AV 37 / 2006 - 5 / 28 B.2. Sommations ("subpoenas") Depuis les attentats de septembre 2001, l'UST a adress� plusieurs sommations au centre de traitement de SWIFT aux Etats-Unis. Apr�s demande de renseignements, SWIFT a d�clar� que, jusqu'� ce jour, elle avait re�u et accept� 64 sommations de l'UST suite aux attentats du 11 septembre 2001. Avant 2001, SWIFT avait �galement fait l'objet de quelques sommations judiciaires ou administratives, mais SWIFT n'y a pas donn� suite, en raison du d�lai (apr�s 124 jours), ou parce que SWIFT pouvait avancer que les autorit�s pouvaient obtenir les donn�es plus facilement aupr�s de la banque �mettrice ou r�ceptrice, ou parce que SWIFT ne dispose pas d'outil de recherche dans ses centres de traitement pour faire une recherche sur la base du nom dans le centre de traitement. Les sommations de l'UST sont d'un caract�re totalement diff�rent et peuvent �tre qualifi�es de demandes non individualis�es et massives (technique "Rasterfandung" ou "carpetsweeping") dans une premi�re phase (voir ci-apr�s). Le champ d'application des sommations est tant mat�riel que territorial et tr�s large dans le temps et est d�fini dans les sommations et dans la correspondance de n�gociation entre l'UST et SWIFT. Les sommations ont �t� appliqu�es pour toutes les transactions qui ont ou peuvent avoir un rapport avec le terrorisme, concernant x pays et juridictions, � cette date ou de � � � variant d'une � plusieurs semaines, dans et/ou en dehors des Etats-Unis, �). Il s'agit donc tant de messages sur des transactions interbancaires au sein des Etats-Unis, vers ou depuis les Etats-Unis, qu'en dehors des Etats-Unis, comme par exemple dans l'Union europ�enne. Il ressort en outre des informations communiqu�es que l'UST part, dans ses sommations, d'une d�finition large du "terrorisme" comme �tant "la lutte contre des attentats de terroristes contre les Etats-Unis qui ont eu lieu apr�s le 11 septembre 2001 et un r�seau global de cellules terroristes qui constitueraient un risque de violence accrue contre les ressortissants, les propri�t�s et les int�r�ts am�ricains et les int�r�ts nationaux et �trangers". Il ressort ensuite des n�gociations que SWIFT a convenu avec l'UST d'une deuxi�me d�finition (conventionnelle) du terrorisme, �nonc�e comme suit : "une activit� qui (i) implique un acte de violence ou un acte dangereux pour la vie humaine, la propri�t� ou l'infrastructure ; et (ii) semble viser (A) � intimider ou exercer une contrainte sur une population civile ; (B) influencer la politique d'un gouvernement par intimidation ou contrainte ou (C) influencer le comportement d'un gouvernement par une destruction de masse, des assassinats, des kidnappings ou l'enl�vement d'otages. Ceci inclut, de mani�re non limitative, des activit�s d�ploy�es par des organisations terroristes connues, mais exclut des activit�s de gouvernements reconnus".10 La Commission observe que la r�f�rence aux Etats-Unis a �t� abandonn�e dans cette d�finition conventionnelle. Il ressort des v�rifications de la Commission qu'une distinction a �t� faite, dans le processus d'extraction, entre deux �tapes. D'une part, la conservation dans une bo�te noire des messages fournis en vertu des sommations et d'autre part, la consultation effective de messages dans la bo�te noire par l'UST sur la base de recherches. Ces deux �tapes sont d�crites ci-apr�s. Tous les messages soumis aux sommations ("subpoened messages") sont fournis par le centre de traitement de SWIFT aux Etats-Unis � l'UST et conserv�s dans une dite bo�te 10 "an activity that (i) involves a violent act or an act dangerous to human life, property, or infrastructure; and (ii) appears to be intended (A) to intimidate or coerce a civilian population; (B) to influence the policy of a government by intimidation or coercion; or (C) to affect the conduct of a government by mass destruction, assassination, kidnapping, or hostagetaking. This includes, but is not limited to, activities engaged in by known terrorist organizations, but excludes activities of recognized governments." AV 37 / 2006 - 6 / 28 noire ("black box" ou "production database") qui est conserv�e dans les installations de l'UST. Dans cette bo�te noire, a lieu un d�cryptage automatique, au moyen d'un outil (logiciel de recherche) �labor� par l'UST et propri�t� de ce dernier, apr�s quoi l'UST peut effectuer des recherches par nom. Ce logiciel de recherche, qui n'est pas disponible pour SWIFT, v�rifie si certains noms de suspects d�finis au pr�alable apparaissent dans les messages11. SWIFT et l'UST ont convenu � cet �gard que l'UST ne peut effectuer que des demandes cibl�es qui sont li�es � des enqu�tes ponctuelles sur des activit�s terroristes. Apr�s demande formelle � cet �gard par la Commission, SWIFT ne lui a fourni aucun chiffre pr�cis quant au nombre de messages qui se trouveraient dans la bo�te noire. Elle a justifi� cela en affirmant que l'UST avait jug� que ces informations �taient importantes pour la s�curit� nationale. Il a �galement �t� communiqu� que ces informations ne pouvaient �tre divulgu�es que par l'UST, apr�s application de la proc�dure de s�curit� ad�quate pour des fonctionnaires belges ayant une habilitation de s�curit� ad�quate. Cependant, on peut d�duire du champ d'application g�n�ral des sommations et du volume moyen de messages trait�s quotidiennement par le service SWIFTNet FIN que le nombre de messages soumis aux sommations et qui se trouvent dans la bo�te noire doit �tre tr�s �lev�. Dans une lettre du 14 septembre 2006, SWIFT a confirm� que l'UST �a parfaitement le droit, en vertu du droit am�ricain, de soumettre la section am�ricaine de SWIFT � une sommation afin que soient communiqu�s tous les messages SWIFT". Cela signifie donc que, rien que pour 2005, un total de 2.518.290.000 messages SWIFTNet Fin peut �tre soumis aux sommations12. B.3. R�action de SWIFT aux sommations SWIFT a obtenu de l�UST un certain nombre de garanties et de m�canismes de protection dont les principes ont �t� formellement document�s dans une correspondance entre SWIFT et l�UST. B.3.1. N�gociations avec l'UST SWIFT a d�cid� de ne pas attaquer les sommations, prononc�es � l'encontre de "l'agence" SWIFT aux Etats-Unis et non � l'encontre de SWIFT SCRL, devant un tribunal am�ricain, mais bien de n�gocier directement avec l'UST afin d'obtenir des garanties claires. SWIFT souligne qu'elle a obtenu un niveau de protection unique dans ces n�gociations continues pour les donn�es transf�r�es pars ses soins. Pour autant que la Commission ait pu le v�rifier � l'aide des documents soumis, les premi�res conventions document�es concernaient la d�signation d'un auditeur externe (Booz, Allen & Hamilton) et les caract�ristiques du processus d'audit � compter du mois d'ao�t 2002. SWIFT a obtenu le 15 septembre 2003 une "comfort letter" de l'UST, par laquelle l'UST manifestait son soutien � SWIFT au cas o� des tiers comme des autorit�s d'autres pays mettraient en cause le respect des sommations de l'UST. A compter du 14 avril 2004, un certain nombre de garanties importantes ont �t� r�pertori�es, dont quelques-unes avaient �t� n�goci�es d�s le d�but du processus. Elles concernaient la d�finition conventionnelle du terrorisme et les crit�res de recherche et de collecte au 27 f�vrier 2004, et des conventions quant � la confidentialit� maximale des donn�es collect�es, le contr�le de SWIFT sur les crit�res de recherche et sur la collecte. SWIFT a 11 Comme confirm� par l'UST � SWIFT le 1er ao�t 2002. 12 Chiffre mentionn� dans la m�me lettre de SWIFT du 14 septembre 2006. On peut �galement partir d'une circulation de messages normale moyenne journali�re via SWIFTNet FIN se situant entre 6,9 millions (2005) et 11 millions de messages par jour (d�but 2006) et qui peut �tre soumise int�gralement aux sommations. AV 37 / 2006 - 7 / 28 �galement obtenu la garantie que la source originale des informations (SWIFT) serait tenue secr�te par l'UST. En r�sum�, les garanties, telles que convenues entre l�UST et SWIFT, concernent ce qui suit : � l'UST n'a pas acc�s au syst�me SWIFT lui-m�me et aux donn�es qui y sont enregistr�es ; � seules les donn�es relatives � des enqu�tes sur le terrorisme peuvent �tre demand�es ; � les recherches dans la bo�te noire ne sont possibles que sur la base de dossiers d'enqu�te sp�cifiques et cibl�s concernant des activit�s terroristes ; � un audit permanent par l'auditeur am�ricain Booz, Allen & Hamilton a �t� pr�vu � partir de la mi-2002. Cet audit concerne des audits end-to-end du syst�me de l�UST afin de fournir � SWIFT des garanties suppl�mentaires que le syst�me �tait s�r (v�rifier la conformit� avec les normes internationales ISO pour la s�curit� des informations), que les finalit�s �taient limit�es aux enqu�tes sur le terrorisme, que les scrutinizers (voir ciapr�s) avaient acc�s � toutes les informations faisant l�objet des recherches des analystes de l�UST et afin d�apporter des am�liorations continues au syst�me ; � deux employ�s de SWIFT ("scrutinizers") ont re�u une habilitation de s�curit� afin d'�tre pr�sents lors de l'extraction des donn�es par l'UST. Ils v�rifient, pour chaque extraction de l�UST, la l�gitimation sur une base r�guli�re, initialement par la prise d�un �chantillon statistique ("statistical sampling"), ensuite au niveau 100 %. Ils ne font rapport au management de SWIFT qu'en ce qui concerne le respect des principes d'extraction, pas sur le d�tail d�extractions sp�cifiques ; � la bo�te noire de l'UST reste soumise au contr�le des "scrutinizers" au moyen d'un acc�s 24h/24, d'un monitoring en temps r�el et d'une possibilit� de blocage des recherches, m�me � partir du moment o� la bo�te noire a �t� plac�e dans un local physiquement prot�g� des autorit�s am�ricaines ; � si l'UST cherchait un mandat judiciaire pour contraindre SWIFT � respecter une sommation, l'UST serait d'accord de ne pas invoquer comme pr�c�dent le respect par SWIFT des sommations, ou de s'y fier, proc�d� par lequel SWIFT s�est r�serv� tous les droits de d�fense en cas d'une telle action ; � la possibilit� a �t� pr�vue pour SWIFT de r�cup�rer dans la bo�te noire tous les messages non collect�s de l'UST, fut-ce avec l'obligation de conserver ces donn�es tant que la possibilit� existe qu'une sommation soit prononc�e quant � ces donn�es ; � des normes de confidentialit� strictes sont fix�es. B.3.2. Information aux Autorit�s de contr�le Au d�part, seule la validit� juridique des sommations �tait v�rifi�e par le conseiller g�n�ral de SWIFT et des conseillers externes. Les d�cisions relatives au respect des sommations �taient prises par le pr�sident-directeur (CEO) de SWIFT, le comit� de direction ("Board of Directors") et le comit� d'audit ("Audit and Finance Committee ou "AFC"). Le comit� de direction a re�u une br�ve explication sur la sommation de la part du pr�sident du comit� d'audit. En mars 2002, une pr�sentation a �t� faite � ce sujet au comit� de direction et une discussion a eu lieu. Un rapport est depuis dress� de fa�on p�riodique. SWIFT a �galement inform� le "Senior level oversight Group" (G-10), dont la Banque nationale de Belgique. Par lettre du 10 ao�t 2006, la Commission a interrog� la Banque nationale de Belgique ("BNB") sur ses comp�tences de surveillance. Dans une r�ponse du 29 ao�t 2006, celle-ci a confirm� que "la BNB, en sa qualit� de "overseer", a �t� inform�e par SWIFT en f�vrier 2002 de l'existence d'une sommation am�ricaine � l'encontre de l'agence de SWIFT aux Etats-Unis." AV 37 / 2006 - 8 / 28 La BNB estime ne pas �tre comp�tente pour appr�cier le respect par SWIFT des sommations successives de l'UST. Ce point de vue est �galement partag� par le G-10. C. APPLICABILITE DE LA LVP ------------------------------------------------- Il y a lieu de v�rifier si la LVP s�applique � SWIFT en sa qualit� d�exploitant du syst�me SWIFTNet FIN et ce en tant que "responsable du traitement" ou en tant que "sous-traitant". C.1. Champ d�application territorial La LVP "est applicable au traitement de donn�es � caract�re personnel lorsque le traitement est effectu� dans le cadre des activit�s r�elles et effectives d'un �tablissement fixe du responsable du traitement sur le territoire belge (�)" (article 3bis, 1� de la LVP). Le si�ge social et le si�ge d�cisionnel de SWIFT sont �tablis en Belgique et la soci�t� a un num�ro d�entreprise belge, �tant le 413330856. Il ne fait d�s lors aucun doute qu�il s�agit bien d� "activit�s r�elles et effectives" et d�"un �tablissement fixe sur le territoire belge", ind�pendamment de la question de savoir si SWIFT est le responsable13 du traitement, question qui sera trait�e ci-apr�s. SWIFT a fait r�f�rence au fait que le centre de traitement aux Etats-Unis n�a nullement une personnalit� juridique distincte et qu�il n�est pas du tout question de communiquer des donn�es � une soci�t� externe en dehors de l�Union europ�enne (dans le cadre du traitement interne normal du service SWIFTNet FIN). Du point de vue du droit des soci�t�s, SWIFT conclut sur cette base que le traitement a toujours �t� soumis aux r�gles auxquelles la soci�t� belge est assujettie, parce que le centre de traitement pourrait juridiquement �tre identifi� � SWIFT SCRL. Elle en d�duit que la protection en vertu du droit belge s�applique �galement � son centre de traitement aux Etats-Unis. Bien que SWIFT ait utilis� cet argument du droit des soci�t�s afin de mettre en cause l�application des articles 21 et 22 de la LVP (voir infra), la Commission fait remarquer que cet argument peut aussi confirmer que le traitement de donn�es � caract�re personnel est soumis au droit belge, y compris � la LVP. C.2. Champ d�application mat�riel Il ressort clairement de la description du flux de donn�es et des donn�es trait�es via le service SWIFTNet FIN (voir supra � la rubrique B.1.) qu�il est question d�un "traitement" de "donn�es � caract�re personnel" au sens de l�article 1, ��1 et 2 de la LVP. Les messages financiers qui sont trait�s14 et enregistr�s dans le cadre du service SWIFTNet FIN contiennent en effet des donn�es de personnes physiques telles que l�identit� du b�n�ficiaire et l�identit� du donneur d�ordre de services financiers tels que les ordres de paiement. Enfin, on peut signaler que l�article 10.10 des conditions g�n�rales de SWIFT pr�voit l�applicabilit� du droit belge aux dispositions et conditions relatives � la fourniture et � l�utilisation des services et produits SWIFT. Il faut bien entendu y inclure le droit belge en mati�re de protection des donn�es � caract�re personnel et la LVP. 13 Pour l�analyse concernant la responsabilit� de SWIFT, voir ci-apr�s. 14 En vertu de l�article 1, � 2 de la LVP, toute collecte, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise � disposition, ainsi que l�interconnexion de donn�es � caract�re personnel constituent un traitement. AV 37 / 2006 - 9 / 28 D. APPRECIATION QUANT A SAVOIR SI SWIFT, LES INSTITUTIONS FINANCIERES ET LA BANQUE NATIONALE DE BELGIQUE SONT RESPONSABLES DU TRAITEMENT OU SOUS TRAITANTS ---------------------------------------------------------------------------------------------------------------------------------- Pour r�pondre � la demande du Coll�ge du renseignement et de la s�curit�, il importe de v�rifier le r�le de SWIFT, des clients de SWIFT (d�nomm�s ci-apr�s "institutions financi�res") et de la Banque nationale de Belgique � la lumi�re de la LVP. La question est de savoir si SWIFT, les institutions financi�res ou la Banque nationale de Belgique doivent �tre qualifi�s de responsables du traitement ou de sous-traitants. La responsabilit� du respect de la LVP est en principe impos�e au responsable du traitement. L'article 1, � 4 de la LVP d�finit le responsable du traitement comme "(�) la personne morale (�) qui, seule ou conjointement avec d'autres, d�termine les finalit�s et les moyens du traitement de donn�es � caract�re personnel." Le sous-traitant est par contre la "personne physique ou morale, l'association de fait ou l'administration publique qui traite des donn�es � caract�re personnel pour le compte du responsable du traitement et est autre que la personne qui, plac�e sous l'autorit� directe du responsable du traitement, est habilit�e � traiter les donn�es". La distinction entre les deux qualifications a des cons�quences tr�s importantes en ce qui concerne le respect de la LVP : le soustraitant a en principe une responsabilit� plus limit�e au regard de la LVP et les personnes concern�es ne peuvent en principe exercer leurs droits qu'aupr�s du responsable. La d�finition l�gale � l'article 1, � 4 de la LVP est imp�rative et l'on ne peut y d�roger par des conventions contractuelles. Pour d�terminer qui est responsable, la LVP pr�voit essentiellement un crit�re fonctionnel. La question est en d'autres termes de savoir qui avait une "emprise" sur le traitement de donn�es � caract�re personnel via le service SWIFTNet FIN ou qui pouvait prendre de facto les d�cisions cruciales relatives � la finalit� et aux moyens des traitements. Des crit�res formels, comme la d�finition contractuelle des services ou la qualit� des parties contractantes, sont � cet �gard utiles mais a priori non d�terminants. Pour appr�cier correctement une qualification possible des acteurs pr�cit�s, il convient �galement de garder � l'esprit quelles finalit�s et donc quels traitements sont vis�s. La Commission estime n�cessaire d'op�rer une distinction entre les traitements suivants : d'une part, assurer le fonctionnement du service SWIFTNet FIN et d'autre part, effectuer des ordres de paiement internationaux faisant appel au service SWIFTNet FIN. D.1. Le traitement de donn�es � caract�re personnel dans le cadre du service SWIFTNet FIN SWIFT a syst�matiquement affirm� qu'elle n'�tait pas responsable du traitement pour le service de messagerie, mais seulement un sous-traitant. Dans les contacts avec la Commission, SWIFT s'est bas�e � cet �gard sur un certain nombre d'arguments qui peuvent �tre r�sum�s comme suit : � SWIFT se compare � un prestataire de service postal de t�l�communications ou de courrier �lectronique dont on estime normalement qu'il n'est pas responsable de traitement mais seulement un sous-traitant15 ; 15 Le consid�rant 47 de la Directive 95/46/CE dispose que "lorsqu'un message contenant des donn�es � caract�re personnel est transmis via un service de t�l�communications ou de courrier �lectronique dont le seul objet est de transmettre des messages de ce type, c'est la personne dont �mane le message, et non celle qui offre le service de transmission, qui sera normalement consid�r�e comme responsable du traitement de donn�es � caract�re personnel contenues dans le message ; que, toutefois, les personnes qui offrent ces services seront normalement consid�r�es comme responsables du traitement des donn�es � caract�re personnel suppl�mentaires n�cessaires au fonctionnement du service ;" AV 37 / 2006 - 10 / 28 � SWIFT affirme que, dans les conventions contractuelles avec les institutions financi�res16, la qualification de SWIFT en tant que sous-traitant a �t� �tablie ; � SWIFT avance qu'elle dispose, en tant que sous-traitant, d'une "marge de manoeuvre normale" pour d�terminer l'organisation de son service, notamment au niveau des mesures techniques et organisationnelles n�cessaires pour effectuer le traitement ; � SWIFT affirme qu'elle offre ses services dans un environnement "business to business", elle n'entretient pas de contact direct et n'a pas non plus de relation contractuelle avec les clients des institutions financi�res, parmi lesquels des personnes physiques ; � SWIFT affirme enfin qu'elle n'a pas �labor� ou d�velopp� de capacit� de recherche afin de rechercher des donn�es � caract�re personnel qui seraient �ventuellement mentionn�es dans les messages qu'elle traite. Vu la d�finition fonctionnelle du responsable en vertu de la LVP, la Commission estime que le contexte au sein duquel le traitement est effectu� (celui d'une soci�t� coop�rative � responsabilit� limit�e) et la connaissance de la position exacte des institutions financi�res et de la direction de la SCRL SWIFT sont cruciaux pour proc�der � une qualification exacte concernant le traitement normal de donn�es au sein du service SWIFTNet FIN. La comparaison de la SCRL SWIFT avec un prestataire normal de service postal de t�l�communications ou de courrier �lectronique est un argument formel et semble insuffisante. Cette comparaison formelle implique en effet que la SCRL SWIFT aurait une position comparable � celle de toute entreprise de t�l�communications quelconque qui peut proposer au niveau international un VPN pour l'�change de messages financiers. En r�alit�, il appara�t que SWIFT utilise toutefois un mod�le de fonctionnement et de services plus complexe qui part d'un r�seau coop�ratif international � forte gestion centrale � l'�gard des 7800 institutions financi�res qui utilisent le service. L'exploitation et les modalit�s de fonctionnement de tels r�seaux diff�rent fondamentalement du simple concept de services o� un seul prestataire professionnel traite des donn�es � caract�re personnel � l'�gard d'une autre partie professionnelle ou non. L'appr�ciation de la qualification "responsable" ou "sous-traitant" est, dans ce contexte, d�licate. En cas de cumul de diff�rents acteurs, le r�le et les responsables de chaque entit� doivent en effet �tre d�termin�s clairement. Le traitement normal au sein du service SWIFTNet FIN semble � premi�re vue assez obscur de par son caract�re international et non transparent. La structure des r�seaux coop�ratifs (internationaux) n'est toutefois pas unique et conna�t deux pr�c�dents clairs. � Ainsi, pour des listes n�gatives de commer�ants VISA et Mastercard, exploit�es au niveau international, le Groupe 29 a d�j� admis que, pour l'exploitation de r�seaux coop�ratifs internationaux, une coresponsabilit� des institutions financi�res et des op�rateurs de banques de donn�es (VISA, Mastercard) semble recommand�e17. Les op�rateurs de banques de donn�es n'ont � cet �gard aucun contact direct avec les personnes concern�es et ne sont en principe actifs que dans un environnement "business to business", bien que leurs services soient distribu�s dans le circuit "retail" via leurs parties contractantes. 16 Voir article 4.5.3 des conditions g�n�rales de SWIFT qui concerne "les obligations en mati�re de protection des donn�es" ("Data Protection Obligations"). Dans sa documentation contractuelle, SWIFT op�re une distinction entre d'une part le traitement de donn�es � caract�re personnel obtenues des institutions financi�res lors de la souscription ou de l'utilisation des services de SWIFT et d'autre part les donn�es � caract�re personnel trait�es dans les messages ou fichiers par les institutions financi�res via les services ou produits SWIFT. En ce qui concerne ce dernier traitement, il a �t� explicitement �tabli que les institutions financi�res sont cens�es �tre responsables du traitement ("data controller"). 17 Voir le paragraphe 16 des Guidelines for Terminated Merchant Databases du 11 janvier 2005 qui dispose ce qui suit : "The development and operation of a terminated merchant database require the joint action of two Participants acting as joint data controllers for any particular set of personal data relating to a specific merchant, namely 1) the Database Operator, and 2) the Participant that has a contractual relationship with the merchant." AV 37 / 2006 - 11 / 28 � La structure pyramidale des syst�mes de r�servation automatis�s existants dans le domaine des transports a�riens (Computer Reservation System ou "CRS") constitue un deuxi�me pr�c�dent. A cet �gard, les agences de voyage et les compagnies a�riennes (entre autres) introduisent des donn�es � caract�re personnel dans les syst�mes de r�servation, les entreprises nationales de distribution offrent un acc�s au syst�me de r�servation contre une indemnit� (frais de r�servation) et enfin la gestion centrale du syst�me de r�servation est assur�e au niveau le plus �lev�. La Commission18 et l'autorit� de protection des donn�es fran�aise, la CNIL19, ont d�j� d�fendu ici le point de vue de la responsabilit� conjointe. Pour les r�seaux coop�ratifs pr�cit�s, les autorit�s de protection des donn�es partent donc, surtout ces derni�res ann�es, d'une coresponsabilit� des utilisateurs professionnels de la banque de donn�es et du gestionnaire de la base de donn�es. Maintenant que le contexte dans lequel le traitement est effectu� a �t� pr�cis�, il reste la question de savoir si et dans quelle mesure SWIFT et/ou les institutions financi�res ont d�fini la finalit� et les moyens du service SWIFTNet FIN. SWIFT est un coresponsable pour autant que, avec d'autres (les institutions financi�res), c'est-�-dire conjointement, elle d�termine la finalit� et les moyens des traitements. � Le service de SWIFT n'est pas un simple service de transport et ne peut �tre r�duit � l'ex�cution d'une mission pour quelqu'un d'autre qui d�terminerait enti�rement cette mission. La r�alit� est que la direction de SWIFT, plus que les institutions financi�res, d�termine les modalit�s de livraison des services au moyen de contrats d'affiliation et de standards techniques qui sont en grande partie �tablis. Par ailleurs, si chaque institution financi�re individuelle souhaitait et pouvait mettre en oeuvre un certain format ou une adaptation de la protection des donn�es, il est clair que le traitement standardis� de SWIFT pourrait �tre compromis. Ceci n'emp�che toutefois pas que, si un nombre critique de demandes (SWIFT parlait d'une "demande du march�") d'adaptation du service ou de d�veloppement d'un nouveau service survenait, SWIFT adapterait ses services en �troite concertation avec ses membres. Un exemple concret de la possibilit� susmentionn�e r�side dans le fait que les informations trait�es dans le cadre du service SWIFTNet FIN ont d�j� �t� adapt�es suite � la demande de la Financial Action Task Force ("FATF/GAFI") et apr�s consultation des institutions financi�res, afin d'accro�tre les possibilit�s d'identification des personnes physiques20. � SWIFT n'est pas un sous-traitant du fait qu'elle peut prendre des d�cisions quant � la finalit� et aux moyens des traitements, d�cisions qui vont d'ailleurs plus loin que "l'espace de manoeuvre" normal d�fini l�galement dans lequel un sous-traitant normal peut d�cider lors de l'exercice des missions qui lui sont confi�es. Du fait que SWIFT poursuit des finalit�s propres dans le cadre des op�rations du service SWIFTNet FIN, elle est justement en mesure d'offrir une valeur ajout�e par rapport au service fourni par ses concurrents, parmi lesquels ses propres clients. Une illustration de la valeur ajout�e offerte par SWIFT concerne le d�cryptage automatique des donn�es dans les centres de traitement par lequel SWIFT op�re une v�rification formelle quant au contenu de chaque message afin de v�rifier le contenu correct des champs pr�vus. En outre, seule la direction de SWIFT d�cide de l'installation des 18 Voir la recommandation n� 01/98 de la Commission relative au "Syst�me de r�servation automatis�" du 14 d�cembre 1998. 19 La Commission souligne ici l'exemple des syst�mes de r�servation automatis�s qui existent dans le secteur a�rien et qui comprennent d'une part des clients comme les compagnies a�riennes et les agences de voyage et d'autre part les exploitants de ces syst�mes de r�servation comme Galileo. Les responsabilit�s des deux acteurs ont d�j� �t� comment�es au nom de la CNIL le 11 septembre 1996, � l'occasion de la 18e Conf�rence internationale de protection de la vie priv�e et des donn�es nominatives. Voir le texte sur le site de la DPA canadienne : http://www.privcom.gc.ca/speech/archive/02_05_a_960918_03_f.asp 20 D'apr�s rapport AV 37 / 2006 - 12 / 28 centres de traitement et de la distribution des services via l'�tablissement de ses bureaux de vente. SWIFT dispose enfin d'une grande autonomie quant � l'imposition de sa politique de protection des donn�es aux institutions financi�res, concernant des �l�ments qui tombent en dehors des obligations normales d'un sous-traitant et d'un contrat de sous-traitant (voir article 16, � 1 de la LVP). Par exemple, la "politique de compliance" ("no comment policy") diff�re de la politique de certains clients (europ�ens) de SWIFT et des clauses relatives � la vie priv�e qui figurent dans les diff�rents contrats d'affiliation de SWIFT pour le service SWIFTNet FIN. Les exemples pr�cit�s concernent les aspects juridiques essentiels effectifs du traitement au sujet desquels seul le responsable a voix au chapitre et non le sous-traitant. � Il n'est pas inhabituel que les responsables du traitement n'aient pas de contact direct avec les personnes concern�es et la LVP n'exige pas non plus cet �l�ment pour parler d'un responsable. Autrement dit, l'application de la LVP n'est absolument pas exclue dans un contexte "business to business". Des exemples concrets de tels responsables qui n'ont pas de contact direct ou de relation contractuelle avec la personne concern�e ont d�j� �t� mentionn�s pr�c�demment (VISA, Mastercard, entreprises de distribution et Computer Reservation Systems ou "CRS"). � Si l'on pr�tendait enfin que seules les 7800 institutions financi�res seraient responsables des traitements des donn�es � caract�re personnel via le service SWIFTNet FIN, cela impliquerait que le justiciable serait confront� � une si grande dispersion et � un si grand fractionnement juridique des responsables concern�s, que cela les emp�cherait de facto d'exercer leurs droits r�sultant de la LVP. � Enfin, SWIFT n'est pas un sous-traitant parce qu'il n'appartient pas au sous-traitant de prendre, d'initiative et sans information et accord du responsable, des d�cisions cruciales pendant (presque) 5 ans au sujet de la r�ception de donn�es par des administrations telles que l'UST. SWIFT a toutefois clairement pris toutes les d�cisions cruciales au sujet de la communication de donn�es � l'UST, et l'a fait � l'insu de ses 7800 clients. C'est ce qu'il ressort des �l�ments suivants : 1. Le r�le d�terminant de SWIFT lors de la communication de donn�es � l'UST ressort des n�gociations continues et secr�tes avec l'UST et des conventions qui ont �t� conclues dans ce cadre � partir de fin 2001. L'application concr�te des sommations a �t� n�goci�e en secret par SWIFT par la mise en place du syst�me de "bo�te noire", et contr�l�e plus tard via la d�finition des crit�res de recherche et d'extraction, le processus d'audit et les scrutinizers (voir supra). SWIFT a �galement obtenu la garantie que les informations quant � la source resteraient confidentielles. 2. Depuis le si�ge belge, les d�cisions cruciales ont �t� prises et suivies concernant la communication des donn�es � l'UST. Il s'agissait de la d�cision d'examiner la l�galit� de la sommation am�ricaine d'octobre-novembre 2001 et d'y consentir, de la premi�re d�cision de proc�der � la transmission, op�r�e d'un commun accord entre le conseiller g�n�ral, le pr�sident-directeur et le chef de l'audit et de la d�l�gation, au comit� d'audit par le comit� de direction, dans le cadre de la v�rification du processus d'extraction. Les 7800 clients de SWIFT n'ont pas �t� inform�s des d�cisions secr�tes de SWIFT qui avaient �t� prises en concertation avec l'UST. 3. Il appara�t que les clients de SWIFT ne sont pas inform�s de l'ampleur concr�te et des modalit�s de la transmission de donn�es � l'UST. Cette approche repose sur AV 37 / 2006 - 13 / 28 la "no comment policy" de la politique de compliance21 que la direction de SWIFT a �tablie depuis 1993. 4. Enfin, suite aux communiqu�s de presse de juin 2006, les clients de SWIFT n'�taient pas en mesure d'arr�ter la communication � l'UST. Apr�s les communiqu�s de presse relatifs aux sommations, un organisme de cr�dit autrichien22 a demand� � SWIFT de cesser de communiquer des donn�es � l'UST. SWIFT a refus� d'acc�der � cette demande de son client par lettre du 9 ao�t 2006, affirmant que sa section am�ricaine �tait soumise � la juridiction des Etats-Unis et qu'elle devait respecter les sommations � condition qu'elles soient valables et contraignantes en vertu du droit am�ricain. Sur la base des consid�rations pr�cit�es, la Commission conclut que SWIFT est un responsable au sens de la LVP pour les traitements effectu�s via le service SWIFTNet FIN. L'on examinera ci-apr�s s'il est �galement question d'une coresponsabilit�, pour autant que SWIFT d�termine conjointement avec les institutions financi�res la finalit� et les moyens des traitements. D.2. L'ex�cution d'ordres de paiement internationaux au moyen du service SWIFTNet FIN La question se pose ensuite de savoir si les institutions financi�res ont �galement d�termin� la finalit� et les moyens du traitement de sorte qu'elles sont coresponsables au sens de la LVP. Une fois encore, il est important de garder � l'esprit le contexte dans lequel les institutions financi�res communiquent des donn�es � caract�re personnel � SWIFT. Les institutions financi�res interviennent en principe � un autre niveau, � savoir le niveau du traitement d'ordres de paiement. Ce traitement diff�re de l'�change des messages financiers qui, sur le plan "business to business" (g�n�ralement interbancaire), est effectu� par SWIFT. L'�change de messages financiers pr�sente bien entendu un lien pratique avec les ordres de paiement. L'�change et le stockage de donn�es s'av�rent justement n�cessaires, suite � l'ordre de paiement, afin de traiter la transaction correctement et s�rement dans la circulation interbancaire. Le traitement de SWIFT ne se passe pas "au guichet", en contact direct avec l'int�ress� qui donne l'instruction d'effectuer un ordre de paiement. Il a lieu, au contraire, dans le contexte du "back office" des institutions financi�res o� des applications comme le scannage des ordres de paiement et la r�alisation d'op�rations interbancaires sont en principe effectu�s conform�ment aux standards et aux usages professionnels de chaque institution financi�re, aux usages du secteur et aux normes existantes. La Commission conclut que les traitements "r�alisation d'ordres de paiement" et "�change de messages de paiement" sont souvent li�s dans la pratique, bien qu'il s'agisse d'op�rations diff�rentes dont les finalit�s et donc les traitements ne peuvent pas �tre assimil�s. SWIFT a affirm� que les institutions financi�res sont responsables de la r�alisation du traitement qui consiste � traiter des ordres de paiement internationaux. Les institutions financi�res qui font appel au service SWIFTNet FIN ne sont en effet pas des sous-traitants de SWIFT pour ce traitement, �tant donn� qu'elles n'agissent nullement � ce niveau pour le compte de SWIFT. 21 La d�claration de SWIFT en mati�re de compliance est disponible sur son site Internet www.swift.com. 22 La Niederoesterreichische Landesbank � Hypothekenbank AG, Kremsergasse 20 � 3100 St.-P�lten, Autriche AV 37 / 2006 - 14 / 28 Il est �galement important de garder � l'esprit que les institutions financi�res sont autonomes et qu'elles peuvent poursuivre leurs propres objectifs au niveau interbancaire. La Commission constate que les institutions financi�res prennent souvent des d�cisions cruciales dans la circulation interbancaire quant � la communication de donn�es � caract�re personnel � SWIFT, souvent � l'insu de leurs clients. C'est ce qu'il ressort des �l�ments suivants : � Les institutions financi�res d�cident souvent de mani�re autonome, dans la circulation interbancaire, des moyens mis en oeuvre pour le traitement d'un ordre de paiement donn�. Elles ont le choix d'utiliser ou non le service de SWIFT pour l'envoi de messages financiers relatifs � des transactions individuelles. Elles peuvent, au besoin, utiliser ou d�velopper des services alternatifs ou concurrents pour l'envoi de ces messages financiers dans la circulation interbancaire (e-mail, fax, t�l�phone,�) � une banque de correspondance,� Les choix � ce niveau d�termineront les caract�ristiques globales en mati�re de vie priv�e concernant les ordres de paiement que l'institution financi�re traite. Etant donn� la diversit� des services au niveau interbancaire, les institutions financi�res sont libres, quant au choix du service interbancaire, de se laisser guider par des �l�ments tels que la politique de protection de la vie priv�e du prestataire professionnel, outre la protection des informations qui est bien entendu toujours requise. Les institutions financi�res peuvent utiliser, � titre de garantie, une forte politique de protection de la vie priv�e d'un certain prestataire ou une certaine solution comme un VPN, afin de garantir au maximum leurs services et la confiance de leurs clients. � Les institutions financi�res connaissent le cadre contractuel du service SWIFTNet FIN. Il ressort de la documentation contractuelle (Data Retrieval Policy23) et de la politique de SWIFT en mati�re de compliance que les clients de SWIFT �taient au courant du principe g�n�ral de communication de donn�es � caract�re personnel suite � des sommations adress�es � eux-m�mes ou � SWIFT. SWIFT a avanc�24 que le nombre de sommations adress�es aux institutions financi�res serait de l'ordre de milliers voire m�me de dizaines de milliers par an. On peut donc douter du fait que les institutions financi�res actives sur le march� des paiements internationaux ne seraient pas au courant du principe g�n�ral des sommations. � Les institutions financi�res doivent, en tant que prestataires professionnels, pouvoir �valuer les �ventuels risques (relatifs � la vie priv�e) et les implications pour le client concern� qui seraient li�s au service SWIFTNet FIN, auquel elles souscrivent en tant que prestataire professionnel. Il est important, � cet �gard, de v�rifier si la politique de protection de la vie priv�e de l'institution donneuse d'ordre contient des dispositions claires quant � ces risques. � Vu leur contact direct avec les donneurs d'ordre pour les instructions de paiement, les institutions financi�res jouent un "r�le de guichet" essentiel. La Commission n'exclut pas que les institutions financi�res soient consid�r�es comme "interm�diaires" pour l'exercice des droits des personnes concern�es dans le cadre du service SWIFTNet FIN, pour autant que cela se fasse au moyen d'un accord clair avec SWIFT en tant que responsable du traitement dans le cadre du service SWIFTNet FIN. 23 Qui dispose ce qui suit :"Afin d'exclure tout doute, rien dans ce document de politique ou, plus g�n�ralement, dans les obligations de confidentialit� de SWIFT � l'�gard de ses clients ne sera consid�r� comme un obstacle pour SWIFT pour extraire, utiliser ou communiquer des donn�es relatives � la circulation ou des donn�es issues de messages, pour autant que cela soit raisonnablement n�cessaire afin de respecter une sommation s�rieuse ou une autre proc�dure l�gale par un tribunal ou une autre autorit� comp�tente ("For the avoidance of any doubt, nothing in this policy or, more generally, SWIFT's obligations of confidence to customers, shall be construed as preventing SWIFT from retrieving, using, or disclosing traffic or message data as reasonably necessary to comply with a bona fide subpoena or other lawful process by a court or other competent authority.") 24 En r�action � un rapport d'une r�union avec la Commission du 22 ao�t 2006. AV 37 / 2006 - 15 / 28 Etant donn� les consid�rations qui pr�c�dent, la Commission estime que les institutions financi�res actives dans la circulation des paiements internationaux sur le plan "business to business" (interbancaire) peuvent �galement d�terminer la finalit� et les moyens des traitements qui leur sont confi�s (le traitement d'ordres de paiement de leurs clients). Dans la mesure o� le service SWIFTNet FIN est utilis�, elles peuvent, conjointement avec SWIFT, �tre consid�r�es comme coresponsables du traitement. D.3. Responsabilit� de la Banque nationale de Belgique Par un projet de r�solution commun du 5 juillet 2006, le Parlement europ�en a exprim� le souhait � l'�gard des Etats membres25 de "v�rifier et de veiller qu'il n'existe pas de vide juridique au niveau national et que la l�gislation communautaire en mati�re de protection des donn�es s'applique �galement aux banques centrales". Il a d�s lors �t� demand� aux Etats membres de transmettre les r�sultats de cette v�rification � la Commission europ�enne, au Conseil et au Parlement europ�en. La Commission �tablit que la BNB, en tant que "overseer", n'a d�termin� ni la finalit�, ni les moyens du traitement de donn�es � caract�re personnel via le service SWIFTNet FIN. La BNB ne peut d�s lors pas �tre responsable au sens de la LVP en ce qui concerne le traitement pr�cit�. La BNB, en tant que "overseer", a bien �t� inform�e par SWIFT en f�vrier 2002 de l'existence d'une sommation am�ricaine. Etant donn� le projet de r�solution pr�cit�, la Commission a souhait� v�rifier aupr�s de la BNB, en tant que "overseer", le contenu concret de l' "oversight", et dans quelle mesure la BNB consid�re comme �tant sa t�che de veiller � ce que SWIFT ait suffisamment couvert les risques juridiques tels que les risques en mati�re de protection de la vie priv�e. La BNB a r�pondu ce qui suit dans une lettre du 28 ao�t 2006 : "(�) En vertu de l'article 8 de sa Loi organique26, la BNB veille au bon fonctionnement des syst�mes de compensation et de paiements. Cette mission se rapporte aux t�ches du Syst�me europ�en de banques centrales (SEBC), en particulier l'article 22 des statuts du SEBC. Cette mission tr�s sp�cifique des banques centrales est connue sous le terme "oversight". Cette activit� est exerc�e dans une perspective de syst�me, o� le bon fonctionnement du syst�me global de compensation ou de paiement occupe une position centrale afin de garantir la stabilit� financi�re et d'�viter lesdits "risques syst�me" avec un effet domino de faillites bancaires (�)" Elle ajoute que : "La Banque (�), en sa qualit� de "overseer", n'a aucune responsabilit� pour les actes de SWIFT. L'approbation ou la d�sapprobation des d�cisions op�rationnelles, financi�res, juridiques ou concernant le droit des soci�t�s du management n'est pas demand�e � la Banque par SWIFT et n'est pas non plus obtenue." et "(�) que les banques centrales du G-10 se sont concert�es dans le courant de 2002 concernant l'affaire des sommations am�ricaines et sont arriv�es � la conclusion que ces sommations ne relevaient pas de l' "oversight" des banques centrales. Aucun nouvel �l�ment n'a ensuite �t� fourni, obligeant le Senior Level Oversight Group � revoir cette conclusion." [Traduction r�alis�e par le secr�tariat de la Commission, en l�absence d�une traduction officielle]. Il ressort des �l�ments pr�cit�s que le respect de la LVP par SWIFT n'est pour l'instant pas consid�r� comme faisant partie de l' "oversight" individuel et coop�ratif. 25 Projet de r�solution commun sur l'interception de donn�es de virements bancaires du syst�me SWIFT par les services secrets am�ricains. 26 Loi du 22 f�vrier 1998 fixant le statut organique de la Banque Nationale de Belgique. AV 37 / 2006 - 16 / 28 Dans la mesure o� la BNB intervient toutefois en tant que client de SWIFT et confierait � cet �gard des donn�es � caract�re personnel au service SWIFTNet FIN, elle pourrait �tre consid�r�e comme responsable comme mentionn� � la rubrique D.2. E. EXAMEN DES �VENTUELLES VIOLATIONS DE LA LVP La demande d'avis concerne la question des �ventuelles violations de la LVP par SWIFT. La question de savoir si les institutions financi�res (belges) ont viol� la LVP ne fait pas partie au sens strict de l'objet de l'avis et n'a pas pu �tre examin�e vu le temps limit� dont a dispos� la Commission. Etant donn� que la Commission estime cependant qu'il est question de coresponsabilit� dans le chef des institutions financi�res, elle se tient � disposition pour appr�cier ult�rieurement les �ventuelles violations par des institutions financi�res (belges) individuelles. La Commission souligne qu'il existe des diff�rences fondamentales entre l'Union europ�enne et les Etats-Unis en ce qui concerne les l�gislations et les principes r�gissant les traitements de donn�es � caract�re personnel. Les traitements de donn�es � caract�re personnel sont caract�ris�s, dans le droit europ�en, par le haut niveau de protection �tabli en Europe en vertu des conventions applicables comme l'article 8 de la CEDH, la Convention n� 10827 et les directives europ�ennes applicables telles que la Directive 95/46/CE. La Commission souligne un certain nombre de malentendus � fr�quents � qui existent parfois au sujet des notions de "protection ad�quate" et de "respect de la norme ou de la loi (relative � la protection de la vie priv�e)". Elle souligne, pour l'interpr�tation de ces notions, qu'il ne suffit pas uniquement de proc�der � un contr�le par un auditeur externe, de respecter des standards ou normes techniques et de pr�voir des mesures de s�curit� technique ad�quates. Les principes applicables de la LVP vont bien plus loin. L'on examinera donc ci-apr�s si SWIFT a respect� tous les principes applicables de la LVP, m�me si elle a d�j� atteint un haut degr� de protection des donn�es. Lors de l'�valuation, une distinction a �t� faite entre la question de savoir si, d'une part, des infractions � la LVP ont �t� commises dans le cadre du fonctionnement normal du service SWIFTNet FIN et si, d'autre part, des infractions � la LVP ont �t� commises dans le cadre du transfert des donn�es � l'UST. E.1. SWIFT a-t-elle commis des infractions � la LVP dans le cadre du fonctionnement normal du service SWIFTNet FIN ? E.1.1. Base l�gale (article 5 b) de la LVP et article 7 b) de la Directive 95/46/CE) Sur la base de l'article 5 de la LVP, les donn�es � caract�re personnel des donneurs d'ordre ou des b�n�ficiaires ne peuvent �tre trait�es que dans un nombre limit� de cas. Le traitement de donn�es � caract�re personnel dans le cadre du fonctionnement normal du service SWIFTNet FIN semble l�gitime dans la mesure o� il est n�cessaire � l'ex�cution du contrat entre SWIFT et l'organisme de cr�dit concern� (article 5 b) de la LVP et article 7 b) de la Directive 95/46/CE). 27 Convention du 28 janvier 1981 pour la protection des personnes � l'�gard du traitement automatis� des donn�es � caract�re personnel, M.B., 30 d�cembre 1993, approuv�e par la loi du 17 juin 1991 portant approbation de la Convention pour la protection des personnes � l'�gard du traitement automatis� des donn�es � caract�re personnel, faite � Strasbourg le 28 janvier 1981. AV 37 / 2006 - 17 / 28 E.1.2. Obligation d'information (article 9 de la LVP et article 11 de la Directive 95/46/CE) Dans la mesure o� SWIFT est responsable du traitement, elle est �galement soumise � l'obligation d'information des personnes concern�es. Cela signifie entre autres que les personnes physiques dont les donn�es ont �t� �chang�es dans les messages de paiement devaient au moins �tre inform�es conform�ment � l'article 9 de la LVP. Les personnes concern�es devaient par exemple savoir qui pouvaient �tre les destinataires des donn�es qu'elles transmettaient � leur organisme de cr�dit (SWIFT, autorit�s,�) et pour quelles finalit�s leurs donn�es pouvaient �tre trait�es. Etant donn� que SWIFT collecte les donn�es � caract�re personnel au moyen d'ordres des institutions financi�res, elle n'obtient pas directement les donn�es � caract�re personnel des personnes concern�es. Dans ce cas, il importe, selon l'article 9, � 2 de la LVP (article 11 de la Directive 95/46/CE), "d�s l'enregistrement des donn�es ou, si une communication de donn�es � un tiers est envisag�e, au plus tard au moment de la premi�re communication des donn�es, [de] fournir � la personne concern�e au moins les informations28, sauf si la personne concern�e en avait d�j� �t� inform�e" par les institutions financi�res. Cela signifie que, si SWIFT n'a pas veill� � ce que les institutions financi�res aient inform� les personnes concern�es conform�ment � l'article 9, � 1 de la LVP et qu'aucune exception sp�cifique n'a �t� pr�vue � l'obligation d'information dans l'arr�t� d'ex�cution de la LVP, SWIFT a commis une infraction � l'article 9, � 2 de la LVP. Enfin, le fait que SWIFT n'entretienne pas de relation directe avec les personnes concern�es ne peut nullement �tre consid�r� comme une raison suffisante pour ne pas respecter l'obligation d'information, par exemple via les institutions financi�res. Bien que la LVP ne prescrive pas la mani�re concr�te dont les informations doivent �tre donn�es, on peut tenir compte du contexte dans lequel les donn�es sont trait�es, � condition que la technique d'information choisie vise � informer effectivement et clairement les personnes concern�es. La Commission a d�j� estim�, dans le cadre de l'avis n� 48/2003 du 18 d�cembre 2003 concernant la transmission de donn�es � caract�re personnel par certaines compagnies a�riennes vers les Etats-Unis, que "le mode de communication au client n�est pas suffisamment explicite, les informations �tant int�gr�es dans le texte des conditions g�n�rales de transport, communiqu�es sur demande ou via Internet". La Commission29 a cependant estim�, dans un contexte de manifestations de masse telles que les matches de football, que les informations pouvaient avoir lieu individuellement (sur les tickets d'acc�s) ou collectivement (en pla�ant par exemple des panneaux clairs et visibles � l'entr�e du stade). Vu sa coresponsabilit� � la lumi�re de la LVP, SWIFT ne s'est pas concert�e suffisamment avec les institutions financi�res afin de respecter l'obligation d'information (article 9 de la LVP). Ceci a donn� lieu � une information insuffisante � l'�gard des personnes concern�es et au non-respect de l'article 9 de la LVP. 28 Selon l'article 9, � 2 de la LVP, les informations pertinentes sont "le nom et l'adresse du responsable, les finalit�s du traitement (�) et d'autres informations suppl�mentaires, notamment les cat�gories de donn�es concern�es et les destinataires ou les cat�gories de destinataires, l'existence d'un droit d'acc�s et de rectification des donn�es la concernant, sauf dans la mesure o�, compte tenu des circonstances particuli�res dans lesquelles les donn�es sont trait�es, ces informations suppl�mentaires ne sont pas n�cessaires pour assurer � l'�gard de la personne concern�e un traitement loyal des donn�es ;" 29 Avis n� 10/2005 du 15 juin 2005. AV 37 / 2006 - 18 / 28 E.1.3. Obligation de d�claration (article 17 de la LVP et article 21 de la Directive 95/46/CE) Etant donn� que SWIFT est responsable du traitement, elle est en principe soumise � l'obligation de d�claration du traitement qui permet une transparence et un contr�le g�n�raux, fussent-ils minimaux. La Commission constate cependant que SWIFT n'a pas fait de d�claration pour le traitement de donn�es � caract�re personnel dans le cadre du service SWIFTNet FIN, contrairement aux autres traitements tels que l'administration propre du personnel de SWIFT qui n'entrent pas dans le cadre du pr�sent avis. La Commission estime d�s lors que l'article 17 de la LVP n'a pas �t� respect�. E.1.4. Transfert de donn�es � caract�re personnel vers un pays ne pr�sentant pas un niveau de protection ad�quat (articles 21 et 22 de la LVP et articles 25 et 26 de la Directive 95/46/CE) SWIFT devait tenir compte de la r�glementation sur la transmission de donn�es � caract�re personnel vers des pays tiers. Les dispositions de la Directive 95/46/CE (chapitre IV, articles 25 et 26) r�gissent cette probl�matique et ont �t� repris partiellement dans la LVP, plus pr�cis�ment aux articles 21 et 22 de la LVP. SWIFT a communiqu� � la Commission qu'elle estimait que l'exigence d'un niveau de protection ad�quat d�coulant de l'article 21 de la LVP ne s'appliquait pas au traitement dans le cadre de son service SWIFTNet FIN. En r�sum�, elle avance les arguments suivants � cet �gard : � L'interdiction de transfert de donn�es (article 21, � 1) ne serait pas valable �tant donn� que le transfert n'a pas �t� effectu� depuis la Belgique par la soci�t� m�re. � L'interdiction de transfert de donn�es ne serait pas valable �tant donn� que le transfert n'a pas �t� effectu� vers une soci�t� tierce et �tant donn� que, selon une r�gle du droit des soci�t�s, la succursale (centre de traitement aux Etats-Unis) de SWIFT sans personnalit� juridique rel�verait toujours, juridiquement parlant, de la soci�t� m�re. Cette unit� juridique impliquerait que, dans le cadre du service SWIFTNet FIN, le traitement reste toujours soumis � un niveau de protection ad�quat, � savoir le droit belge. � Subsidiairement, pour autant que les exceptions l�gales de l'article 22, � 1 de la LVP soient bien d'application, SWIFT avance que le transfert serait n�cessaire � l'ex�cution d'un contrat entre la personne concern�e et le responsable (article 22, 2� de la LVP), soit que le transfert serait n�cessaire � l'ex�cution d'un contrat dans l'int�r�t de la personne concern�e (article 22, 3� de la LVP), soit que le transfert serait n�cessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un int�r�t public important (article 22, 4� de la LVP). � Le transfert a lieu dans un environnement fortement s�curis� avec un cryptage du contenu des messages. Les articles 21 et 22 de la LVP sont d'application d�s qu'il est question de soumettre des donn�es � caract�re personnel � un transfert vers un pays ne pr�sentant pas un niveau de protection ad�quat tel que les Etats-Unis. La LVP utilise de nouveau � cet �gard un crit�re fonctionnel. Etant donn� que les articles 21 et 22 de la LVP sont pr�cis�s de mani�re fonctionnelle et constituent un droit contraignant d'ordre public, les r�gles du droit des soci�t�s peuvent difficilement r�duire � n�ant l'ensemble du r�gime de protection en vertu de la Directive 95/46/CE. La Commission constate que, dans le cadre du fonctionnement normal du service SWIFTNet FIN, il est question d'un transfert de messages europ�ens vers des centres de traitement en Europe et aux Etats-Unis. Le fait que les donn�es soient envoy�es � une filiale ne constitue pas un crit�re selon la LVP pour ne pas appliquer les conditions de la loi. AV 37 / 2006 - 19 / 28 Ce transfert a lieu quotidiennement et massivement (11 millions de messages par jour d�but 2006). Apr�s transfert aux centres de traitement, les donn�es sont soumises � l'ensemble des op�rations30 qui sont propres au service SWIFTNet FIN. La Commission observe qu'une protection pouss�e ou un cryptage de donn�es � caract�re personnel n'emp�che pas que le transfert de donn�es cod�es soit toujours soumis aux articles 21 et 22 de la LVP. La Commission estime par ailleurs que les exceptions pr�vues � l'article 22 de la LVP ne peuvent �tre invoqu�es pour le traitement via le service SWIFTNet FIN. Etant donn� les alternatives et les services concurrents qui existent sur le march� des paiements internationaux, un recours au service SWIFTNet FIN peut encore difficilement �tre consid�r� comme n�cessaire pour toute institution financi�re pour effectuer un ordre de paiement. Enfin, la notion de "motif d'int�r�t public important" doit toujours �tre interpr�t�e dans l'ordre juridique belge, conform�ment aux normes juridiques valables en Belgique comme l'article 8 de la CEDH. SWIFT a avanc� que le placement en miroir des centres de traitement est consid�r� comme un �l�ment critique pour le syst�me financier mondial. Elle affirme que le placement en miroir lui a �t� impos� par les "overseers" (banques centrales du G-10) pour des raisons de s�curit� et de fiabilit�, �tant donn� que l'infrastructure de SWIFT est consid�r�e comme critique pour l'industrie financi�re globale. Au niveau europ�en, il a cependant d�j� �t� jug� que les Etats-Unis n'offraient pas un niveau de protection ad�quat � la lumi�re de la Directive 95/46/CE. M�me si le fonctionnement du syst�me financier mondial devait avoir un impact sur l'ordre public en Belgique, ce n'est toutefois pas une justification suffisante � la lumi�re de la Directive 95/46/CE pour installer un centre de traitement aux Etats-Unis sans niveau de protection ad�quat. Etant donn� que les Etats-Unis ne tombent pas dans la cat�gorie des pays pr�sentant un niveau de protection ad�quat, les principes de la "sph�re de s�curit�" ("Safe Harbour") ont �t� �labor�s sp�cifiquement pour les Etats-Unis, sur d�cision de la Commission europ�enne31. En ce qui concerne tous les pays qui ne garantissent pas un niveau de protection ad�quat comme les Etats-Unis, la Commission europ�enne a en outre pr�vu des dispositions contractuelles ad�quates, conform�ment � l'article 26, 2 de la Directive 95/46/CE32. Il existe enfin le syst�me des "Binding Corporate Rules", c'est-�-dire les r�gles d'entreprise contraignantes, qui peut permettre le transfert de donn�es � caract�re personnel vers des pays tiers, sans niveau de protection ad�quat. La Commission estime que le syst�me des r�gles d'entreprise contraignantes ("binding corporate rules"), conform�ment � l'article 26, 2 de la Directive 95/46/CE, est une mesure ad�quate et requise pour pr�voir les garanties ad�quates pour les transferts de donn�es quotidiens et massifs effectu�s via les centres de traitement d'une entreprise multinationale telle que SWIFT. Un tel code de conduite doit toutefois �tre autoris� en Belgique par le Roi, apr�s avis de la Commission. La Commission estime que la protection que SWIFT a pr�vue pour le traitement des donn�es dans le cadre de son centre de traitement aux Etats-Unis ne satisfait pas aux articles 21 et 22 de la LVP (articles 25 et 26 de la Directive 95/46/CE). 30 Notamment le d�cryptage automatique et la v�rification formelle des donn�es. 31 Voir la D�cision 2000/520/CE de la Commission du 26 juillet 2000 conform�ment � la Directive 95/46/CE du Parlement europ�en et du Conseil relative � la pertinence de la protection assur�e par les principes de la "sph�re de s�curit�" et par les questions souvent pos�es y aff�rentes, publi�s par le minist�re du commerce des �tats-Unis d'Am�rique (notifi�e sous le num�ro C(2000) 2441) 32 Voir � ce sujet : http://europa.eu.int/comm/justice_home/fsj/privacy/modelcontracts/index_en.htm AV 37 / 2006 - 20 / 28 E.2. SWIFT a-t-elle viol� la LVP lors du transfert de donn�es � l�UST ? La Commission souhaite v�rifier ci-apr�s si SWIFT a viol� la LVP dans le cadre de la communication de donn�es � caract�re personnel � l�UST. E.2.1. Base l�gale (article 5 de la LVP, article 7 b) de la Directive 95/46/CE et article 8 de la CEDH) La Commission insiste sur le fait qu�elle ne met pas en cause la l�galit� ou le caract�re contraignant de la l�gislation am�ricaine et des sommations am�ricaines, ce qui rel�ve clairement de la comp�tence de l�autorit� am�ricaine. Par contre, elle peut examiner si l�ex�cution des sommations am�ricaines peut trouver, dans le droit belge sur le traitement de donn�es � caract�re personnel, une base de l�gitimation. En vertu de l�article 5 de la LVP, les donn�es � caract�re personnel des donneurs d�ordre ou des b�n�ficiaires ne peuvent �tre trait�es que dans un nombre limit� de cas. SWIFT n�invoque pas formellement une base l�gale en vertu du droit belge et a uniquement fait r�f�rence aux sommations am�ricaines dont elle affirme avoir examin� la l�galit� et le caract�re contraignant. Toutefois, prima facie, surtout l�article 5 c) (obligation l�gale du responsable) et 5 f) (r�alisation d�un int�r�t important et l�gitime du responsable) semblent pertinents pour pouvoir l�gitimer la communication de donn�es � caract�re personnel � l�UST. En ce qui concerne l�article 5 c), la Commission souscrit � l�avis du Groupe 29 du 1er f�vrier 2006 concernant la l�gislation Sarabanes-Oxley33. Le Groupe 29 a d�j� affirm� qu� "Une obligation impos�e par une loi ou un r�glement �trangers qui exigeraient l��tablissement de syst�mes de signalement ne saurait �tre qualifi�e d�obligation l�gale l�gitimant le traitement des donn�es dans l�UE. Toute autre interpr�tation permettrait � des l�gislations �trang�res de contourner les r�gles fix�es par l�UE avec la directive 95/46/CE.". Ceci signifie par cons�quent que les sommations am�ricaines ne peuvent pas �tre consid�r�es comme une base l�gitimant le traitement de donn�es, conform�ment � l�article 5 c) de la LVP. Rejoignant le point de vue de la Commission de la vie priv�e fran�aise (la CNIL) dans le dossier SOX34, la Commission estime qu�il est impossible, dans le cas des sommations am�ricaines, de nier l�int�r�t l�gitime de SWIFT au sens de l�article 5 f) de la LVP. En d�autres termes, on ne peut contester que SWIFT a un int�r�t l�gitime � se soumettre � une sommation valable et ex�cutable en vertu du droit am�ricain. En cas de non respect par SWIFT de ces sommations, SWIFT court en effet le risque de se voir infliger des sanctions civiles en vertu du droit am�ricain. La Commission pense d�s lors que le transfert de donn�es � l�UST repose sur un int�r�t l�gitime et important dans le chef de SWIFT au sens de l�article 5 f) de la LVP. 33 Voir l�avis 1/2006 relatif � l'application des r�gles europ�ennes de protection des donn�es aux dispositifs internes d'alerte professionnelle ("whistleblowing") dans les domaines bancaire, de la comptabilit�, du contr�le interne des comptes, de l'audit, de la lutte contre la corruption et les infractions financi�res. 34 CNIL, Document d�orientation adopt� par la Commission le 10 novembre 2005 pour la mise en oeuvre de dispositifs d�alerte professionnelle conformes � la loi du 6 janvier 1978 modifi�e en ao�t 2004, relative � l�informatique, aux fichiers et aux libert�s. AV 37 / 2006 - 21 / 28 N�anmoins, SWIFT aurait d� r�aliser que les mesures exceptionnelles en vertu du droit am�ricain pouvaient difficilement l�gitimer une violation cach�e, syst�matique, massive et de longue dur�e des principes europ�ens fondamentaux en mati�re de protection des donn�es. Ce principe de base se retrouve au deuxi�me alin�a de l�article 8 de la CEDH35. Les exigences de base strictes en vertu de cet article ont d�j� �t� expliqu�es � plusieurs reprises par la Cour europ�enne des Droits de l�homme, notamment au moment de confronter des activit�s secr�tes de surveillance � des crit�res tels que l�exigence de pr�visibilit� de la norme et l�exigence de mesures de contr�le suffisantes et effectives36. E.2.2. Principe de proportionnalit� (article 4, � 1, 3� de la LVP) et d�lai de conservation (article 4, � 1, 5� de la LVP) La Commission estime qu�en l�esp�ce, il semble s�agir d�un "conflict of laws" entre le droit am�ricain et le droit belge, qui a forc� SWIFT � faire des choix difficiles apr�s la r�ception des sommations am�ricaines. A la lumi�re du principe de proportionnalit�, il est toutefois essentiel de v�rifier si SWIFT a �galement recherch� un �quilibre entre les deux syst�mes juridiques et a, pour ce faire, suffisamment examin� et appliqu� la possibilit� d�alternatives en vertu du droit belge ou europ�en. Le fait que SWIFT soit soumise aux sommations et ait entretenu activement des n�gociations confidentielles avec l�UST sur l�application des sommations n�emp�che pas en effet que le traitement doive �tre effectu� en conformit� avec les principes du droit belge et du droit europ�en. Vu le principe de n�cessit�, on se demande quelles alternatives SWIFT avait une fois qu�il �tait �tabli qu�elle �tait soumise � des sommations valables et contraignantes. Un certain nombre d�options semblaient exister, � savoir : � Contester les sommations impos�es en vertu du droit am�ricain. A la question de savoir pourquoi les sommations n�ont pas �t� soumises aux juges aux Etats-Unis, SWIFT a r�pondu que les premi�res sommations avaient �t� introduites juste apr�s les �v�nements de septembre 2001. Les sommations reposeraient actuellement sur une base l�gale en vertu du droit am�ricain (codifi�e dans ledit "Patriot Act"37). SWIFT a en outre affirm� qu�il y avait un risque que le juge am�ricain d�cide d�ordonner � SWIFT de communiquer toutes les donn�es sans limites. � Appliquer les proc�dures officielles et les trait�s en mati�re de collaboration judiciaire. Les recommandations et proc�dures qui existent pour une collaboration judiciaire sur le plan international et europ�en et qui sont vis�es pour la pr�vention et la lutte contre le financement du terrorisme via un acc�s � des donn�es au sein d�institutions financi�res ne semblent pas suivies. 35 Formul� comme suit : "Il ne peut y avoir ing�rence d'une autorit� publique dans l'exercice de ce droit que pour autant que cette ing�rence est pr�vue par la loi et qu'elle constitue une mesure qui, dans une soci�t� d�mocratique, est n�cessaire � la s�curit� nationale, � la s�ret� publique, au bien-�tre �conomique du pays, � la d�fense de l'ordre et � la pr�vention des infractions p�nales, � la protection de la sant� ou de la morale, ou � la protection des droits et libert�s d'autrui." 36 Voir l�affaire Rotaru contre Roumanie (� 55 et suivants) qui fait r�f�rence � des affaires ant�rieures telles que Malone contre Royaume-Uni du 2 ao�t 1984, Series A n� 82, p. 32, � 67, et Amann contre Suisse [GC], n� 27798/95, � 65, Cour europ�enne des Droits de l�homme 2000-II, � 56). 37 Le USA PATRIOT Act (Public Law 107-56) ou, en toutes letters, le Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001, est une proposition de loi am�ricaine (H.R. 3162) qui a �t� adopt�e � la majorit� en 2003 par le Congr�s am�ricain. La loi a pour but d�offrir plus de possibilit�s � l�autorit� am�ricaine de r�unir des informations et d�intervenir en cas de terrorisme potentiel (source : http://nl.wikipedia.org ). AV 37 / 2006 - 22 / 28 On peut faire r�f�rence � cet �gard aux recommandations publiques de la FATF ("GAFI")38. La FATF est un organe intergouvernemental cr�� en 1989 ayant pour but de d�velopper et de promouvoir des mesures de politique nationales et internationales afin de lutter contre le blanchiment et le financement du terrorisme. La recommandation n� 40 de la FATF comporte la disposition selon laquelle "Les pays devraient mettre en place des contr�les et des garanties pour faire en sorte que les informations �chang�es par les autorit�s comp�tentes ne soient utilis�es que de la mani�re autoris�e et en conformit� avec leurs obligations de protection de la vie priv�e et de protection des donn�es."39 On peut en outre se r�f�rer � la collaboration dans le cadre du "Groupe d'Egmont"40. Par l'interm�diaire de ce groupe informel, un �change de renseignements financiers est actuellement mis en place via les cellules nationales op�rationnelles de renseignements financiers ("financial intelligence units" ou "FIU") des 101 pays dont la Belgique et les Etats-Unis. Cet �change est r�alis� via le "Egmont Secure Web" ou "ESW". Les organes et syst�mes alternatifs pr�cit�s pourraient offrir, � la lumi�re de la Directive 95/46/CE, des garanties compl�mentaires lors de l��change d�informations en mati�re de blanchiment et de financement du terrorisme. Enfin, on peut signaler que, � la suite des attentats du 11 septembre 2001, deux accords41 internationaux ont �t� n�goci�s entre l�Union europ�enne et les Etats-Unis. Ceux-ci ont �t� sign�s le 25 juin 2003 mais sont en attente d��tre ratifi�s par les deux parties. En vertu de l�article 18 de la Convention de Vienne sur le droit des trait�s42, un Etat doit s�abstenir d�actes qui priveraient un trait� de son objet et de son but lorsqu�il a sign� le trait� ou a �chang� les instruments constituant le trait� sous r�serve de ratification, tant qu�il n�a pas manifest� son intention de ne pas devenir partie au trait�. La Commission constate cependant que SWIFT s�est limit�e au respect du droit am�ricain et � la recherche de solutions via des n�gociations secr�tes avec l�UST. La Commission regrette que les alternatives susmentionn�es n'aient pas �t� envisag�es et que les autorit�s43 europ�ennes comp�tentes en mati�re de protection des donn�es n'aient pas �t� consult�es afin de confronter le transfert massif de donn�es � caract�re personnel � l�UST au regard du droit europ�en. En ce qui concerne l�application du principe de proportionnalit�, la Commission fait remarquer que le transfert massif, cach�, durant depuis des ann�es et syst�matique de donn�es � caract�re personnel peut �galement �tre consid�r� comme une violation de l�article 4, � 1, 3� de la LVP. Enfin, le contr�le du d�lai de conservation des donn�es dans la bo�te noire doit �galement �tre jug� essentiel � la lumi�re du respect du principe de proportionnalit�. Une distinction est �tablie entre le d�lai de conservation normal qui est d�usage dans le cadre du fonctionnement normal des centres de traitement de SWIFT et les d�lais de conservation 38 Publi�es sur le site http://www.fatf-gafi.org. Voir http://www.fatf-gafi.org/dataoecd/42/43/33628117.PDF concernant les 40 recommandations. 39 �Countries should establish controls and safeguards to ensure that information exchanged by competent authorities is used only in an authorised manner, consistent with their obligations concerning privacy and data protection.� 40 Zie http://www.egmontgroup.org/about_egmont.pdf 41 "Agreement on extradition between the EU and the US" et l� "Agreement on mutual legal assistance between the EU and the US". Voir les publications sur http://eur-lex.europa.eu/LexUriServ/site/en/oj/2003/l_181/l_18120030719en00270033.pdf et http://europa.eu.int/eurex/ pri/en/oj/dat/2003/l_181/l_18120030719en00340042.pdf#search=%22Agreement%20on%20mutual%20legal%20assi stance%20between%20the%20european%20union%22 42 Convention de Vienne sur le droit des trait�s, 23 mai 1969, M.B. du 25 d�cembre 1993, entr�e en vigueur : le 1er octobre 1992. Les Etats-Unis ont sign� ce trait�. 43 Compte tenu de l�analyse des "overseers" qui se sont d�j� d�clar�s incomp�tents en 2002 en mati�re de sommations. AV 37 / 2006 - 23 / 28 qui sont d�application pour les donn�es dans la bo�te noire mise � la disposition de l�UST44. Apr�s v�rification des accords entre SWIFT et l�UST, il s�av�re qu�il semble �tre question d�un d�lai de conservation d�une dur�e ind�termin�e, donc exc�dant largement le d�lai de conservation normal dans le cadre du service SWIFTNet FIN, ce qui est contraire au principe de proportionnalit�. Initialement, il existait la possibilit� de conserver les messages dans la bo�te noire aussi longtemps qu�ils repr�sentaient une utilit� �ventuelle pour une recherche. Ensuite, SWIFT a eu la possibilit� de r�cup�rer de l�UST tous les messages non collect�s, fut-ce avec l'obligation de conserver ces donn�es tant que la possibilit� existe qu'une sommation soit prononc�e quant � ces donn�es (voir supra au point B.4.1). La Commission constate que cette "possibilit� de d�placement" de donn�es (de la bo�te noire vers SWIFT) a peu d�influence sur le d�lai de conservation � proprement parler, qui reste en principe ind�termin�, c�est-�-dire aussi longtemps qu�existe la possibilit� d�une sommation concernant ces donn�es. La Commission signale enfin que pour le moment, aucune v�rification ind�pendante effective n�a pu �tre r�alis�e concernant le d�lai concret de conservation de donn�es dans des cas individuels. Par cons�quent, on ne peut exclure que des donn�es � caract�re personnel puissent �tre conserv�es dans la bo�te noire durant des ann�es sans v�rification ind�pendante. Sur la base des consid�rations susmentionn�es, la Commission estime que la pratique susmentionn�e d�un transfert massif, cach�, durant depuis des ann�es et syst�matique de donn�es � caract�re personnel � l�UST avec un d�lai de conservation d�une dur�e ind�termin�e constitue une violation des principes de proportionnalit� et du d�lai de conservation limit� tel que formul� aux articles 4, � 1, 3� de la LVP (proportionnalit�) et 4, � 1, 5� de la LVP (d�lai de conservation), � la suite des articles 6.1. (c) et 6.1. (e) de la Directive 95/46/CE. En tant que responsable, SWIFT aurait d� se rendre compte que ces principes �taient jug�s fondamentaux dans l�ordre juridique europ�en. E.2.3. Principe de finalit� La Commission insiste sur le fait qu�elle reconna�t l�int�r�t et la l�gitimit� de la lutte mondiale contre le terrorisme. Toutefois, � la lumi�re de la LVP, il est crucial de savoir si les sommations, compte tenu de leur formulation, pouvaient en effet uniquement �tre utilis�es pour la lutte contre le terrorisme et n�impliquaient pas, par exemple, une autorisation pour d�autres finalit�s, tel que sugg�r� dans certains m�dia45. Cet aspect d�pend de la d�finition et de la communication de la finalit� du traitement via l�obligation d�information, qui sera expliqu�e ci-apr�s. Cependant, il ne rel�ve pas de la comp�tence de la Commission de mettre en cause la l�gitimit� des sommations am�ricaines. E.2.4. Obligation d�information dans le chef de SWIFT (articles 4, � 1, 2� et 9, � 2 de la LVP et article 8 de la CEDH) La Commission �tablit que tout contr�le de la finalit� d�pend enti�rement de la transparence requise et de la d�finition pr�cise des finalit�s du traitement. Elle fait remarquer � ce sujet que : � La finalit� exacte du traitement (combattre le terrorisme) a en principe �t� impos�e et d�finie dans les sommations dont la finalit� exacte a toujours �t� trait�e avec la plus grande confidentialit� et de fa�on non-transparente ; 44 Les d�lais de conservation que l�UST utiliserait pour les donn�es qu�elle a r�unies apr�s extraction de la bo�te noire ne sont pas connus. 45 Voir par exemple un article dans le Knack du 9 ao�t 2006 dans lequel l�auteur sugg�re qu�il serait question d�affaires qui n�auraient aucun rapport avec le terrorisme comme "une affaire li�e � la drogue". AV 37 / 2006 - 24 / 28 � Les finalit�s qui ont �t� formul�es dans les communications de SWIFT au grand public avant le 23 juin 2006 (et donc aux personnes concern�es) restaient tr�s vagues et aucun lien clair n�a �t� mentionn� avec le terrorisme (mention d�"activit�s ill�gales" et "comportement ill�gal" dans la politique publique de compliance de SWIFT) ; � Ce n�est que dans les communiqu�s de presse g�n�raux diffus�s apr�s le 23 juin 2006 qu�il a �t� pr�cis� � plusieurs reprises que SWIFT ne communiquait les donn�es que pour "des recherches sp�cifiques au terrorisme" (dans la d�claration relative � la compliance du 23 juin 2006 et les mises � jour de cette d�claration apr�s cette date). La Commission constate en outre que la politique "sans commentaire" de SWIFT en mati�re de compliance semble en contradiction avec l�exigence de transparence qui d�coule de la Directive 95/46/CE et du deuxi�me alin�a de l�article 8 de la CEDH. Cette politique semble inspir�e en grande partie des obligations strictes de confidentialit� impos�es � SWIFT dans le cadre de recherches individuelles de l�UST, par les r�gles g�n�rales de confidentialit� et le devoir de discr�tion en vigueur dans le monde des services financiers et enfin par les int�r�ts commerciaux et le risque au niveau de la r�putation de SWIFT. Il faut toutefois se poser la question d�licate de savoir o� doit �tre trouv� l��quilibre entre le haut degr� de confidentialit� offert par SWIFT au syst�me et l�ampleur des traitements � la suite des sommations et d�autre part les diverses obligations de transparence que SWIFT, en tant que responsable, assume en vertu des articles 4, � 1, 2� de la LVP (exigence de la d�finition de la finalit� dans la politique vie priv�e) et 9, � 2 de la LVP (obligation d�information). D�autre part, on se demande jusqu�� quel point SWIFT pouvait ET devait informer les institutions financi�res et les personnes concern�es en vertu de l�article 9, � 2 de la LVP sur le transfert des donn�es via l�UST. La Commission est consciente que des obligations l�gales ou conventionnelles de confidentialit� existent, aussi bien pour des sommations am�ricaines que pour des sommations belges, ce qui implique que l�obligation normale d�information � l��gard de la personne physique concern�e (suspect, qui fait l�objet de la sommation) ne sera pas toujours d�application lors de l�ex�cution d�une sommation. Cependant, la Commission attire l�attention sur une diff�rence fondamentale qui distingue les sommations de l�UST des sommations dans le droit belge. Sous la rubrique B.2., il a d�j� �t� pr�cis� que les sommations de l�UST doivent �tre qualifi�es de demandes non individualis�es et massives (technique "Rasterfandung" "carpetsweeping") qui fonctionnent en deux phases, ce qui diff�re des sommations belges qui sont exerc�es ab initio par cas individuel. Il a �galement �t� remarqu� � la fin de la rubrique B.2. que l'UST "a parfaitement le droit, en vertu du droit am�ricain, de soumettre la section am�ricaine de SWIFT � une sommation afin que soient communiqu�s tous les messages SWIFT". Cela signifie donc que, rien que pour 2005, un total de 2.518.290.000 messages SWIFTNet Fin peut �tre soumis aux sommations46. Vu le deuxi�me alin�a de l�article 8 de la CEDH, les obligations de transparence subsistent au niveau collectif, donc en ce qui concerne le ph�nom�ne des demandes de renseignements massives via des sommations europ�ennes ou am�ricaines. Compte tenu du caract�re secret, massif et inhabituel du transfert de donn�es, la Commission estime d�s lors que SWIFT devait au moins informer les institutions financi�res et les autorit�s de contr�le en mati�re de protection des donn�es (autorit�s europ�ennes, DPA dont la Commission) des sommations de l�UST. 46 Chiffre mentionn� dans la m�me lettre de SWIFT du 14 septembre 2006. On peut �galement partir d'une circulation de messages normale moyenne journali�re via SWIFTNet FIN se situant entre 6,9 millions (2005) et 11 millions de messages par jour (d�but 2006) et qui peut �tre soumise int�gralement aux sommations. AV 37 / 2006 - 25 / 28 E.2.5. Obligation de d�claration En vertu de l�article 17, � 6 de la LVP, une transmission de donn�es � caract�re personnel � l��tranger doit �tre d�clar�e. SWIFT a effectu� cette d�claration pour une multitude d�autres traitements47 mais pas pour le transfert de donn�es � l�UST et encore moins pour la finalit� de "compliance". Ceci est �trange, �tant donn� qu�il n�est pas inhabituel pour des institutions financi�res et d�autres prestataires de services financiers tels que SWIFT de d�clarer leur finalit� de "compliance" et leurs transferts internationaux s�par�ment aupr�s de la Commission. Ainsi, les r�f�rences � des traitements de "compliance" en vertu de la loi du 11 janvier 199348 sont assez courantes dans le chef des institutions financi�res responsables. En ne mentionnant pas dans la d�claration les transferts de donn�es aux Etats-Unis et la finalit� de compliance dans le cadre des sommations, SWIFT a viol� l�article 17, � 1 de la LVP. E.2.6. Exigence d�un contr�le ind�pendant du transfert de donn�es (article 28 de la Directive 95/46/CE et article 8 de la CEDH) Seule la direction de SWIFT semblait au courant des modalit�s du transfert � l�UST49 avant les communiqu�s de presse de juin 2006 en Belgique. Le contr�le ind�pendant requis en vertu de l�article 28 de la Directive 95/46/CE semble donc en grande partie emp�ch� par le fait que les transferts massifs de donn�es par SWIFT ont �t� trait�s avec la plus grande confidentialit�. Ainsi, ni les institutions financi�res concern�es, ni les autorit�s europ�ennes comp�tentes en mati�re de protection des donn�es n�ont �t� mises au courant du ph�nom�ne massif des sommations am�ricaines. L�exigence d�un contr�le ind�pendant d�coule toutefois �galement du deuxi�me alin�a de l�article 8 de la CEDH. Dans l�affaire Rotaru, la Cour europ�enne des Droits de l�homme a affirm� : "La norme juridique implique, entre autres, qu'une ing�rence de l'ex�cutif dans les droits de l'individu soit soumise � un contr�le efficace que doit normalement assurer, au moins en dernier ressort, le pouvoir judiciaire, car il offre les meilleures garanties d'ind�pendance, d'impartialit� et de proc�dure r�guli�re (�)"50. En maintenant la surveillance massive et secr�te � l'insu des autorit�s europ�ennes comp�tentes en mati�re de protection des donn�es et sans contr�le ind�pendant au sein des Etats-Unis (le seul contr�le a �t� men� par des soci�t�s du secteur priv�, � savoir SWIFT et son auditeur), il y a eu violation des exigences de l�article 28 de la Directive 95/46/CE. 47 Notamment la gestion des membres, la gestion de la client�le, � 48 Loi relative � la pr�vention de l'utilisation du syst�me financier aux fins du blanchiment de capitaux et du financement du terrorisme. 49 Ind�pendamment du fait que la BNB, en tant que "lead overseer", ait �t� inform�e de l�existence de la premi�re sommation et que les institutions financi�res sont cens�es conna�tre la pratique des sommations et le fait que les transactions SWIFT devaient �tre soumises � ces sommations, selon les documents contractuels. 50 "The rule of law implies, inter alia, that interference by the executive authorities with an individual's rights should be subject to effective supervision, which should normally be carried out by the judiciary, at least in the last resort, since judicial control affords the best guarantees of independence, impartiality and a proper procedure (see the Klass and Others judgment cited above, pp. 25-26, � 55)." AV 37 / 2006 - 26 / 28 E.2.7. Interdiction de transmission lors de transferts ult�rieurs � des destinataires de donn�es tels que l�UST (articles 21 de la LVP et 25 et 26 de la Directive 95/46/CE) A d�faut de dispositions d'exception applicables au sens des articles 22 de la LVP et 26 de la Directive 95/46/CE (voir supra), la Commission insiste sur le fait que le transfert de donn�es � l�UST ne peut nullement �tre r�gularis� de mani�re satisfaisante via la conclusion de "dispositions contractuelles" ou de "binding corporate rules" au sein du groupe SWIFT. Tout comme dans le pr�c�dent PNR51, pour ces transferts appel�s ult�rieurs ("onward transfers"), des accords sp�cifiques entre les Etats-Unis et l�Union europ�enne semblent �tre requis afin de s�assurer que le destinataire des donn�es (l�UST) appliquera correctement des r�gles de protection ad�quates conform�ment au droit europ�en. C�est le sens que donne le Groupe 29 aux articles 25 et 26 de la Directive 95/46/CE52. Pour SWIFT, le cadre des accords du GAFI aurait pu servir de point de d�part, mais la question est de savoir pourquoi cette option n�a pas �t� choisie. Vu le fait que le destinataire des donn�es (l�UST) n�a jamais �t� soumis � un niveau de protection ad�quat, conform�ment � l�article 21 de la LVP et � la Directive 95/46/CE, la Commission estime que SWIFT a viol� l�article 21, � 1 de la LVP. Il peut �tre consid�r� comme une faute grave d��valuation dans le chef de SWIFT de soumettre depuis des ann�es, de mani�re secr�te et syst�matique, une quantit� massive de donn�es � caract�re personnel � la surveillance de l�UST sans avoir contact� en m�me temps les autorit�s europ�ennes comp�tentes et la Commission afin de trouver une solution en vertu du droit belge et europ�en. PAR CES MOTIFS, sur la base de son examen g�n�ral, la Commission estime que : - la LVP s'applique � l'�change de donn�es via le service SWIFTNet FIN ; - SWIFT et les institutions financi�res sont conjointement responsables � la lumi�re de la LVP pour les traitements de donn�es � caract�re personnel via le service SWIFTNet FIN ; - SWIFT est responsable du traitement de donn�es � caract�re personnel telles que trait�es via le service SWIFTNet FIN ; - les institutions financi�res sont responsables �tant donn� qu'elles d�terminent �galement la finalit� et les moyens de l'ex�cution des ordres de paiement dans la circulation interbancaire. Les institutions financi�res font proc�der, notamment au niveau interbancaire, au traitement de messages financiers relatifs � ces messages de paiement via le service SWIFTNet Fin ; 51 Depuis d�but janvier 2003, les Etats-Unis ont exig� un acc�s aux Passenger Name Records (les donn�es de voyage et de r�servation, ou "PNR") de tous les passagers sur des vols � destination, en provenance ou en transit aux Etats- Unis. Depuis lors, des solutions sont recherch�es au niveau europ�en quant � l'exigence d'un niveau de protection ad�quat lors du transfert de ces donn�es aux USA. 52 Voir le document de travail du 24 juillet 1998 du Groupe 29 concernant le transfert de donn�es personnelles vers des pays tiers : application des articles 25 et 26 de la directive relative � la protection des donn�es, publi� sur http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/1998_en.htm AV 37 / 2006 - 27 / 28 - en ce qui concerne le traitement normal de donn�es � caract�re personnel dans le cadre du service SWIFTNet FIN, SWIFT aurait d� respecter ses obligations en vertu de la LVP, dont l'obligation d'information, l'obligation de d�claration et l'obligation de pr�voir un niveau de protection ad�quat conform�ment � l'article 21, � 2 de la LVP ; - en ce qui concerne la communication de donn�es � caract�re personnel � l'UST, la Commission estime que SWIFT se trouve en situation de conflit entre le droit am�ricain et europ�en et a au minimum commis un certain nombre de fautes d'�valuation lors du traitement des sommations am�ricaines. Qu'il convient notamment de consid�rer comme une grave erreur d'�valuation dans le chef de SWIFT le fait d'avoir soumis � une surveillance pendant des ann�es une quantit� massive de donn�es � caract�re personnel, ce secr�tement et syst�matiquement, sans justification suffisante et claire et sans contr�le ind�pendant conform�ment au droit belge et europ�en. Dans ce contexte, SWIFT aurait d�, d�s le d�but, �tre consciente du fait que, outre l'application du droit am�ricain, les principes fondamentaux du droit europ�en doivent �galement �tre respect�s, comme le principe de proportionnalit�, le d�lai de conservation limit�, la politique de transparence, l'exigence de contr�le ind�pendant et celle de niveau de protection ad�quat. Ces exigences sont en effet exprim�es dans le deuxi�me alin�a de l'article 8 de la CEDH, la Convention n� 108, la Directive 95/46/CE et la LVP et s'appliquent � SWIFT. La Commission se r�f�re �galement au pr�c�dent international dans le dossier PNR. Les autorit�s comp�tentes en mati�re de protection des donn�es (la Commission, ses pairs et la Commission europ�enne) auraient du �tre inform�es d�s le d�but, ce qui aurait pu permettre d'�laborer une solution au niveau europ�en pour la communication de donn�es � caract�re personnel � l'UST, en respectant les principes pr�cit�s en vigueur dans le droit europ�en. A cet �gard, le gouvernement belge aurait �galement pu �tre sollicit� afin de requ�rir une initiative au niveau europ�en. Vu la mati�re complexe et son importance, la Commission se tient � disposition pour fournir un avis ult�rieur quant � cette probl�matique. L'administrateur, (s�) Jo BARET Vu l�emp�chement du pr�sident, le vice-pr�sident, (s�) Willem DEBEUCKELAERE AV 37 / 2006 - 28 / 28 A. INTRODUCTION................................................................................................................... 2 B. FAITS ET CONTEXTE JURIDIQUE ..................................................................................... 3 B.1. SWIFT .................................................................................................................................. 3 B.1.1. Description du flux de donn�es et donn�es trait�es via le service SWIFTNet FIN ............... 3 B.2. Sommations ("subpoenas")................................................................................................... 5 B.3. Reactie van SWIFT op de dwangbevelen ............................................................................. 6 B.3.1. N�gociations avec l'UST ....................................................................................................... 6 B.3.2. Information aux Autorit�s de contr�le.................................................................................... 7 C. APPLICABILITE DE LA LVP ............................................................................................... 8 C.1. Champ d�application territorial............................................................................................... 8 C.2. Champ d�application mat�riel ................................................................................................ 8 D. APPRECIATION QUANT A SAVOIR SI SWIFT, LES INSTITUTIONS FINANCIERES ET LA BANQUE NATIONALE DE BELGIQUE SONT RESPONSABLES DU TRAITEMENT OU SOUS TRAITANTS ........................................................................................................ 9 D.1. Le traitement de donn�es � caract�re personnel dans le cadre du service SWIFTNet FIN . 9 D.2. L'ex�cution d'ordres de paiement internationaux au moyen du service SWIFTNet FIN ..... 13 D.3. Responsabilit� de la Banque nationale de Belgique ........................................................... 15 E. EXAMEN DES �VENTUELLES VIOLATIONS DE LA LVP............................................... 16 E.1. SWIFT a-t-elle commis des infractions � la LVP dans le cadre du fonctionnement normal du service SWIFTNet FIN ? ..................................................................................................... 16 E.1.1. Base l�gale (article 5 b) de la LVP et article 7 b) de la Directive 95/46/CE) ....................... 16 E.1.2. Obligation d'information (article 9 de la LVP et article 11 de la Directive 95/46/CE)........... 17 E.1.3. Obligation de d�claration (article 17 de la LVP et article 21 de la Directive 95/46/CE)....... 18 E.1.4. Transfert de donn�es � caract�re personnel vers un pays ne pr�sentant pas un niveau de protection ad�quat (articles 21 et 22 de la LVP et articles 25 et 26 de la Directive 95/46/CE) 18 E.2. SWIFT a-t-elle viol� la LVP lors du transfert de donn�es � l�UST ?.................................... 20 E.2.1. Base l�gale (article 5 de la LVP, article 7 b) de la Directive 95/46/CE et article 8 de la CEDH) 20 E.2.2. Principe de proportionnalit� (article 4, � 1, 3� de la LVP) et d�lai de conservation (article 4, � 1, 5� de la LVP) ................................................................................................................ 21 E.2.3. Principe de finalit� ............................................................................................................... 23 E.2.4. Obligation d�information dans le chef de SWIFT (articles 4, � 1, 2� et 9, � 2 de la LVP et article 8 de la CEDH)........................................................................................................... 23 E.2.5. Obligation de d�claration..................................................................................................... 25 E.2.6. Exigence d�un contr�le ind�pendant du transfert de donn�es (article 28 de la Directive 95/46/CE et article 8 de la CEDH)....................................................................................... 25 E.2.7. Interdiction de transmission lors de transferts ult�rieurs � des destinataires de donn�es tels que l�UST (articles 21 de la LVP et 25 et 26 de la Directive 95/46/CE) .............................. 26