AV 37 / 2006 - 21 / 28 N�anmoins, SWIFT aurait d� r�aliser que les mesures exceptionnelles en vertu du droit am�ricain pouvaient difficilement l�gitimer une violation cach�e, syst�matique, massive et de longue dur�e des principes europ�ens fondamentaux en mati�re de protection des donn�es. Ce principe de base se retrouve au deuxi�me alin�a de l�article 8 de la CEDH35. Les exigences de base strictes en vertu de cet article ont d�j� �t� expliqu�es � plusieurs reprises par la Cour europ�enne des Droits de l�homme, notamment au moment de confronter des activit�s secr�tes de surveillance � des crit�res tels que l�exigence de pr�visibilit� de la norme et l�exigence de mesures de contr�le suffisantes et effectives36. E.2.2. Principe de proportionnalit� (article 4, � 1, 3� de la LVP) et d�lai de conservation (article 4, � 1, 5� de la LVP) La Commission estime qu�en l�esp�ce, il semble s�agir d�un "conflict of laws" entre le droit am�ricain et le droit belge, qui a forc� SWIFT � faire des choix difficiles apr�s la r�ception des sommations am�ricaines. A la lumi�re du principe de proportionnalit�, il est toutefois essentiel de v�rifier si SWIFT a �galement recherch� un �quilibre entre les deux syst�mes juridiques et a, pour ce faire, suffisamment examin� et appliqu� la possibilit� d�alternatives en vertu du droit belge ou europ�en. Le fait que SWIFT soit soumise aux sommations et ait entretenu activement des n�gociations confidentielles avec l�UST sur l�application des sommations n�emp�che pas en effet que le traitement doive �tre effectu� en conformit� avec les principes du droit belge et du droit europ�en. Vu le principe de n�cessit�, on se demande quelles alternatives SWIFT avait une fois qu�il �tait �tabli qu�elle �tait soumise � des sommations valables et contraignantes. Un certain nombre d�options semblaient exister, � savoir : � Contester les sommations impos�es en vertu du droit am�ricain. A la question de savoir pourquoi les sommations n�ont pas �t� soumises aux juges aux Etats-Unis, SWIFT a r�pondu que les premi�res sommations avaient �t� introduites juste apr�s les �v�nements de septembre 2001. Les sommations reposeraient actuellement sur une base l�gale en vertu du droit am�ricain (codifi�e dans ledit "Patriot Act"37). SWIFT a en outre affirm� qu�il y avait un risque que le juge am�ricain d�cide d�ordonner � SWIFT de communiquer toutes les donn�es sans limites. � Appliquer les proc�dures officielles et les trait�s en mati�re de collaboration judiciaire. Les recommandations et proc�dures qui existent pour une collaboration judiciaire sur le plan international et europ�en et qui sont vis�es pour la pr�vention et la lutte contre le financement du terrorisme via un acc�s � des donn�es au sein d�institutions financi�res ne semblent pas suivies. 35 Formul� comme suit : "Il ne peut y avoir ing�rence d'une autorit� publique dans l'exercice de ce droit que pour autant que cette ing�rence est pr�vue par la loi et qu'elle constitue une mesure qui, dans une soci�t� d�mocratique, est n�cessaire � la s�curit� nationale, � la s�ret� publique, au bien-�tre �conomique du pays, � la d�fense de l'ordre et � la pr�vention des infractions p�nales, � la protection de la sant� ou de la morale, ou � la protection des droits et libert�s d'autrui." 36 Voir l�affaire Rotaru contre Roumanie (� 55 et suivants) qui fait r�f�rence � des affaires ant�rieures telles que Malone contre Royaume-Uni du 2 ao�t 1984, Series A n� 82, p. 32, � 67, et Amann contre Suisse [GC], n� 27798/95, � 65, Cour europ�enne des Droits de l�homme 2000-II, � 56). 37 Le USA PATRIOT Act (Public Law 107-56) ou, en toutes letters, le Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001, est une proposition de loi am�ricaine (H.R. 3162) qui a �t� adopt�e � la majorit� en 2003 par le Congr�s am�ricain. La loi a pour but d�offrir plus de possibilit�s � l�autorit� am�ricaine de r�unir des informations et d�intervenir en cas de terrorisme potentiel (source : http://nl.wikipedia.org ). AV 37 / 2006 - 22 / 28 On peut faire r�f�rence � cet �gard aux recommandations publiques de la FATF ("GAFI")38. La FATF est un organe intergouvernemental cr�� en 1989 ayant pour but de d�velopper et de promouvoir des mesures de politique nationales et internationales afin de lutter contre le blanchiment et le financement du terrorisme. La recommandation n� 40 de la FATF comporte la disposition selon laquelle "Les pays devraient mettre en place des contr�les et des garanties pour faire en sorte que les informations �chang�es par les autorit�s comp�tentes ne soient utilis�es que de la mani�re autoris�e et en conformit� avec leurs obligations de protection de la vie priv�e et de protection des donn�es."39 On peut en outre se r�f�rer � la collaboration dans le cadre du "Groupe d'Egmont"40. Par l'interm�diaire de ce groupe informel, un �change de renseignements financiers est actuellement mis en place via les cellules nationales op�rationnelles de renseignements financiers ("financial intelligence units" ou "FIU") des 101 pays dont la Belgique et les Etats-Unis. Cet �change est r�alis� via le "Egmont Secure Web" ou "ESW". Les organes et syst�mes alternatifs pr�cit�s pourraient offrir, � la lumi�re de la Directive 95/46/CE, des garanties compl�mentaires lors de l��change d�informations en mati�re de blanchiment et de financement du terrorisme. Enfin, on peut signaler que, � la suite des attentats du 11 septembre 2001, deux accords41 internationaux ont �t� n�goci�s entre l�Union europ�enne et les Etats-Unis. Ceux-ci ont �t� sign�s le 25 juin 2003 mais sont en attente d��tre ratifi�s par les deux parties. En vertu de l�article 18 de la Convention de Vienne sur le droit des trait�s42, un Etat doit s�abstenir d�actes qui priveraient un trait� de son objet et de son but lorsqu�il a sign� le trait� ou a �chang� les instruments constituant le trait� sous r�serve de ratification, tant qu�il n�a pas manifest� son intention de ne pas devenir partie au trait�. La Commission constate cependant que SWIFT s�est limit�e au respect du droit am�ricain et � la recherche de solutions via des n�gociations secr�tes avec l�UST. La Commission regrette que les alternatives susmentionn�es n'aient pas �t� envisag�es et que les autorit�s43 europ�ennes comp�tentes en mati�re de protection des donn�es n'aient pas �t� consult�es afin de confronter le transfert massif de donn�es � caract�re personnel � l�UST au regard du droit europ�en. En ce qui concerne l�application du principe de proportionnalit�, la Commission fait remarquer que le transfert massif, cach�, durant depuis des ann�es et syst�matique de donn�es � caract�re personnel peut �galement �tre consid�r� comme une violation de l�article 4, � 1, 3� de la LVP. Enfin, le contr�le du d�lai de conservation des donn�es dans la bo�te noire doit �galement �tre jug� essentiel � la lumi�re du respect du principe de proportionnalit�. Une distinction est �tablie entre le d�lai de conservation normal qui est d�usage dans le cadre du fonctionnement normal des centres de traitement de SWIFT et les d�lais de conservation 38 Publi�es sur le site http://www.fatf-gafi.org. Voir http://www.fatf-gafi.org/dataoecd/42/43/33628117.PDF concernant les 40 recommandations. 39 �Countries should establish controls and safeguards to ensure that information exchanged by competent authorities is used only in an authorised manner, consistent with their obligations concerning privacy and data protection.� 40 Zie http://www.egmontgroup.org/about_egmont.pdf 41 "Agreement on extradition between the EU and the US" et l� "Agreement on mutual legal assistance between the EU and the US". Voir les publications sur http://eur-lex.europa.eu/LexUriServ/site/en/oj/2003/l_181/l_18120030719en00270033.pdf et http://europa.eu.int/eurex/ pri/en/oj/dat/2003/l_181/l_18120030719en00340042.pdf#search=%22Agreement%20on%20mutual%20legal%20assi stance%20between%20the%20european%20union%22 42 Convention de Vienne sur le droit des trait�s, 23 mai 1969, M.B. du 25 d�cembre 1993, entr�e en vigueur : le 1er octobre 1992. Les Etats-Unis ont sign� ce trait�. 43 Compte tenu de l�analyse des "overseers" qui se sont d�j� d�clar�s incomp�tents en 2002 en mati�re de sommations. AV 37 / 2006 - 23 / 28 qui sont d�application pour les donn�es dans la bo�te noire mise � la disposition de l�UST44. Apr�s v�rification des accords entre SWIFT et l�UST, il s�av�re qu�il semble �tre question d�un d�lai de conservation d�une dur�e ind�termin�e, donc exc�dant largement le d�lai de conservation normal dans le cadre du service SWIFTNet FIN, ce qui est contraire au principe de proportionnalit�. Initialement, il existait la possibilit� de conserver les messages dans la bo�te noire aussi longtemps qu�ils repr�sentaient une utilit� �ventuelle pour une recherche. Ensuite, SWIFT a eu la possibilit� de r�cup�rer de l�UST tous les messages non collect�s, fut-ce avec l'obligation de conserver ces donn�es tant que la possibilit� existe qu'une sommation soit prononc�e quant � ces donn�es (voir supra au point B.4.1). La Commission constate que cette "possibilit� de d�placement" de donn�es (de la bo�te noire vers SWIFT) a peu d�influence sur le d�lai de conservation � proprement parler, qui reste en principe ind�termin�, c�est-�-dire aussi longtemps qu�existe la possibilit� d�une sommation concernant ces donn�es. La Commission signale enfin que pour le moment, aucune v�rification ind�pendante effective n�a pu �tre r�alis�e concernant le d�lai concret de conservation de donn�es dans des cas individuels. Par cons�quent, on ne peut exclure que des donn�es � caract�re personnel puissent �tre conserv�es dans la bo�te noire durant des ann�es sans v�rification ind�pendante. Sur la base des consid�rations susmentionn�es, la Commission estime que la pratique susmentionn�e d�un transfert massif, cach�, durant depuis des ann�es et syst�matique de donn�es � caract�re personnel � l�UST avec un d�lai de conservation d�une dur�e ind�termin�e constitue une violation des principes de proportionnalit� et du d�lai de conservation limit� tel que formul� aux articles 4, � 1, 3� de la LVP (proportionnalit�) et 4, � 1, 5� de la LVP (d�lai de conservation), � la suite des articles 6.1. (c) et 6.1. (e) de la Directive 95/46/CE. En tant que responsable, SWIFT aurait d� se rendre compte que ces principes �taient jug�s fondamentaux dans l�ordre juridique europ�en. E.2.3. Principe de finalit� La Commission insiste sur le fait qu�elle reconna�t l�int�r�t et la l�gitimit� de la lutte mondiale contre le terrorisme. Toutefois, � la lumi�re de la LVP, il est crucial de savoir si les sommations, compte tenu de leur formulation, pouvaient en effet uniquement �tre utilis�es pour la lutte contre le terrorisme et n�impliquaient pas, par exemple, une autorisation pour d�autres finalit�s, tel que sugg�r� dans certains m�dia45. Cet aspect d�pend de la d�finition et de la communication de la finalit� du traitement via l�obligation d�information, qui sera expliqu�e ci-apr�s. Cependant, il ne rel�ve pas de la comp�tence de la Commission de mettre en cause la l�gitimit� des sommations am�ricaines. E.2.4. Obligation d�information dans le chef de SWIFT (articles 4, � 1, 2� et 9, � 2 de la LVP et article 8 de la CEDH) La Commission �tablit que tout contr�le de la finalit� d�pend enti�rement de la transparence requise et de la d�finition pr�cise des finalit�s du traitement. Elle fait remarquer � ce sujet que : � La finalit� exacte du traitement (combattre le terrorisme) a en principe �t� impos�e et d�finie dans les sommations dont la finalit� exacte a toujours �t� trait�e avec la plus grande confidentialit� et de fa�on non-transparente ; 44 Les d�lais de conservation que l�UST utiliserait pour les donn�es qu�elle a r�unies apr�s extraction de la bo�te noire ne sont pas connus. 45 Voir par exemple un article dans le Knack du 9 ao�t 2006 dans lequel l�auteur sugg�re qu�il serait question d�affaires qui n�auraient aucun rapport avec le terrorisme comme "une affaire li�e � la drogue". AV 37 / 2006 - 24 / 28 � Les finalit�s qui ont �t� formul�es dans les communications de SWIFT au grand public avant le 23 juin 2006 (et donc aux personnes concern�es) restaient tr�s vagues et aucun lien clair n�a �t� mentionn� avec le terrorisme (mention d�"activit�s ill�gales" et "comportement ill�gal" dans la politique publique de compliance de SWIFT) ; � Ce n�est que dans les communiqu�s de presse g�n�raux diffus�s apr�s le 23 juin 2006 qu�il a �t� pr�cis� � plusieurs reprises que SWIFT ne communiquait les donn�es que pour "des recherches sp�cifiques au terrorisme" (dans la d�claration relative � la compliance du 23 juin 2006 et les mises � jour de cette d�claration apr�s cette date). La Commission constate en outre que la politique "sans commentaire" de SWIFT en mati�re de compliance semble en contradiction avec l�exigence de transparence qui d�coule de la Directive 95/46/CE et du deuxi�me alin�a de l�article 8 de la CEDH. Cette politique semble inspir�e en grande partie des obligations strictes de confidentialit� impos�es � SWIFT dans le cadre de recherches individuelles de l�UST, par les r�gles g�n�rales de confidentialit� et le devoir de discr�tion en vigueur dans le monde des services financiers et enfin par les int�r�ts commerciaux et le risque au niveau de la r�putation de SWIFT. Il faut toutefois se poser la question d�licate de savoir o� doit �tre trouv� l��quilibre entre le haut degr� de confidentialit� offert par SWIFT au syst�me et l�ampleur des traitements � la suite des sommations et d�autre part les diverses obligations de transparence que SWIFT, en tant que responsable, assume en vertu des articles 4, � 1, 2� de la LVP (exigence de la d�finition de la finalit� dans la politique vie priv�e) et 9, � 2 de la LVP (obligation d�information). D�autre part, on se demande jusqu�� quel point SWIFT pouvait ET devait informer les institutions financi�res et les personnes concern�es en vertu de l�article 9, � 2 de la LVP sur le transfert des donn�es via l�UST. La Commission est consciente que des obligations l�gales ou conventionnelles de confidentialit� existent, aussi bien pour des sommations am�ricaines que pour des sommations belges, ce qui implique que l�obligation normale d�information � l��gard de la personne physique concern�e (suspect, qui fait l�objet de la sommation) ne sera pas toujours d�application lors de l�ex�cution d�une sommation. Cependant, la Commission attire l�attention sur une diff�rence fondamentale qui distingue les sommations de l�UST des sommations dans le droit belge. Sous la rubrique B.2., il a d�j� �t� pr�cis� que les sommations de l�UST doivent �tre qualifi�es de demandes non individualis�es et massives (technique "Rasterfandung" "carpetsweeping") qui fonctionnent en deux phases, ce qui diff�re des sommations belges qui sont exerc�es ab initio par cas individuel. Il a �galement �t� remarqu� � la fin de la rubrique B.2. que l'UST "a parfaitement le droit, en vertu du droit am�ricain, de soumettre la section am�ricaine de SWIFT � une sommation afin que soient communiqu�s tous les messages SWIFT". Cela signifie donc que, rien que pour 2005, un total de 2.518.290.000 messages SWIFTNet Fin peut �tre soumis aux sommations46. Vu le deuxi�me alin�a de l�article 8 de la CEDH, les obligations de transparence subsistent au niveau collectif, donc en ce qui concerne le ph�nom�ne des demandes de renseignements massives via des sommations europ�ennes ou am�ricaines. Compte tenu du caract�re secret, massif et inhabituel du transfert de donn�es, la Commission estime d�s lors que SWIFT devait au moins informer les institutions financi�res et les autorit�s de contr�le en mati�re de protection des donn�es (autorit�s europ�ennes, DPA dont la Commission) des sommations de l�UST. 46 Chiffre mentionn� dans la m�me lettre de SWIFT du 14 septembre 2006. On peut �galement partir d'une circulation de messages normale moyenne journali�re via SWIFTNet FIN se situant entre 6,9 millions (2005) et 11 millions de messages par jour (d�but 2006) et qui peut �tre soumise int�gralement aux sommations. AV 37 / 2006 - 25 / 28 E.2.5. Obligation de d�claration En vertu de l�article 17, � 6 de la LVP, une transmission de donn�es � caract�re personnel � l��tranger doit �tre d�clar�e. SWIFT a effectu� cette d�claration pour une multitude d�autres traitements47 mais pas pour le transfert de donn�es � l�UST et encore moins pour la finalit� de "compliance". Ceci est �trange, �tant donn� qu�il n�est pas inhabituel pour des institutions financi�res et d�autres prestataires de services financiers tels que SWIFT de d�clarer leur finalit� de "compliance" et leurs transferts internationaux s�par�ment aupr�s de la Commission. Ainsi, les r�f�rences � des traitements de "compliance" en vertu de la loi du 11 janvier 199348 sont assez courantes dans le chef des institutions financi�res responsables. En ne mentionnant pas dans la d�claration les transferts de donn�es aux Etats-Unis et la finalit� de compliance dans le cadre des sommations, SWIFT a viol� l�article 17, � 1 de la LVP. E.2.6. Exigence d�un contr�le ind�pendant du transfert de donn�es (article 28 de la Directive 95/46/CE et article 8 de la CEDH) Seule la direction de SWIFT semblait au courant des modalit�s du transfert � l�UST49 avant les communiqu�s de presse de juin 2006 en Belgique. Le contr�le ind�pendant requis en vertu de l�article 28 de la Directive 95/46/CE semble donc en grande partie emp�ch� par le fait que les transferts massifs de donn�es par SWIFT ont �t� trait�s avec la plus grande confidentialit�. Ainsi, ni les institutions financi�res concern�es, ni les autorit�s europ�ennes comp�tentes en mati�re de protection des donn�es n�ont �t� mises au courant du ph�nom�ne massif des sommations am�ricaines. L�exigence d�un contr�le ind�pendant d�coule toutefois �galement du deuxi�me alin�a de l�article 8 de la CEDH. Dans l�affaire Rotaru, la Cour europ�enne des Droits de l�homme a affirm� : "La norme juridique implique, entre autres, qu'une ing�rence de l'ex�cutif dans les droits de l'individu soit soumise � un contr�le efficace que doit normalement assurer, au moins en dernier ressort, le pouvoir judiciaire, car il offre les meilleures garanties d'ind�pendance, d'impartialit� et de proc�dure r�guli�re (�)"50. En maintenant la surveillance massive et secr�te � l'insu des autorit�s europ�ennes comp�tentes en mati�re de protection des donn�es et sans contr�le ind�pendant au sein des Etats-Unis (le seul contr�le a �t� men� par des soci�t�s du secteur priv�, � savoir SWIFT et son auditeur), il y a eu violation des exigences de l�article 28 de la Directive 95/46/CE. 47 Notamment la gestion des membres, la gestion de la client�le, � 48 Loi relative � la pr�vention de l'utilisation du syst�me financier aux fins du blanchiment de capitaux et du financement du terrorisme. 49 Ind�pendamment du fait que la BNB, en tant que "lead overseer", ait �t� inform�e de l�existence de la premi�re sommation et que les institutions financi�res sont cens�es conna�tre la pratique des sommations et le fait que les transactions SWIFT devaient �tre soumises � ces sommations, selon les documents contractuels. 50 "The rule of law implies, inter alia, that interference by the executive authorities with an individual's rights should be subject to effective supervision, which should normally be carried out by the judiciary, at least in the last resort, since judicial control affords the best guarantees of independence, impartiality and a proper procedure (see the Klass and Others judgment cited above, pp. 25-26, � 55)." AV 37 / 2006 - 26 / 28 E.2.7. Interdiction de transmission lors de transferts ult�rieurs � des destinataires de donn�es tels que l�UST (articles 21 de la LVP et 25 et 26 de la Directive 95/46/CE) A d�faut de dispositions d'exception applicables au sens des articles 22 de la LVP et 26 de la Directive 95/46/CE (voir supra), la Commission insiste sur le fait que le transfert de donn�es � l�UST ne peut nullement �tre r�gularis� de mani�re satisfaisante via la conclusion de "dispositions contractuelles" ou de "binding corporate rules" au sein du groupe SWIFT. Tout comme dans le pr�c�dent PNR51, pour ces transferts appel�s ult�rieurs ("onward transfers"), des accords sp�cifiques entre les Etats-Unis et l�Union europ�enne semblent �tre requis afin de s�assurer que le destinataire des donn�es (l�UST) appliquera correctement des r�gles de protection ad�quates conform�ment au droit europ�en. C�est le sens que donne le Groupe 29 aux articles 25 et 26 de la Directive 95/46/CE52. Pour SWIFT, le cadre des accords du GAFI aurait pu servir de point de d�part, mais la question est de savoir pourquoi cette option n�a pas �t� choisie. Vu le fait que le destinataire des donn�es (l�UST) n�a jamais �t� soumis � un niveau de protection ad�quat, conform�ment � l�article 21 de la LVP et � la Directive 95/46/CE, la Commission estime que SWIFT a viol� l�article 21, � 1 de la LVP. Il peut �tre consid�r� comme une faute grave d��valuation dans le chef de SWIFT de soumettre depuis des ann�es, de mani�re secr�te et syst�matique, une quantit� massive de donn�es � caract�re personnel � la surveillance de l�UST sans avoir contact� en m�me temps les autorit�s europ�ennes comp�tentes et la Commission afin de trouver une solution en vertu du droit belge et europ�en. PAR CES MOTIFS, sur la base de son examen g�n�ral, la Commission estime que : - la LVP s'applique � l'�change de donn�es via le service SWIFTNet FIN ; - SWIFT et les institutions financi�res sont conjointement responsables � la lumi�re de la LVP pour les traitements de donn�es � caract�re personnel via le service SWIFTNet FIN ; - SWIFT est responsable du traitement de donn�es � caract�re personnel telles que trait�es via le service SWIFTNet FIN ; - les institutions financi�res sont responsables �tant donn� qu'elles d�terminent �galement la finalit� et les moyens de l'ex�cution des ordres de paiement dans la circulation interbancaire. Les institutions financi�res font proc�der, notamment au niveau interbancaire, au traitement de messages financiers relatifs � ces messages de paiement via le service SWIFTNet Fin ; 51 Depuis d�but janvier 2003, les Etats-Unis ont exig� un acc�s aux Passenger Name Records (les donn�es de voyage et de r�servation, ou "PNR") de tous les passagers sur des vols � destination, en provenance ou en transit aux Etats- Unis. Depuis lors, des solutions sont recherch�es au niveau europ�en quant � l'exigence d'un niveau de protection ad�quat lors du transfert de ces donn�es aux USA. 52 Voir le document de travail du 24 juillet 1998 du Groupe 29 concernant le transfert de donn�es personnelles vers des pays tiers : application des articles 25 et 26 de la directive relative � la protection des donn�es, publi� sur http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/1998_en.htm AV 37 / 2006 - 27 / 28 - en ce qui concerne le traitement normal de donn�es � caract�re personnel dans le cadre du service SWIFTNet FIN, SWIFT aurait d� respecter ses obligations en vertu de la LVP, dont l'obligation d'information, l'obligation de d�claration et l'obligation de pr�voir un niveau de protection ad�quat conform�ment � l'article 21, � 2 de la LVP ; - en ce qui concerne la communication de donn�es � caract�re personnel � l'UST, la Commission estime que SWIFT se trouve en situation de conflit entre le droit am�ricain et europ�en et a au minimum commis un certain nombre de fautes d'�valuation lors du traitement des sommations am�ricaines. Qu'il convient notamment de consid�rer comme une grave erreur d'�valuation dans le chef de SWIFT le fait d'avoir soumis � une surveillance pendant des ann�es une quantit� massive de donn�es � caract�re personnel, ce secr�tement et syst�matiquement, sans justification suffisante et claire et sans contr�le ind�pendant conform�ment au droit belge et europ�en. Dans ce contexte, SWIFT aurait d�, d�s le d�but, �tre consciente du fait que, outre l'application du droit am�ricain, les principes fondamentaux du droit europ�en doivent �galement �tre respect�s, comme le principe de proportionnalit�, le d�lai de conservation limit�, la politique de transparence, l'exigence de contr�le ind�pendant et celle de niveau de protection ad�quat. Ces exigences sont en effet exprim�es dans le deuxi�me alin�a de l'article 8 de la CEDH, la Convention n� 108, la Directive 95/46/CE et la LVP et s'appliquent � SWIFT. La Commission se r�f�re �galement au pr�c�dent international dans le dossier PNR. Les autorit�s comp�tentes en mati�re de protection des donn�es (la Commission, ses pairs et la Commission europ�enne) auraient du �tre inform�es d�s le d�but, ce qui aurait pu permettre d'�laborer une solution au niveau europ�en pour la communication de donn�es � caract�re personnel � l'UST, en respectant les principes pr�cit�s en vigueur dans le droit europ�en. A cet �gard, le gouvernement belge aurait �galement pu �tre sollicit� afin de requ�rir une initiative au niveau europ�en. Vu la mati�re complexe et son importance, la Commission se tient � disposition pour fournir un avis ult�rieur quant � cette probl�matique. L'administrateur, (s�) Jo BARET Vu l�emp�chement du pr�sident, le vice-pr�sident, (s�) Willem DEBEUCKELAERE AV 37 / 2006 - 28 / 28 A. INTRODUCTION................................................................................................................... 2 B. FAITS ET CONTEXTE JURIDIQUE ..................................................................................... 3 B.1. SWIFT .................................................................................................................................. 3 B.1.1. Description du flux de donn�es et donn�es trait�es via le service SWIFTNet FIN ............... 3 B.2. Sommations ("subpoenas")................................................................................................... 5 B.3. Reactie van SWIFT op de dwangbevelen ............................................................................. 6 B.3.1. N�gociations avec l'UST ....................................................................................................... 6 B.3.2. Information aux Autorit�s de contr�le.................................................................................... 7 C. APPLICABILITE DE LA LVP ............................................................................................... 8 C.1. Champ d�application territorial............................................................................................... 8 C.2. Champ d�application mat�riel ................................................................................................ 8 D. APPRECIATION QUANT A SAVOIR SI SWIFT, LES INSTITUTIONS FINANCIERES ET LA BANQUE NATIONALE DE BELGIQUE SONT RESPONSABLES DU TRAITEMENT OU SOUS TRAITANTS ........................................................................................................ 9 D.1. Le traitement de donn�es � caract�re personnel dans le cadre du service SWIFTNet FIN . 9 D.2. L'ex�cution d'ordres de paiement internationaux au moyen du service SWIFTNet FIN ..... 13 D.3. Responsabilit� de la Banque nationale de Belgique ........................................................... 15 E. EXAMEN DES �VENTUELLES VIOLATIONS DE LA LVP............................................... 16 E.1. SWIFT a-t-elle commis des infractions � la LVP dans le cadre du fonctionnement normal du service SWIFTNet FIN ? ..................................................................................................... 16 E.1.1. Base l�gale (article 5 b) de la LVP et article 7 b) de la Directive 95/46/CE) ....................... 16 E.1.2. Obligation d'information (article 9 de la LVP et article 11 de la Directive 95/46/CE)........... 17 E.1.3. Obligation de d�claration (article 17 de la LVP et article 21 de la Directive 95/46/CE)....... 18 E.1.4. Transfert de donn�es � caract�re personnel vers un pays ne pr�sentant pas un niveau de protection ad�quat (articles 21 et 22 de la LVP et articles 25 et 26 de la Directive 95/46/CE) 18 E.2. SWIFT a-t-elle viol� la LVP lors du transfert de donn�es � l�UST ?.................................... 20 E.2.1. Base l�gale (article 5 de la LVP, article 7 b) de la Directive 95/46/CE et article 8 de la CEDH) 20 E.2.2. Principe de proportionnalit� (article 4, � 1, 3� de la LVP) et d�lai de conservation (article 4, � 1, 5� de la LVP) ................................................................................................................ 21 E.2.3. Principe de finalit� ............................................................................................................... 23 E.2.4. Obligation d�information dans le chef de SWIFT (articles 4, � 1, 2� et 9, � 2 de la LVP et article 8 de la CEDH)........................................................................................................... 23 E.2.5. Obligation de d�claration..................................................................................................... 25 E.2.6. Exigence d�un contr�le ind�pendant du transfert de donn�es (article 28 de la Directive 95/46/CE et article 8 de la CEDH)....................................................................................... 25 E.2.7. Interdiction de transmission lors de transferts ult�rieurs � des destinataires de donn�es tels que l�UST (articles 21 de la LVP et 25 et 26 de la Directive 95/46/CE) .............................. 26