'UST ressort des n�gociations continues et secr�tes avec l'UST et des conventions qui ont �t� conclues dans ce cadre � partir de fin 2001. L'application concr�te des sommations a �t� n�goci�e en secret par SWIFT par la mise en place du syst�me de "bo�te noire", et contr�l�e plus tard via la d�finition des crit�res de recherche et d'extraction, le processus d'audit et les scrutinizers (voir supra). SWIFT a �galement obtenu la garantie que les informations quant � la source resteraient confidentielles. 2. Depuis le si�ge belge, les d�cisions cruciales ont �t� prises et suivies concernant la communication des donn�es � l'UST. Il s'agissait de la d�cision d'examiner la l�galit� de la sommation am�ricaine d'octobre-novembre 2001 et d'y consentir, de la premi�re d�cision de proc�der � la transmission, op�r�e d'un commun accord entre le conseiller g�n�ral, le pr�sident-directeur et le chef de l'audit et de la d�l�gation, au comit� d'audit par le comit� de direction, dans le cadre de la v�rification du processus d'extraction. Les 7800 clients de SWIFT n'ont pas �t� inform�s des d�cisions secr�tes de SWIFT qui avaient �t� prises en concertation avec l'UST. 3. Il appara�t que les clients de SWIFT ne sont pas inform�s de l'ampleur concr�te et des modalit�s de la transmission de donn�es � l'UST. Cette approche repose sur AV 37 / 2006 - 17 / 28 E.1.2. Obligation d'information (article 9 de la LVP et article 11 de la Directive 95/46/CE) Dans la mesure o� SWIFT est responsable du traitement, elle est �galement soumise � l'obligation d'information des personnes concern�es. Cela signifie entre autres que les personnes physiques dont les donn�es ont �t� �chang�es dans les messages de paiement devaient au moins �tre inform�es conform�ment � l'article 9 de la LVP. Les personnes concern�es devaient par exemple savoir qui pouvaient �tre les destinataires des donn�es qu'elles transmettaient � leur organisme de cr�dit (SWIFT, autorit�s,�) et pour quelles finalit�s leurs donn�es pouvaient �tre trait�es. Etant donn� que SWIFT collecte les donn�es � caract�re personnel au moyen d'ordres des institutions financi�res, elle n'obtient pas directement les donn�es � caract�re personnel des personnes concern�es. Dans ce cas, il importe, selon l'article 9, � 2 de la LVP (article 11 de la Directive 95/46/CE), "d�s l'enregistrement des donn�es ou, si une communication de donn�es � un tiers est envisag�e, au plus tard au moment de la premi�re communication des donn�es, [de] fournir � la personne concern�e au moins les informations28, sauf si la personne concern�e en avait d�j� �t� inform�e" par les institutions financi�res. Cela signifie que, si SWIFT n'a pas veill� � ce que les institutions financi�res aient inform� les personnes concern�es conform�ment � l'article 9, � 1 de la LVP et qu'aucune exception sp�cifique n'a �t� pr�vue � l'obligation d'information dans l'arr�t� d'ex�cution de la LVP, SWIFT a commis une infraction � l'article 9, � 2 de la LVP. Enfin, le fait que SWIFT n'entretienne pas de relation directe avec les personnes concern�es ne peut nullement �tre consid�r� comme une raison suffisante pour ne pas respecter l'obligation d'information, par exemple via les institutions financi�res. Bien que la LVP ne prescrive pas la mani�re concr�te dont les informations doivent �tre donn�es, on peut tenir compte du contexte dans lequel les donn�es sont trait�es, � condition que la technique d'information choisie vise � informer effectivement et clairement les personnes concern�es. La Commission a d�j� estim�, dans le cadre de l'avis n� 48/2003 du 18 d�cembre 2003 concernant la transmission de donn�es � caract�re personnel par certaines compagnies a�riennes vers les Etats-Unis, que "le mode de communication au client n�est pas suffisamment explicite, les informations �tant int�gr�es dans le texte des conditions g�n�rales de transport, communiqu�es sur demande ou via Internet". La Commission29 a cependant estim�, dans un contexte de manifestations de masse telles que les matches de football, que les informations pouvaient avoir lieu individuellement (sur les tickets d'acc�s) ou collectivement (en pla�ant par exemple des panneaux clairs et visibles � l'entr�e du stade). Vu sa coresponsabilit� � la lumi�re de la LVP, SWIFT ne s'est pas concert�e suffisamment avec les institutions financi�res afin de respecter l'obligation d'information (article 9 de la LVP). Ceci a donn� lieu � une information insuffisante � l'�gard des personnes concern�es et au non-respect de l'article 9 de la LVP. 28 Selon l'article 9, � 2 de la LVP, les informations pertinentes sont "le nom et l'adresse du responsable, les finalit�s du traitement (�) et d'autres informations suppl�mentaires, notamment les cat�gories de donn�es concern�es et les destinataires ou les cat�gories de destinataires, l'existence d'un droit d'acc�s et de rectification des donn�es la concernant, sauf dans la mesure o�, compte tenu des circonstances particuli�res dans lesquelles les donn�es sont trait�es, ces informations suppl�mentaires ne sont pas n�cessaires pour assurer � l'�gard de la personne concern�e un traitement loyal des donn�es ;" 29 Avis n� 10/2005 du 15 juin 2005.