AV 37 / 2006 - 13 / 28 la "no comment policy" de la politique de compliance21 que la direction de SWIFT a �tablie depuis 1993. 4. Enfin, suite aux communiqu�s de presse de juin 2006, les clients de SWIFT n'�taient pas en mesure d'arr�ter la communication � l'UST. Apr�s les communiqu�s de presse relatifs aux sommations, un organisme de cr�dit autrichien22 a demand� � SWIFT de cesser de communiquer des donn�es � l'UST. SWIFT a refus� d'acc�der � cette demande de son client par lettre du 9 ao�t 2006, affirmant que sa section am�ricaine �tait soumise � la juridiction des Etats-Unis et qu'elle devait respecter les sommations � condition qu'elles soient valables et contraignantes en vertu du droit am�ricain. Sur la base des consid�rations pr�cit�es, la Commission conclut que SWIFT est un responsable au sens de la LVP pour les traitements effectu�s via le service SWIFTNet FIN. L'on examinera ci-apr�s s'il est �galement question d'une coresponsabilit�, pour autant que SWIFT d�termine conjointement avec les institutions financi�res la finalit� et les moyens des traitements. D.2. L'ex�cution d'ordres de paiement internationaux au moyen du service SWIFTNet FIN La question se pose ensuite de savoir si les institutions financi�res ont �galement d�termin� la finalit� et les moyens du traitement de sorte qu'elles sont coresponsables au sens de la LVP. Une fois encore, il est important de garder � l'esprit le contexte dans lequel les institutions financi�res communiquent des donn�es � caract�re personnel � SWIFT. Les institutions financi�res interviennent en principe � un autre niveau, � savoir le niveau du traitement d'ordres de paiement. Ce traitement diff�re de l'�change des messages financiers qui, sur le plan "business to business" (g�n�ralement interbancaire), est effectu� par SWIFT. L'�change de messages financiers pr�sente bien entendu un lien pratique avec les ordres de paiement. L'�change et le stockage de donn�es s'av�rent justement n�cessaires, suite � l'ordre de paiement, afin de traiter la transaction correctement et s�rement dans la circulation interbancaire. Le traitement de SWIFT ne se passe pas "au guichet", en contact direct avec l'int�ress� qui donne l'instruction d'effectuer un ordre de paiement. Il a lieu, au contraire, dans le contexte du "back office" des institutions financi�res o� des applications comme le scannage des ordres de paiement et la r�alisation d'op�rations interbancaires sont en principe effectu�s conform�ment aux standards et aux usages professionnels de chaque institution financi�re, aux usages du secteur et aux normes existantes. La Commission conclut que les traitements "r�alisation d'ordres de paiement" et "�change de messages de paiement" sont souvent li�s dans la pratique, bien qu'il s'agisse d'op�rations diff�rentes dont les finalit�s et donc les traitements ne peuvent pas �tre assimil�s. SWIFT a affirm� que les institutions financi�res sont responsables de la r�alisation du traitement qui consiste � traiter des ordres de paiement internationaux. Les institutions financi�res qui font appel au service SWIFTNet FIN ne sont en effet pas des sous-traitants de SWIFT pour ce traitement, �tant donn� qu'elles n'agissent nullement � ce niveau pour le compte de SWIFT. 21 La d�claration de SWIFT en mati�re de compliance est disponible sur son site Internet www.swift.com. 22 La Niederoesterreichische Landesbank � Hypothekenbank AG, Kremsergasse 20 � 3100 St.-P�lten, Autriche AV 37 / 2006 - 14 / 28 Il est �galement important de garder � l'esprit que les institutions financi�res sont autonomes et qu'elles peuvent poursuivre leurs propres objectifs au niveau interbancaire. La Commission constate que les institutions financi�res prennent souvent des d�cisions cruciales dans la circulation interbancaire quant � la communication de donn�es � caract�re personnel � SWIFT, souvent � l'insu de leurs clients. C'est ce qu'il ressort des �l�ments suivants : � Les institutions financi�res d�cident souvent de mani�re autonome, dans la circulation interbancaire, des moyens mis en oeuvre pour le traitement d'un ordre de paiement donn�. Elles ont le choix d'utiliser ou non le service de SWIFT pour l'envoi de messages financiers relatifs � des transactions individuelles. Elles peuvent, au besoin, utiliser ou d�velopper des services alternatifs ou concurrents pour l'envoi de ces messages financiers dans la circulation interbancaire (e-mail, fax, t�l�phone,�) � une banque de correspondance,� Les choix � ce niveau d�termineront les caract�ristiques globales en mati�re de vie priv�e concernant les ordres de paiement que l'institution financi�re traite. Etant donn� la diversit� des services au niveau interbancaire, les institutions financi�res sont libres, quant au choix du service interbancaire, de se laisser guider par des �l�ments tels que la politique de protection de la vie priv�e du prestataire professionnel, outre la protection des informations qui est bien entendu toujours requise. Les institutions financi�res peuvent utiliser, � titre de garantie, une forte politique de protection de la vie priv�e d'un certain prestataire ou une certaine solution comme un VPN, afin de garantir au maximum leurs services et la confiance de leurs clients. � Les institutions financi�res connaissent le cadre contractuel du service SWIFTNet FIN. Il ressort de la documentation contractuelle (Data Retrieval Policy23) et de la politique de SWIFT en mati�re de compliance que les clients de SWIFT �taient au courant du principe g�n�ral de communication de donn�es � caract�re personnel suite � des sommations adress�es � eux-m�mes ou � SWIFT. SWIFT a avanc�24 que le nombre de sommations adress�es aux institutions financi�res serait de l'ordre de milliers voire m�me de dizaines de milliers par an. On peut donc douter du fait que les institutions financi�res actives sur le march� des paiements internationaux ne seraient pas au courant du principe g�n�ral des sommations. � Les institutions financi�res doivent, en tant que prestataires professionnels, pouvoir �valuer les �ventuels risques (relatifs � la vie priv�e) et les implications pour le client concern� qui seraient li�s au service SWIFTNet FIN, auquel elles souscrivent en tant que prestataire professionnel. Il est important, � cet �gard, de v�rifier si la politique de protection de la vie priv�e de l'institution donneuse d'ordre contient des dispositions claires quant � ces risques. � Vu leur contact direct avec les donneurs d'ordre pour les instructions de paiement, les institutions financi�res jouent un "r�le de guichet" essentiel. La Commission n'exclut pas que les institutions financi�res soient consid�r�es comme "interm�diaires" pour l'exercice des droits des personnes concern�es dans le cadre du service SWIFTNet FIN, pour autant que cela se fasse au moyen d'un accord clair avec SWIFT en tant que responsable du traitement dans le cadre du service SWIFTNet FIN. 23 Qui dispose ce qui suit :"Afin d'exclure tout doute, rien dans ce document de politique ou, plus g�n�ralement, dans les obligations de confidentialit� de SWIFT � l'�gard de ses clients ne sera consid�r� comme un obstacle pour SWIFT pour extraire, utiliser ou communiquer des donn�es relatives � la circulation ou des donn�es issues de messages, pour autant que cela soit raisonnablement n�cessaire afin de respecter une sommation s�rieuse ou une autre proc�dure l�gale par un tribunal ou une autre autorit� comp�tente ("For the avoidance of any doubt, nothing in this policy or, more generally, SWIFT's obligations of confidence to customers, shall be construed as preventing SWIFT from retrieving, using, or disclosing traffic or message data as reasonably necessary to comply with a bona fide subpoena or other lawful process by a court or other competent authority.") 24 En r�action � un rapport d'une r�union avec la Commission du 22 ao�t 2006. AV 37 / 2006 - 15 / 28 Etant donn� les consid�rations qui pr�c�dent, la Commission estime que les institutions financi�res actives dans la circulation des paiements internationaux sur le plan "business to business" (interbancaire) peuvent �galement d�terminer la finalit� et les moyens des traitements qui leur sont confi�s (le traitement d'ordres de paiement de leurs clients). Dans la mesure o� le service SWIFTNet FIN est utilis�, elles peuvent, conjointement avec SWIFT, �tre consid�r�es comme coresponsables du traitement. D.3. Responsabilit� de la Banque nationale de Belgique Par un projet de r�solution commun du 5 juillet 2006, le Parlement europ�en a exprim� le souhait � l'�gard des Etats membres25 de "v�rifier et de veiller qu'il n'existe pas de vide juridique au niveau national et que la l�gislation communautaire en mati�re de protection des donn�es s'applique �galement aux banques centrales". Il a d�s lors �t� demand� aux Etats membres de transmettre les r�sultats de cette v�rification � la Commission europ�enne, au Conseil et au Parlement europ�en. La Commission �tablit que la BNB, en tant que "overseer", n'a d�termin� ni la finalit�, ni les moyens du traitement de donn�es � caract�re personnel via le service SWIFTNet FIN. La BNB ne peut d�s lors pas �tre responsable au sens de la LVP en ce qui concerne le traitement pr�cit�. La BNB, en tant que "overseer", a bien �t� inform�e par SWIFT en f�vrier 2002 de l'existence d'une sommation am�ricaine. Etant donn� le projet de r�solution pr�cit�, la Commission a souhait� v�rifier aupr�s de la BNB, en tant que "overseer", le contenu concret de l' "oversight", et dans quelle mesure la BNB consid�re comme �tant sa t�che de veiller � ce que SWIFT ait suffisamment couvert les risques juridiques tels que les risques en mati�re de protection de la vie priv�e. La BNB a r�pondu ce qui suit dans une lettre du 28 ao�t 2006 : "(�) En vertu de l'article 8 de sa Loi organique26, la BNB veille au bon fonctionnement des syst�mes de compensation et de paiements. Cette mission se rapporte aux t�ches du Syst�me europ�en de banques centrales (SEBC), en particulier l'article 22 des statuts du SEBC. Cette mission tr�s sp�cifique des banques centrales est connue sous le terme "oversight". Cette activit� est exerc�e dans une perspective de syst�me, o� le bon fonctionnement du syst�me global de compensation ou de paiement occupe une position centrale afin de garantir la stabilit� financi�re et d'�viter lesdits "risques syst�me" avec un effet domino de faillites bancaires (�)" Elle ajoute que : "La Banque (�), en sa qualit� de "overseer", n'a aucune responsabilit� pour les actes de SWIFT. L'approbation ou la d�sapprobation des d�cisions op�rationnelles, financi�res, juridiques ou concernant le droit des soci�t�s du management n'est pas demand�e � la Banque par SWIFT et n'est pas non plus obtenue." et "(�) que les banques centrales du G-10 se sont concert�es dans le courant de 2002 concernant l'affaire des sommations am�ricaines et sont arriv�es � la conclusion que ces sommations ne relevaient pas de l' "oversight" des banques centrales. Aucun nouvel �l�ment n'a ensuite �t� fourni, obligeant le Senior Level Oversight Group � revoir cette conclusion." [Traduction r�alis�e par le secr�tariat de la Commission, en l�absence d�une traduction officielle]. Il ressort des �l�ments pr�cit�s que le respect de la LVP par SWIFT n'est pour l'instant pas consid�r� comme faisant partie de l' "oversight" individuel et coop�ratif. 25 Projet de r�solution commun sur l'interception de donn�es de virements bancaires du syst�me SWIFT par les services secrets am�ricains. 26 Loi du 22 f�vrier 1998 fixant le statut organique de la Banque Nationale de Belgique. AV 37 / 2006 - 16 / 28 Dans la mesure o� la BNB intervient toutefois en tant que client de SWIFT et confierait � cet �gard des donn�es � caract�re personnel au service SWIFTNet FIN, elle pourrait �tre consid�r�e comme responsable comme mentionn� � la rubrique D.2. E. EXAMEN DES �VENTUELLES VIOLATIONS DE LA LVP La demande d'avis concerne la question des �ventuelles violations de la LVP par SWIFT. La question de savoir si les institutions financi�res (belges) ont viol� la LVP ne fait pas partie au sens strict de l'objet de l'avis et n'a pas pu �tre examin�e vu le temps limit� dont a dispos� la Commission. Etant donn� que la Commission estime cependant qu'il est question de coresponsabilit� dans le chef des institutions financi�res, elle se tient � disposition pour appr�cier ult�rieurement les �ventuelles violations par des institutions financi�res (belges) individuelles. La Commission souligne qu'il existe des diff�rences fondamentales entre l'Union europ�enne et les Etats-Unis en ce qui concerne les l�gislations et les principes r�gissant les traitements de donn�es � caract�re personnel. Les traitements de donn�es � caract�re personnel sont caract�ris�s, dans le droit europ�en, par le haut niveau de protection �tabli en Europe en vertu des conventions applicables comme l'article 8 de la CEDH, la Convention n� 10827 et les directives europ�ennes applicables telles que la Directive 95/46/CE. La Commission souligne un certain nombre de malentendus � fr�quents � qui existent parfois au sujet des notions de "protection ad�quate" et de "respect de la norme ou de la loi (relative � la protection de la vie priv�e)". Elle souligne, pour l'interpr�tation de ces notions, qu'il ne suffit pas uniquement de proc�der � un contr�le par un auditeur externe, de respecter des standards ou normes techniques et de pr�voir des mesures de s�curit� technique ad�quates. Les principes applicables de la LVP vont bien plus loin. L'on examinera donc ci-apr�s si SWIFT a respect� tous les principes applicables de la LVP, m�me si elle a d�j� atteint un haut degr� de protection des donn�es. Lors de l'�valuation, une distinction a �t� faite entre la question de savoir si, d'une part, des infractions � la LVP ont �t� commises dans le cadre du fonctionnement normal du service SWIFTNet FIN et si, d'autre part, des infractions � la LVP ont �t� commises dans le cadre du transfert des donn�es � l'UST. E.1. SWIFT a-t-elle commis des infractions � la LVP dans le cadre du fonctionnement normal du service SWIFTNet FIN ? E.1.1. Base l�gale (article 5 b) de la LVP et article 7 b) de la Directive 95/46/CE) Sur la base de l'article 5 de la LVP, les donn�es � caract�re personnel des donneurs d'ordre ou des b�n�ficiaires ne peuvent �tre trait�es que dans un nombre limit� de cas. Le traitement de donn�es � caract�re personnel dans le cadre du fonctionnement normal du service SWIFTNet FIN semble l�gitime dans la mesure o� il est n�cessaire � l'ex�cution du contrat entre SWIFT et l'organisme de cr�dit concern� (article 5 b) de la LVP et article 7 b) de la Directive 95/46/CE). 27 Convention du 28 janvier 1981 pour la protection des personnes � l'�gard du traitement automatis� des donn�es � caract�re personnel, M.B., 30 d�cembre 1993, approuv�e par la loi du 17 juin 1991 portant approbation de la Convention pour la protection des personnes � l'�gard du traitement automatis� des donn�es � caract�re personnel, faite � Strasbourg le 28 janvier 1981. AV 37 / 2006 - 17 / 28 E.1.2. Obligation d'information (article 9 de la LVP et article 11 de la Directive 95/46/CE) Dans la mesure o� SWIFT est responsable du traitement, elle est �galement soumise � l'obligation d'information des personnes concern�es. Cela signifie entre autres que les personnes physiques dont les donn�es ont �t� �chang�es dans les messages de paiement devaient au moins �tre inform�es conform�ment � l'article 9 de la LVP. Les personnes concern�es devaient par exemple savoir qui pouvaient �tre les destinataires des donn�es qu'elles transmettaient � leur organisme de cr�dit (SWIFT, autorit�s,�) et pour quelles finalit�s leurs donn�es pouvaient �tre trait�es. Etant donn� que SWIFT collecte les donn�es � caract�re personnel au moyen d'ordres des institutions financi�res, elle n'obtient pas directement les donn�es � caract�re personnel des personnes concern�es. Dans ce cas, il importe, selon l'article 9, � 2 de la LVP (article 11 de la Directive 95/46/CE), "d�s l'enregistrement des donn�es ou, si une communication de donn�es � un tiers est envisag�e, au plus tard au moment de la premi�re communication des donn�es, [de] fournir � la personne concern�e au moins les informations28, sauf si la personne concern�e en avait d�j� �t� inform�e" par les institutions financi�res. Cela signifie que, si SWIFT n'a pas veill� � ce que les institutions financi�res aient inform� les personnes concern�es conform�ment � l'article 9, � 1 de la LVP et qu'aucune exception sp�cifique n'a �t� pr�vue � l'obligation d'information dans l'arr�t� d'ex�cution de la LVP, SWIFT a commis une infraction � l'article 9, � 2 de la LVP. Enfin, le fait que SWIFT n'entretienne pas de relation directe avec les personnes concern�es ne peut nullement �tre consid�r� comme une raison suffisante pour ne pas respecter l'obligation d'information, par exemple via les institutions financi�res. Bien que la LVP ne prescrive pas la mani�re concr�te dont les informations doivent �tre donn�es, on peut tenir compte du contexte dans lequel les donn�es sont trait�es, � condition que la technique d'information choisie vise � informer effectivement et clairement les personnes concern�es. La Commission a d�j� estim�, dans le cadre de l'avis n� 48/2003 du 18 d�cembre 2003 concernant la transmission de donn�es � caract�re personnel par certaines compagnies a�riennes vers les Etats-Unis, que "le mode de communication au client n�est pas suffisamment explicite, les informations �tant int�gr�es dans le texte des conditions g�n�rales de transport, communiqu�es sur demande ou via Internet". La Commission29 a cependant estim�, dans un contexte de manifestations de masse telles que les matches de football, que les informations pouvaient avoir lieu individuellement (sur les tickets d'acc�s) ou collectivement (en pla�ant par exemple des panneaux clairs et visibles � l'entr�e du stade). Vu sa coresponsabilit� � la lumi�re de la LVP, SWIFT ne s'est pas concert�e suffisamment avec les institutions financi�res afin de respecter l'obligation d'information (article 9 de la LVP). Ceci a donn� lieu � une information insuffisante � l'�gard des personnes concern�es et au non-respect de l'article 9 de la LVP. 28 Selon l'article 9, � 2 de la LVP, les informations pertinentes sont "le nom et l'adresse du responsable, les finalit�s du traitement (�) et d'autres informations suppl�mentaires, notamment les cat�gories de donn�es concern�es et les destinataires ou les cat�gories de destinataires, l'existence d'un droit d'acc�s et de rectification des donn�es la concernant, sauf dans la mesure o�, compte tenu des circonstances particuli�res dans lesquelles les donn�es sont trait�es, ces informations suppl�mentaires ne sont pas n�cessaires pour assurer � l'�gard de la personne concern�e un traitement loyal des donn�es ;" 29 Avis n� 10/2005 du 15 juin 2005. AV 37 / 2006 - 18 / 28 E.1.3. Obligation de d�claration (article 17 de la LVP et article 21 de la Directive 95/46/CE) Etant donn� que SWIFT est responsable du traitement, elle est en principe soumise � l'obligation de d�claration du traitement qui permet une transparence et un contr�le g�n�raux, fussent-ils minimaux. La Commission constate cependant que SWIFT n'a pas fait de d�claration pour le traitement de donn�es � caract�re personnel dans le cadre du service SWIFTNet FIN, contrairement aux autres traitements tels que l'administration propre du personnel de SWIFT qui n'entrent pas dans le cadre du pr�sent avis. La Commission estime d�s lors que l'article 17 de la LVP n'a pas �t� respect�. E.1.4. Transfert de donn�es � caract�re personnel vers un pays ne pr�sentant pas un niveau de protection ad�quat (articles 21 et 22 de la LVP et articles 25 et 26 de la Directive 95/46/CE) SWIFT devait tenir compte de la r�glementation sur la transmission de donn�es � caract�re personnel vers des pays tiers. Les dispositions de la Directive 95/46/CE (chapitre IV, articles 25 et 26) r�gissent cette probl�matique et ont �t� repris partiellement dans la LVP, plus pr�cis�ment aux articles 21 et 22 de la LVP. SWIFT a communiqu� � la Commission qu'elle estimait que l'exigence d'un niveau de protection ad�quat d�coulant de l'article 21 de la LVP ne s'appliquait pas au traitement dans le cadre de son service SWIFTNet FIN. En r�sum�, elle avance les arguments suivants � cet �gard : � L'interdiction de transfert de donn�es (article 21, � 1) ne serait pas valable �tant donn� que le transfert n'a pas �t� effectu� depuis la Belgique par la soci�t� m�re. � L'interdiction de transfert de donn�es ne serait pas valable �tant donn� que le transfert n'a pas �t� effectu� vers une soci�t� tierce et �tant donn� que, selon une r�gle du droit des soci�t�s, la succursale (centre de traitement aux Etats-Unis) de SWIFT sans personnalit� juridique rel�verait toujours, juridiquement parlant, de la soci�t� m�re. Cette unit� juridique impliquerait que, dans le cadre du service SWIFTNet FIN, le traitement reste toujours soumis � un niveau de protection ad�quat, � savoir le droit belge. � Subsidiairement, pour autant que les exceptions l�gales de l'article 22, � 1 de la LVP soient bien d'application, SWIFT avance que le transfert serait n�cessaire � l'ex�cution d'un contrat entre la personne concern�e et le responsable (article 22, 2� de la LVP), soit que le transfert serait n�cessaire � l'ex�cution d'un contrat dans l'int�r�t de la personne concern�e (article 22, 3� de la LVP), soit que le transfert serait n�cessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un int�r�t public important (article 22, 4� de la LVP). � Le transfert a lieu dans un environnement fortement s�curis� avec un cryptage du contenu des messages. Les articles 21 et 22 de la LVP sont d'application d�s qu'il est question de soumettre des donn�es � caract�re personnel � un transfert vers un pays ne pr�sentant pas un niveau de protection ad�quat tel que les Etats-Unis. La LVP utilise de nouveau � cet �gard un crit�re fonctionnel. Etant donn� que les articles 21 et 22 de la LVP sont pr�cis�s de mani�re fonctionnelle et constituent un droit contraignant d'ordre public, les r�gles du droit des soci�t�s peuvent difficilement r�duire � n�ant l'ensemble du r�gime de protection en vertu de la Directive 95/46/CE. La Commission constate que, dans le cadre du fonctionnement normal du service SWIFTNet FIN, il est question d'un transfert de messages europ�ens vers des centres de traitement en Europe et aux Etats-Unis. Le fait que les donn�es soient envoy�es � une filiale ne constitue pas un crit�re selon la LVP pour ne pas appliquer les conditions de la loi. AV 37 / 2006 - 19 / 28 Ce transfert a lieu quotidiennement et massivement (11 millions de messages par jour d�but 2006). Apr�s transfert aux centres de traitement, les donn�es sont soumises � l'ensemble des op�rations30 qui sont propres au service SWIFTNet FIN. La Commission observe qu'une protection pouss�e ou un cryptage de donn�es � caract�re personnel n'emp�che pas que le transfert de donn�es cod�es soit toujours soumis aux articles 21 et 22 de la LVP. La Commission estime par ailleurs que les exceptions pr�vues � l'article 22 de la LVP ne peuvent �tre invoqu�es pour le traitement via le service SWIFTNet FIN. Etant donn� les alternatives et les services concurrents qui existent sur le march� des paiements internationaux, un recours au service SWIFTNet FIN peut encore difficilement �tre consid�r� comme n�cessaire pour toute institution financi�re pour effectuer un ordre de paiement. Enfin, la notion de "motif d'int�r�t public important" doit toujours �tre interpr�t�e dans l'ordre juridique belge, conform�ment aux normes juridiques valables en Belgique comme l'article 8 de la CEDH. SWIFT a avanc� que le placement en miroir des centres de traitement est consid�r� comme un �l�ment critique pour le syst�me financier mondial. Elle affirme que le placement en miroir lui a �t� impos� par les "overseers" (banques centrales du G-10) pour des raisons de s�curit� et de fiabilit�, �tant donn� que l'infrastructure de SWIFT est consid�r�e comme critique pour l'industrie financi�re globale. Au niveau europ�en, il a cependant d�j� �t� jug� que les Etats-Unis n'offraient pas un niveau de protection ad�quat � la lumi�re de la Directive 95/46/CE. M�me si le fonctionnement du syst�me financier mondial devait avoir un impact sur l'ordre public en Belgique, ce n'est toutefois pas une justification suffisante � la lumi�re de la Directive 95/46/CE pour installer un centre de traitement aux Etats-Unis sans niveau de protection ad�quat. Etant donn� que les Etats-Unis ne tombent pas dans la cat�gorie des pays pr�sentant un niveau de protection ad�quat, les principes de la "sph�re de s�curit�" ("Safe Harbour") ont �t� �labor�s sp�cifiquement pour les Etats-Unis, sur d�cision de la Commission europ�enne31. En ce qui concerne tous les pays qui ne garantissent pas un niveau de protection ad�quat comme les Etats-Unis, la Commission europ�enne a en outre pr�vu des dispositions contractuelles ad�quates, conform�ment � l'article 26, 2 de la Directive 95/46/CE32. Il existe enfin le syst�me des "Binding Corporate Rules", c'est-�-dire les r�gles d'entreprise contraignantes, qui peut permettre le transfert de donn�es � caract�re personnel vers des pays tiers, sans niveau de protection ad�quat. La Commission estime que le syst�me des r�gles d'entreprise contraignantes ("binding corporate rules"), conform�ment � l'article 26, 2 de la Directive 95/46/CE, est une mesure ad�quate et requise pour pr�voir les garanties ad�quates pour les transferts de donn�es quotidiens et massifs effectu�s via les centres de traitement d'une entreprise multinationale telle que SWIFT. Un tel code de conduite doit toutefois �tre autoris� en Belgique par le Roi, apr�s avis de la Commission. La Commission estime que la protection que SWIFT a pr�vue pour le traitement des donn�es dans le cadre de son centre de traitement aux Etats-Unis ne satisfait pas aux articles 21 et 22 de la LVP (articles 25 et 26 de la Directive 95/46/CE). 30 Notamment le d�cryptage automatique et la v�rification formelle des donn�es. 31 Voir la D�cision 2000/520/CE de la Commission du 26 juillet 2000 conform�ment � la Directive 95/46/CE du Parlement europ�en et du Conseil relative � la pertinence de la protection assur�e par les principes de la "sph�re de s�curit�" et par les questions souvent pos�es y aff�rentes, publi�s par le minist�re du commerce des �tats-Unis d'Am�rique (notifi�e sous le num�ro C(2000) 2441) 32 Voir � ce sujet : http://europa.eu.int/comm/justice_home/fsj/privacy/modelcontracts/index_en.htm AV 37 / 2006 - 20 / 28 E.2. SWIFT a-t-elle viol� la LVP lors du transfert de donn�es � l�UST ? La Commission souhaite v�rifier ci-apr�s si SWIFT a viol� la LVP dans le cadre de la communication de donn�es � caract�re personnel � l�UST. E.2.1. Base l�gale (article 5 de la LVP, article 7 b) de la Directive 95/46/CE et article 8 de la CEDH) La Commission insiste sur le fait qu�elle ne met pas en cause la l�galit� ou le caract�re contraignant de la l�gislation am�ricaine et des sommations am�ricaines, ce qui rel�ve clairement de la comp�tence de l�autorit� am�ricaine. Par contre, elle peut examiner si l�ex�cution des sommations am�ricaines peut trouver, dans le droit belge sur le traitement de donn�es � caract�re personnel, une base de l�gitimation. En vertu de l�article 5 de la LVP, les donn�es � caract�re personnel des donneurs d�ordre ou des b�n�ficiaires ne peuvent �tre trait�es que dans un nombre limit� de cas. SWIFT n�invoque pas formellement une base l�gale en vertu du droit belge et a uniquement fait r�f�rence aux sommations am�ricaines dont elle affirme avoir examin� la l�galit� et le caract�re contraignant. Toutefois, prima facie, surtout l�article 5 c) (obligation l�gale du responsable) et 5 f) (r�alisation d�un int�r�t important et l�gitime du responsable) semblent pertinents pour pouvoir l�gitimer la communication de donn�es � caract�re personnel � l�UST. En ce qui concerne l�article 5 c), la Commission souscrit � l�avis du Groupe 29 du 1er f�vrier 2006 concernant la l�gislation Sarabanes-Oxley33. Le Groupe 29 a d�j� affirm� qu� "Une obligation impos�e par une loi ou un r�glement �trangers qui exigeraient l��tablissement de syst�mes de signalement ne saurait �tre qualifi�e d�obligation l�gale l�gitimant le traitement des donn�es dans l�UE. Toute autre interpr�tation permettrait � des l�gislations �trang�res de contourner les r�gles fix�es par l�UE avec la directive 95/46/CE.". Ceci signifie par cons�quent que les sommations am�ricaines ne peuvent pas �tre consid�r�es comme une base l�gitimant le traitement de donn�es, conform�ment � l�article 5 c) de la LVP. Rejoignant le point de vue de la Commission de la vie priv�e fran�aise (la CNIL) dans le dossier SOX34, la Commission estime qu�il est impossible, dans le cas des sommations am�ricaines, de nier l�int�r�t l�gitime de SWIFT au sens de l�article 5 f) de la LVP. En d�autres termes, on ne peut contester que SWIFT a un int�r�t l�gitime � se soumettre � une sommation valable et ex�cutable en vertu du droit am�ricain. En cas de non respect par SWIFT de ces sommations, SWIFT court en effet le risque de se voir infliger des sanctions civiles en vertu du droit am�ricain. La Commission pense d�s lors que le transfert de donn�es � l�UST repose sur un int�r�t l�gitime et important dans le chef de SWIFT au sens de l�article 5 f) de la LVP. 33 Voir l�avis 1/2006 relatif � l'application des r�gles europ�ennes de protection des donn�es aux dispositifs internes d'alerte professionnelle ("whistleblowing") dans les domaines bancaire, de la comptabilit�, du contr�le interne des comptes, de l'audit, de la lutte contre la corruption et les infractions financi�res. 34 CNIL, Document d�orientation adopt� par la Commission le 10 novembre 2005 pour la mise en oeuvre de dispositifs d�alerte professionnelle conformes � la loi du 6 janvier 1978 modifi�e en ao�t 2004, relative � l�informatique, aux fichiers et aux libert�s. AV 37 / 2006 - 21 / 28 N�anmoins, SWIFT aurait d� r�aliser que les mesures exceptionnelles en vertu du droit am�ricain pouvaient difficilement l�gitimer une violation cach�e, syst�matique, massive et de longue dur�e des principes europ�ens fondamentaux en mati�re de protection des donn�es. Ce principe de base se retrouve au deuxi�me alin�a de l�article 8 de la CEDH35. Les exigences de base strictes en vertu de cet article ont d�j� �t� expliqu�es � plusieurs reprises par la Cour europ�enne des Droits de l�homme, notamment au moment de confronter des activit�s secr�tes de surveillance � des crit�res tels que l�exigence de pr�visibilit� de la norme et l�exigence de mesures de contr�le suffisantes et effectives36. E.2.2. Principe de proportionnalit� (article 4, � 1, 3� de la LVP) et d�lai de conservation (article 4, � 1, 5� de la LVP) La Commission estime qu�en l�esp�ce, il semble s�agir d�un "conflict of laws" entre le droit am�ricain et le droit belge, qui a forc� SWIFT � faire des choix difficiles apr�s la r�ception des sommations am�ricaines. A la lumi�re du principe de proportionnalit�, il est toutefois essentiel de v�rifier si SWIFT a �galement recherch� un �quilibre entre les deux syst�mes juridiques et a, pour ce faire, suffisamment examin� et appliqu� la possibilit� d�alternatives en vertu du droit belge ou europ�en. Le fait que SWIFT soit soumise aux sommations et ait entretenu activement des n�gociations confidentielles avec l�UST sur l�application des sommations n�emp�che pas en effet que le traitement doive �tre effectu� en conformit� avec les principes du droit belge et du droit europ�en. Vu le principe de n�cessit�, on se demande quelles alternatives SWIFT avait une fois qu�il �tait �tabli qu�elle �tait soumise � des sommations valables et contraignantes. Un certain nombre d�options semblaient exister, � savoir : � Contester les sommations impos�es en vertu du droit am�ricain. A la question de savoir pourquoi les sommations n�ont pas �t� soumises aux juges aux Etats-Unis, SWIFT a r�pondu que les premi�res sommations avaient �t� introduites juste apr�s les �v�nements de septembre 2001. Les sommations reposeraient actuellement sur une base l�gale en vertu du droit am�ricain (codifi�e dans ledit "Patriot Act"37). SWIFT a en outre affirm� qu�il y avait un risque que le juge am�ricain d�cide d�ordonner � SWIFT de communiquer toutes les donn�es sans limites. � Appliquer les proc�dures officielles et les trait�s en mati�re de collaboration judiciaire. Les recommandations et proc�dures qui existent pour une collaboration judiciaire sur le plan international et europ�en et qui sont vis�es pour la pr�vention et la lutte contre le financement du terrorisme via un acc�s � des donn�es au sein d�institutions financi�res ne semblent pas suivies. 35 Formul� comme suit : "Il ne peut y avoir ing�rence d'une autorit� publique dans l'exercice de ce droit que pour autant que cette ing�rence est pr�vue par la loi et qu'elle constitue une mesure qui, dans une soci�t� d�mocratique, est n�cessaire � la s�curit� nationale, � la s�ret� publique, au bien-�tre �conomique du pays, � la d�fense de l'ordre et � la pr�vention des infractions p�nales, � la protection de la sant� ou de la morale, ou � la protection des droits et libert�s d'autrui." 36 Voir l�affaire Rotaru contre Roumanie (� 55 et suivants) qui fait r�f�rence � des affaires ant�rieures telles que Malone contre Royaume-Uni du 2 ao�t 1984, Series A n� 82, p. 32, � 67, et Amann contre Suisse [GC], n� 27798/95, � 65, Cour europ�enne des Droits de l�homme 2000-II, � 56). 37 Le USA PATRIOT Act (Public Law 107-56) ou, en toutes letters, le Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001, est une proposition de loi am�ricaine (H.R. 3162) qui a �t� adopt�e � la majorit� en 2003 par le Congr�s am�ricain. La loi a pour but d�offrir plus de possibilit�s � l�autorit� am�ricaine de r�unir des informations et d�intervenir en cas de terrorisme potentiel (source : http://nl.wikipedia.org ). AV 37 / 2006 - 22 / 28 On peut faire r�f�rence � cet �gard aux recommandations publiques de la FATF ("GAFI")38. La FATF est un organe intergouvernemental cr�� en 1989 ayant pour but de d�velopper et de promouvoir des mesures de politique nationales et internationales afin de lutter contre le blanchiment et le financement du terrorisme. La recommandation n� 40 de la FATF comporte la disposition selon laquelle "Les pays devraient mettre en place des contr�les et des garanties pour faire en sorte que les informations �chang�es par les autorit�s comp�tentes ne soient utilis�es que de la mani�re autoris�e et en conformit� avec leurs obligations de protection de la vie priv�e et de protection des donn�es."39 On peut en outre se r�f�rer � la collaboration dans le cadre du "Groupe d'Egmont"40. Par l'interm�diaire de ce groupe informel, un �change de renseignements financiers est actuellement mis en place via les cellules nationales op�rationnelles de renseignements financiers ("financial intelligence units" ou "FIU") des 101 pays dont la Belgique et les Etats-Unis. Cet �change est r�alis� via le "Egmont Secure Web" ou "ESW". Les organes et syst�mes alternatifs pr�cit�s pourraient offrir, � la lumi�re de la Directive 95/46/CE, des garanties compl�mentaires lors de l��change d�informations en mati�re de blanchiment et de financement du terrorisme. Enfin, on peut signaler que, � la suite des attentats du 11 septembre 2001, deux accords41 internationaux ont �t� n�goci�s entre l�Union europ�enne et les Etats-Unis. Ceux-ci ont �t� sign�s le 25 juin 2003 mais sont en attente d��tre ratifi�s par les deux parties. En vertu de l�article 18 de la Convention de Vienne sur le droit des trait�s42, un Etat doit s�abstenir d�actes qui priveraient un trait� de son objet et de son but lorsqu�il a sign� le trait� ou a �chang� les instruments constituant le trait� sous r�serve de ratification, tant qu�il n�a pas manifest� son intention de ne pas devenir partie au trait�. La Commission constate cependant que SWIFT s�est limit�e au respect du droit am�ricain et � la recherche de solutions via des n�gociations secr�tes avec l�UST. La Commission regrette que les alternatives susmentionn�es n'aient pas �t� envisag�es et que les autorit�s43 europ�ennes comp�tentes en mati�re de protection des donn�es n'aient pas �t� consult�es afin de confronter le transfert massif de donn�es � caract�re personnel � l�UST au regard du droit europ�en. En ce qui concerne l�application du principe de proportionnalit�, la Commission fait remarquer que le transfert massif, cach�, durant depuis des ann�es et syst�matique de donn�es � caract�re personnel peut �galement �tre consid�r� comme une violation de l�article 4, � 1, 3� de la LVP. Enfin, le contr�le du d�lai de conservation des donn�es dans la bo�te noire doit �galement �tre jug� essentiel � la lumi�re du respect du principe de proportionnalit�. Une distinction est �tablie entre le d�lai de conservation normal qui est d�usage dans le cadre du fonctionnement normal des centres de traitement de SWIFT et les d�lais de conservation 38 Publi�es sur le site http://www.fatf-gafi.org. Voir http://www.fatf-gafi.org/dataoecd/42/43/33628117.PDF concernant les 40 recommandations. 39 �Countries should establish controls and safeguards to ensure that information exchanged by competent authorities is used only in an authorised manner, consistent with their obligations concerning privacy and data protection.� 40 Zie http://www.egmontgroup.org/about_egmont.pdf 41 "Agreement on extradition between the EU and the US" et l� "Agreement on mutual legal assistance between the EU and the US". Voir les publications sur http://eur-lex.europa.eu/LexUriServ/site/en/oj/2003/l_181/l_18120030719en00270033.pdf et http://europa.eu.int/eurex/ pri/en/oj/dat/2003/l_181/l_18120030719en00340042.pdf#search=%22Agreement%20on%20mutual%20legal%20assi stance%20between%20the%20european%20union%22 42 Convention de Vienne sur le droit des trait�s, 23 mai 1969, M.B. du 25 d�cembre 1993, entr�e en vigueur : le 1er octobre 1992. Les Etats-Unis ont sign� ce trait�. 43 Compte tenu de l�analyse des "overseers" qui se sont d�j� d�clar�s incomp�tents en 2002 en mati�re de sommations. AV 37 / 2006 - 23 / 28 qui sont d�application pour les donn�es dans la bo�te noire mise � la disposition de l�UST44. Apr�s v�rification des accords entre SWIFT et l�UST, il s�av�re qu�il semble �tre question d�un d�lai de conservation d�une dur�e ind�termin�e, donc exc�dant largement le d�lai de conservation normal dans le cadre du service SWIFTNet FIN, ce qui est contraire au principe de proportionnalit�. Initialement, il existait la possibilit� de conserver les messages dans la bo�te noire aussi longtemps qu�ils repr�sentaient une utilit� �ventuelle pour une recherche. Ensuite, SWIFT a eu la possibilit� de r�cup�rer de l�UST tous les messages non collect�s, fut-ce avec l'obligation de conserver ces donn�es tant que la possibilit� existe qu'une sommation soit prononc�e quant � ces donn�es (voir supra au point B.4.1). La Commission constate que cette "possibilit� de d�placement" de donn�es (de la bo�te noire vers SWIFT) a peu d�influence sur le d�lai de conservation � proprement parler, qui reste en principe ind�termin�, c�est-�-dire aussi longtemps qu�existe la possibilit� d�une sommation concernant ces donn�es. La Commission signale enfin que pour le moment, aucune v�rification ind�pendante effective n�a pu �tre r�alis�e concernant le d�lai concret de conservation de donn�es dans des cas individuels. Par cons�quent, on ne peut exclure que des donn�es � caract�re personnel puissent �tre conserv�es dans la bo�te noire durant des ann�es sans v�rification ind�pendante. Sur la base des consid�rations susmentionn�es, la Commission estime que la pratique susmentionn�e d�un transfert massif, cach�, durant depuis des ann�es et syst�matique de donn�es � caract�re personnel � l�UST avec un d�lai de conservation d�une dur�e ind�termin�e constitue une violation des principes de proportionnalit� et du d�lai de conservation limit� tel que formul� aux articles 4, � 1, 3� de la LVP (proportionnalit�) et 4, � 1, 5� de la LVP (d�lai de conservation), � la suite des articles 6.1. (c) et 6.1. (e) de la Directive 95/46/CE. En tant que responsable, SWIFT aurait d� se rendre compte que ces principes �taient jug�s fondamentaux dans l�ordre juridique europ�en. E.2.3. Principe de finalit� La Commission insiste sur le fait qu�elle reconna�t l�int�r�t et la l�gitimit� de la lutte mondiale contre le terrorisme. Toutefois, � la lumi�re de la LVP, il est crucial de savoir si les sommations, compte tenu de leur formulation, pouvaient en effet uniquement �tre utilis�es pour la lutte contre le terrorisme et n�impliquaient pas, par exemple, une autorisation pour d�autres finalit�s, tel que sugg�r� dans certains m�dia45. Cet aspect d�pend de la d�finition et de la communication de la finalit� du traitement via l�obligation d�information, qui sera expliqu�e ci-apr�s. Cependant, il ne rel�ve pas de la comp�tence de la Commission de mettre en cause la l�gitimit� des sommations am�ricaines. E.2.4. Obligation d�information dans le chef de SWIFT (articles 4, � 1, 2� et 9, � 2 de la LVP et article 8 de la CEDH) La Commission �tablit que tout contr�le de la finalit� d�pend enti�rement de la transparence requise et de la d�finition pr�cise des finalit�s du traitement. Elle fait remarquer � ce sujet que : � La finalit� exacte du traitement (combattre le terrorisme) a en principe �t� impos�e et d�finie dans les sommations dont la finalit� exacte a toujours �t� trait�e avec la plus grande confidentialit� et de fa�on non-transparente ; 44 Les d�lais de conservation que l�UST utiliserait pour les donn�es qu�elle a r�unies apr�s extraction de la bo�te noire ne sont pas connus. 45 Voir par exemple un article dans le Knack du 9 ao�t 2006 dans lequel l�auteur sugg�re qu�il serait question d�affaires qui n�auraient aucun rapport avec le terrorisme comme "une affaire li�e � la drogue". AV 37 / 2006 - 24 / 28 � Les finalit�s qui ont �t� formul�es dans les communications de SWIFT au grand public avant le 23 juin 2006 (et donc aux personnes concern�es) restaient tr�s vagues et aucun lien clair n�a �t� mentionn� avec le terrorisme (mention d�"activit�s ill�gales" et "comportement ill�gal" dans la politique publique de compliance de SWIFT) ; � Ce n�est que dans les communiqu�s de presse g�n�raux diffus�s apr�s le 23 juin 2006 qu�il a �t� pr�cis� � plusieurs reprises que SWIFT ne communiquait les donn�es que pour "des recherches sp�cifiques au terrorisme" (dans la d�claration relative � la compliance du 23 juin 2006 et les mises � jour de cette d�claration apr�s cette date). La Commission constate en outre que la politique "sans commentaire" de SWIFT en mati�re de compliance semble en contradiction avec l�exigence de transparence qui d�coule de la Directive 95/46/CE et du deuxi�me alin�a de l�article 8 de la CEDH. Cette politique semble inspir�e en grande partie des obligations strictes de confidentialit� impos�es � SWIFT dans le cadre de recherches individuelles de l�UST, par les r�gles g�n�rales de confidentialit� et le devoir de discr�tion en vigueur dans le monde des services financiers et enfin par les int�r�ts commerciaux et le risque au niveau de la r�putation de SWIFT. Il faut toutefois se poser la question d�licate de savoir o� doit �tre trouv� l��quilibre entre le haut degr� de confidentialit� offert par SWIFT au syst�me et l�ampleur des traitements � la suite des sommations et d�autre part les diverses obligations de transparence que SWIFT, en tant que responsable, assume en vertu des articles 4, � 1, 2� de la LVP (exigence de la d�finition de la finalit� dans la politique vie priv�e) et 9, � 2 de la LVP (obligation d�information). D�autre part, on se demande jusqu�� quel point SWIFT pouvait ET devait informer les institutions financi�res et les personnes concern�es en vertu de l�article 9, � 2 de la LVP sur le transfert des donn�es via l�UST. La Commission est consciente que des obligations l�gales ou conventionnelles de confidentialit� existent, aussi bien pour des sommations am�ricaines que pour des sommations belges, ce qui implique que l�obligation normale d�information � l��gard de la personne physique concern�e (suspect, qui fait l�objet de la sommation) ne sera pas toujours d�application lors de l�ex�cution d�une sommation. Cependant, la Commission attire l�attention sur une diff�rence fondamentale qui distingue les sommations de l�UST des sommations dans le droit belge. Sous la rubrique B.2., il a d�j� �t� pr�cis� que les sommations de l�UST doivent �tre qualifi�es de demandes non individualis�es et massives (technique "Rasterfandung" "carpetsweeping") qui fonctionnent en deux phases, ce qui diff�re des sommations belges qui sont exerc�es ab initio par cas individuel. Il a �galement �t� remarqu� � la fin de la rubrique B.2. que l'UST "a parfaitement le droit, en vertu du droit am�ricain, de soumettre la section am�ricaine de SWIFT � une sommation afin que soient communiqu�s tous les messages SWIFT". Cela signifie donc que, rien que pour 2005, un total de 2.518.290.000 messages SWIFTNet Fin peut �tre soumis aux sommations46. Vu le deuxi�me alin�a de l�article 8 de la CEDH, les obligations de transparence subsistent au niveau collectif, donc en ce qui concerne le ph�nom�ne des demandes de renseignements massives via des sommations europ�ennes ou am�ricaines. Compte tenu du caract�re secret, massif et inhabituel du transfert de donn�es, la Commission estime d�s lors que SWIFT devait au moins informer les institutions financi�res et les autorit�s de contr�le en mati�re de protection des donn�es (autorit�s europ�ennes, DPA dont la Commission) des sommations de l�UST. 46 Chiffre mentionn� dans la m�me lettre de SWIFT du 14 septembre 2006. On peut �galement partir d'une circulation de messages normale moyenne journali�re via SWIFTNet FIN se situant entre 6,9 millions (2005) et 11 millions de messages par jour (d�but 2006) et qui peut �tre soumise int�gralement aux sommations. AV 37 / 2006 - 25 / 28 E.2.5. Obligation de d�claration En vertu de l�article 17, � 6 de la LVP, une transmission de donn�es � caract�re personnel � l��tranger doit �tre d�clar�e. SWIFT a effectu� cette d�claration pour une multitude d�autres traitements47 mais pas pour le transfert de donn�es � l�UST et encore moins pour la finalit� de "compliance". Ceci est �trange, �tant donn� qu�il n�est pas inhabituel pour des institutions financi�res et d�autres prestataires de services financiers tels que SWIFT de d�clarer leur finalit� de "compliance" et leurs transferts internationaux s�par�ment aupr�s de la Commission. Ainsi, les r�f�rences � des traitements de "compliance" en vertu de la loi du 11 janvier 199348 sont assez courantes dans le chef des institutions financi�res responsables. En ne mentionnant pas dans la d�claration les transferts de donn�es aux Etats-Unis et la finalit� de compliance dans le cadre des sommations, SWIFT a viol� l�article 17, � 1 de la LVP. E.2.6. Exigence d�un contr�le ind�pendant du transfert de donn�es (article 28 de la Directive 95/46/CE et article 8 de la CEDH) Seule la direction de SWIFT semblait au courant des modalit�s du transfert � l�UST49 avant les communiqu�s de presse de juin 2006 en Belgique. Le contr�le ind�pendant requis en vertu de l�article 28 de la Directive 95/46/CE semble donc en grande partie emp�ch� par le fait que les transferts massifs de donn�es par SWIFT ont �t� trait�s avec la plus grande confidentialit�. Ainsi, ni les institutions financi�res concern�es, ni les autorit�s europ�ennes comp�tentes en mati�re de protection des donn�es n�ont �t� mises au courant du ph�nom�ne massif des sommations am�ricaines. L�exigence d�un contr�le ind�pendant d�coule toutefois �galement du deuxi�me alin�a de l�article 8 de la CEDH. Dans l�affaire Rotaru, la Cour europ�enne des Droits de l�homme a affirm� : "La norme juridique implique, entre autres, qu'une ing�rence de l'ex�cutif dans les droits de l'individu soit soumise � un contr�le efficace que doit normalement assurer, au moins en dernier ressort, le pouvoir judiciaire, car il offre les meilleures garanties d'ind�pendance, d'impartialit� et de proc�dure r�guli�re (�)"50. En maintenant la surveillance massive et secr�te � l'insu des autorit�s europ�ennes comp�tentes en mati�re de protection des donn�es et sans contr�le ind�pendant au sein des Etats-Unis (le seul contr�le a �t� men� par des soci�t�s du secteur priv�, � savoir SWIFT et son auditeur), il y a eu violation des exigences de l�article 28 de la Directive 95/46/CE. 47 Notamment la gestion des membres, la gestion de la client�le, � 48 Loi relative � la pr�vention de l'utilisation du syst�me financier aux fins du blanchiment de capitaux et du financement du terrorisme. 49 Ind�pendamment du fait que la BNB, en tant que "lead overseer", ait �t� inform�e de l�existence de la premi�re sommation et que les institutions financi�res sont cens�es conna�tre la pratique des sommations et le fait que les transactions SWIFT devaient �tre soumises � ces sommations, selon les documents contractuels. 50 "The rule of law implies, inter alia, that interference by the executive authorities with an individual's rights should be subject to effective supervision, which should normally be carried out by the judiciary, at least in the last resort, since judicial control affords the best guarantees of independence, impartiality and a proper procedure (see the Klass and Others judgment cited above, pp. 25-26, � 55)." AV 37 / 2006 - 26 / 28 E.2.7. Interdiction de transmission lors de transferts ult�rieurs � des destinataires de donn�es tels que l�UST (articles 21 de la LVP et 25 et 26 de la Directive 95/46/CE) A d�faut de dispositions d'exception applicables au sens des articles 22 de la LVP et 26 de la Directive 95/46/CE (voir supra), la Commission insiste sur le fait que le transfert de donn�es � l�UST ne peut nullement �tre r�gularis� de mani�re satisfaisante via la conclusion de "dispositions contractuelles" ou de "binding corporate rules" au sein du groupe SWIFT. Tout comme dans le pr�c�dent PNR51, pour ces transferts appel�s ult�rieurs ("onward transfers"), des accords sp�cifiques entre les Etats-Unis et l�Union europ�enne semblent �tre requis afin de s�assurer que le destinataire des donn�es (l�UST) appliquera correctement des r�gles de protection ad�quates conform�ment au droit europ�en. C�est le sens que donne le Groupe 29 aux articles 25 et 26 de la Directive 95/46/CE52. Pour SWIFT, le cadre des accords du GAFI aurait pu servir de point de d�part, mais la question est de savoir pourquoi cette option n�a pas �t� choisie. Vu le fait que le destinataire des donn�es (l�UST) n�a jamais �t� soumis � un niveau de protection ad�quat, conform�ment � l�article 21 de la LVP et � la Directive 95/46/CE, la Commission estime que SWIFT a viol� l�article 21, � 1 de la LVP. Il peut �tre consid�r� comme une faute grave d��valuation dans le chef de SWIFT de soumettre depuis des ann�es, de mani�re secr�te et syst�matique, une quantit� massive de donn�es � caract�re personnel � la surveillance de l�UST sans avoir contact� en m�me temps les autorit�s europ�ennes comp�tentes et la Commission afin de trouver une solution en vertu du droit belge et europ�en. PAR CES MOTIFS, sur la base de son examen g�n�ral, la Commission estime que : - la LVP s'applique � l'�change de donn�es via le service SWIFTNet FIN ; - SWIFT et les institutions financi�res sont conjointement responsables � la lumi�re de la LVP pour les traitements de donn�es � caract�re personnel via le service SWIFTNet FIN ; - SWIFT est responsable du traitement de donn�es � caract�re personnel telles que trait�es via le service SWIFTNet FIN ; - les institutions financi�res sont responsables �tant donn� qu'elles d�terminent �galement la finalit� et les moyens de l'ex�cution des ordres de paiement dans la circulation interbancaire. Les institutions financi�res font proc�der, notamment au niveau interbancaire, au traitement de messages financiers relatifs � ces messages de paiement via le service SWIFTNet Fin ; 51 Depuis d�but janvier 2003, les Etats-Unis ont exig� un acc�s aux Passenger Name Records (les donn�es de voyage et de r�servation, ou "PNR") de tous les passagers sur des vols � destination, en provenance ou en transit aux Etats- Unis. Depuis lors, des solutions sont recherch�es au niveau europ�en quant � l'exigence d'un niveau de protection ad�quat lors du transfert de ces donn�es aux USA. 52 Voir le document de travail du 24 juillet 1998 du Groupe 29 concernant le transfert de donn�es personnelles vers des pays tiers : application des articles 25 et 26 de la directive relative � la protection des donn�es, publi� sur http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/1998_en.htm AV 37 / 2006 - 27 / 28 - en ce qui concerne le traitement normal de donn�es � caract�re personnel dans le cadre du service SWIFTNet FIN, SWIFT aurait d� respecter ses obligations en vertu de la LVP, dont l'obligation d'information, l'obligation de d�claration et l'obligation de pr�voir un niveau de protection ad�quat conform�ment � l'article 21, � 2 de la LVP ; - en ce qui concerne la communication de donn�es � caract�re personnel � l'UST, la Commission estime que SWIFT se trouve en situation de conflit entre le droit am�ricain et europ�en et a au minimum commis un certain nombre de fautes d'�valuation lors du traitement des sommations am�ricaines. Qu'il convient notamment de consid�rer comme une grave erreur d'�valuation dans le chef de SWIFT le fait d'avoir soumis � une surveillance pendant des ann�es une quantit� massive de donn�es � caract�re personnel, ce secr�tement et syst�matiquement, sans justification suffisante et claire et sans contr�le ind�pendant conform�ment au droit belge et europ�en. Dans ce contexte, SWIFT aurait d�, d�s le d�but, �tre consciente du fait que, outre l'application du droit am�ricain, les principes fondamentaux du droit europ�en doivent �galement �tre respect�s, comme le principe de proportionnalit�, le d�lai de conservation limit�, la politique de transparence, l'exigence de contr�le ind�pendant et celle de niveau de protection ad�quat. Ces exigences sont en effet exprim�es dans le deuxi�me alin�a de l'article 8 de la CEDH, la Convention n� 108, la Directive 95/46/CE et la LVP et s'appliquent � SWIFT. La Commission se r�f�re �galement au pr�c�dent international dans le dossier PNR. Les autorit�s comp�tentes en mati�re de protection des donn�es (la Commission, ses pairs et la Commission europ�enne) auraient du �tre inform�es d�s le d�but, ce qui aurait pu permettre d'�laborer une solution au niveau europ�en pour la communication de donn�es � caract�re personnel � l'UST, en respectant les principes pr�cit�s en vigueur dans le droit europ�en. A cet �gard, le gouvernement belge aurait �galement pu �tre sollicit� afin de requ�rir une initiative au niveau europ�en. Vu la mati�re complexe et son importance, la Commission se tient � disposition pour fournir un avis ult�rieur quant � cette probl�matique. L'administrateur, (s�) Jo BARET Vu l�emp�chement du pr�sident, le vice-pr�sident, (s�) Willem DEBEUCKELAERE AV 37 / 2006 - 28 / 28 A. INTRODUCTION................................................................................................................... 2 B. FAITS ET CONTEXTE JURIDIQUE ..................................................................................... 3 B.1. SWIFT .................................................................................................................................. 3 B.1.1. Description du flux de donn�es et donn�es trait�es via le service SWIFTNet FIN ............... 3 B.2. Sommations ("subpoenas")................................................................................................... 5 B.3. Reactie van SWIFT op de dwangbevelen ............................................................................. 6 B.3.1. N�gociations avec l'UST ....................................................................................................... 6 B.3.2. Information aux Autorit�s de contr�le.................................................................................... 7 C. APPLICABILITE DE LA LVP ............................................................................................... 8 C.1. Champ d�application territorial............................................................................................... 8 C.2. Champ d�application mat�riel ................................................................................................ 8 D. APPRECIATION QUANT A SAVOIR SI SWIFT, LES INSTITUTIONS FINANCIERES ET LA BANQUE NATIONALE DE BELGIQUE SONT RESPONSABLES DU TRAITEMENT OU SOUS TRAITANTS ........................................................................................................ 9 D.1. Le traitement de donn�es � caract�re personnel dans le cadre du service SWIFTNet FIN . 9 D.2. L'ex�cution d'ordres de paiement internationaux au moyen du service SWIFTNet FIN ..... 13 D.3. Responsabilit� de la Banque nationale de Belgique ........................................................... 15 E. EXAMEN DES �VENTUELLES VIOLATIONS DE LA LVP............................................... 16 E.1. SWIFT a-t-elle commis des infractions � la LVP dans le cadre du fonctionnement normal du service SWIFTNet FIN ? ..................................................................................................... 16 E.1.1. Base l�gale (article 5 b) de la LVP et article 7 b) de la Directive 95/46/CE) ....................... 16 E.1.2. Obligation d'information (article 9 de la LVP et article 11 de la Directive 95/46/CE)........... 17 E.1.3. Obligation de d�claration (article 17 de la LVP et article 21 de la Directive 95/46/CE)....... 18 E.1.4. Transfert de donn�es � caract�re personnel vers un pays ne pr�sentant pas un niveau de protection ad�quat (articles 21 et 22 de la LVP et articles 25 et 26 de la Directive 95/46/CE) 18 E.2. SWIFT a-t-elle viol� la LVP lors du transfert de donn�es � l�UST ?.................................... 20 E.2.1. Base l�gale (article 5 de la LVP, article 7 b) de la Directive 95/46/CE et article 8 de la CEDH) 20 E.2.2. Principe de proportionnalit� (article 4, � 1, 3� de la LVP) et d�lai de conservation (article 4, � 1, 5� de la LVP) ................................................................................................................ 21 E.2.3. Principe de finalit� ............................................................................................................... 23 E.2.4. Obligation d�information dans le chef de SWIFT (articles 4, � 1, 2� et 9, � 2 de la LVP et article 8 de la CEDH)........................................................................................................... 23 E.2.5. Obligation de d�claration..................................................................................................... 25 E.2.6. Exigence d�un contr�le ind�pendant du transfert de donn�es (article 28 de la Directive 95/46/CE et article 8 de la CEDH)....................................................................................... 25 E.2.7. Interdiction de transmission lors de transferts ult�rieurs � des destinataires de donn�es tels que l�UST (articles 21 de la LVP et 25 et 26 de la Directive 95/46/CE) .............................. 26