AV 37 / 2006 - 18 / 28 E.1.3. Obligation de d�claration (article 17 de la LVP et article 21 de la Directive 95/46/CE) Etant donn� que SWIFT est responsable du traitement, elle est en principe soumise � l'obligation de d�claration du traitement qui permet une transparence et un contr�le g�n�raux, fussent-ils minimaux. La Commission constate cependant que SWIFT n'a pas fait de d�claration pour le traitement de donn�es � caract�re personnel dans le cadre du service SWIFTNet FIN, contrairement aux autres traitements tels que l'administration propre du personnel de SWIFT qui n'entrent pas dans le cadre du pr�sent avis. La Commission estime d�s lors que l'article 17 de la LVP n'a pas �t� respect�. E.1.4. Transfert de donn�es � caract�re personnel vers un pays ne pr�sentant pas un niveau de protection ad�quat (articles 21 et 22 de la LVP et articles 25 et 26 de la Directive 95/46/CE) SWIFT devait tenir compte de la r�glementation sur la transmission de donn�es � caract�re personnel vers des pays tiers. Les dispositions de la Directive 95/46/CE (chapitre IV, articles 25 et 26) r�gissent cette probl�matique et ont �t� repris partiellement dans la LVP, plus pr�cis�ment aux articles 21 et 22 de la LVP. SWIFT a communiqu� � la Commission qu'elle estimait que l'exigence d'un niveau de protection ad�quat d�coulant de l'article 21 de la LVP ne s'appliquait pas au traitement dans le cadre de son service SWIFTNet FIN. En r�sum�, elle avance les arguments suivants � cet �gard : � L'interdiction de transfert de donn�es (article 21, � 1) ne serait pas valable �tant donn� que le transfert n'a pas �t� effectu� depuis la Belgique par la soci�t� m�re. � L'interdiction de transfert de donn�es ne serait pas valable �tant donn� que le transfert n'a pas �t� effectu� vers une soci�t� tierce et �tant donn� que, selon une r�gle du droit des soci�t�s, la succursale (centre de traitement aux Etats-Unis) de SWIFT sans personnalit� juridique rel�verait toujours, juridiquement parlant, de la soci�t� m�re. Cette unit� juridique impliquerait que, dans le cadre du service SWIFTNet FIN, le traitement reste toujours soumis � un niveau de protection ad�quat, � savoir le droit belge. � Subsidiairement, pour autant que les exceptions l�gales de l'article 22, � 1 de la LVP soient bien d'application, SWIFT avance que le transfert serait n�cessaire � l'ex�cution d'un contrat entre la personne concern�e et le responsable (article 22, 2� de la LVP), soit que le transfert serait n�cessaire � l'ex�cution d'un contrat dans l'int�r�t de la personne concern�e (article 22, 3� de la LVP), soit que le transfert serait n�cessaire ou rendu juridiquement obligatoire pour la sauvegarde d'un int�r�t public important (article 22, 4� de la LVP). � Le transfert a lieu dans un environnement fortement s�curis� avec un cryptage du contenu des messages. Les articles 21 et 22 de la LVP sont d'application d�s qu'il est question de soumettre des donn�es � caract�re personnel � un transfert vers un pays ne pr�sentant pas un niveau de protection ad�quat tel que les Etats-Unis. La LVP utilise de nouveau � cet �gard un crit�re fonctionnel. Etant donn� que les articles 21 et 22 de la LVP sont pr�cis�s de mani�re fonctionnelle et constituent un droit contraignant d'ordre public, les r�gles du droit des soci�t�s peuvent difficilement r�duire � n�ant l'ensemble du r�gime de protection en vertu de la Directive 95/46/CE. La Commission constate que, dans le cadre du fonctionnement normal du service SWIFTNet FIN, il est question d'un transfert de messages europ�ens vers des centres de traitement en Europe et aux Etats-Unis. Le fait que les donn�es soient envoy�es � une filiale ne constitue pas un crit�re selon la LVP pour ne pas appliquer les conditions de la loi. AV 37 / 2006 - 19 / 28 Ce transfert a lieu quotidiennement et massivement (11 millions de messages par jour d�but 2006). Apr�s transfert aux centres de traitement, les donn�es sont soumises � l'ensemble des op�rations30 qui sont propres au service SWIFTNet FIN. La Commission observe qu'une protection pouss�e ou un cryptage de donn�es � caract�re personnel n'emp�che pas que le transfert de donn�es cod�es soit toujours soumis aux articles 21 et 22 de la LVP. La Commission estime par ailleurs que les exceptions pr�vues � l'article 22 de la LVP ne peuvent �tre invoqu�es pour le traitement via le service SWIFTNet FIN. Etant donn� les alternatives et les services concurrents qui existent sur le march� des paiements internationaux, un recours au service SWIFTNet FIN peut encore difficilement �tre consid�r� comme n�cessaire pour toute institution financi�re pour effectuer un ordre de paiement. Enfin, la notion de "motif d'int�r�t public important" doit toujours �tre interpr�t�e dans l'ordre juridique belge, conform�ment aux normes juridiques valables en Belgique comme l'article 8 de la CEDH. SWIFT a avanc� que le placement en miroir des centres de traitement est consid�r� comme un �l�ment critique pour le syst�me financier mondial. Elle affirme que le placement en miroir lui a �t� impos� par les "overseers" (banques centrales du G-10) pour des raisons de s�curit� et de fiabilit�, �tant donn� que l'infrastructure de SWIFT est consid�r�e comme critique pour l'industrie financi�re globale. Au niveau europ�en, il a cependant d�j� �t� jug� que les Etats-Unis n'offraient pas un niveau de protection ad�quat � la lumi�re de la Directive 95/46/CE. M�me si le fonctionnement du syst�me financier mondial devait avoir un impact sur l'ordre public en Belgique, ce n'est toutefois pas une justification suffisante � la lumi�re de la Directive 95/46/CE pour installer un centre de traitement aux Etats-Unis sans niveau de protection ad�quat. Etant donn� que les Etats-Unis ne tombent pas dans la cat�gorie des pays pr�sentant un niveau de protection ad�quat, les principes de la "sph�re de s�curit�" ("Safe Harbour") ont �t� �labor�s sp�cifiquement pour les Etats-Unis, sur d�cision de la Commission europ�enne31. En ce qui concerne tous les pays qui ne garantissent pas un niveau de protection ad�quat comme les Etats-Unis, la Commission europ�enne a en outre pr�vu des dispositions contractuelles ad�quates, conform�ment � l'article 26, 2 de la Directive 95/46/CE32. Il existe enfin le syst�me des "Binding Corporate Rules", c'est-�-dire les r�gles d'entreprise contraignantes, qui peut permettre le transfert de donn�es � caract�re personnel vers des pays tiers, sans niveau de protection ad�quat. La Commission estime que le syst�me des r�gles d'entreprise contraignantes ("binding corporate rules"), conform�ment � l'article 26, 2 de la Directive 95/46/CE, est une mesure ad�quate et requise pour pr�voir les garanties ad�quates pour les transferts de donn�es quotidiens et massifs effectu�s via les centres de traitement d'une entreprise multinationale telle que SWIFT. Un tel code de conduite doit toutefois �tre autoris� en Belgique par le Roi, apr�s avis de la Commission. La Commission estime que la protection que SWIFT a pr�vue pour le traitement des donn�es dans le cadre de son centre de traitement aux Etats-Unis ne satisfait pas aux articles 21 et 22 de la LVP (articles 25 et 26 de la Directive 95/46/CE). 30 Notamment le d�cryptage automatique et la v�rification formelle des donn�es. 31 Voir la D�cision 2000/520/CE de la Commission du 26 juillet 2000 conform�ment � la Directive 95/46/CE du Parlement europ�en et du Conseil relative � la pertinence de la protection assur�e par les principes de la "sph�re de s�curit�" et par les questions souvent pos�es y aff�rentes, publi�s par le minist�re du commerce des �tats-Unis d'Am�rique (notifi�e sous le num�ro C(2000) 2441) 32 Voir � ce sujet : http://europa.eu.int/comm/justice_home/fsj/privacy/modelcontracts/index_en.htm AV 37 / 2006 - 20 / 28 E.2. SWIFT a-t-elle viol� la LVP lors du transfert de donn�es � l�UST ? La Commission souhaite v�rifier ci-apr�s si SWIFT a viol� la LVP dans le cadre de la communication de donn�es � caract�re personnel � l�UST. E.2.1. Base l�gale (article 5 de la LVP, article 7 b) de la Directive 95/46/CE et article 8 de la CEDH) La Commission insiste sur le fait qu�elle ne met pas en cause la l�galit� ou le caract�re contraignant de la l�gislation am�ricaine et des sommations am�ricaines, ce qui rel�ve clairement de la comp�tence de l�autorit� am�ricaine. Par contre, elle peut examiner si l�ex�cution des sommations am�ricaines peut trouver, dans le droit belge sur le traitement de donn�es � caract�re personnel, une base de l�gitimation. En vertu de l�article 5 de la LVP, les donn�es � caract�re personnel des donneurs d�ordre ou des b�n�ficiaires ne peuvent �tre trait�es que dans un nombre limit� de cas. SWIFT n�invoque pas formellement une base l�gale en vertu du droit belge et a uniquement fait r�f�rence aux sommations am�ricaines dont elle affirme avoir examin� la l�galit� et le caract�re contraignant. Toutefois, prima facie, surtout l�article 5 c) (obligation l�gale du responsable) et 5 f) (r�alisation d�un int�r�t important et l�gitime du responsable) semblent pertinents pour pouvoir l�gitimer la communication de donn�es � caract�re personnel � l�UST. En ce qui concerne l�article 5 c), la Commission souscrit � l�avis du Groupe 29 du 1er f�vrier 2006 concernant la l�gislation Sarabanes-Oxley33. Le Groupe 29 a d�j� affirm� qu� "Une obligation impos�e par une loi ou un r�glement �trangers qui exigeraient l��tablissement de syst�mes de signalement ne saurait �tre qualifi�e d�obligation l�gale l�gitimant le traitement des donn�es dans l�UE. Toute autre interpr�tation permettrait � des l�gislations �trang�res de contourner les r�gles fix�es par l�UE avec la directive 95/46/CE.". Ceci signifie par cons�quent que les sommations am�ricaines ne peuvent pas �tre consid�r�es comme une base l�gitimant le traitement de donn�es, conform�ment � l�article 5 c) de la LVP. Rejoignant le point de vue de la Commission de la vie priv�e fran�aise (la CNIL) dans le dossier SOX34, la Commission estime qu�il est impossible, dans le cas des sommations am�ricaines, de nier l�int�r�t l�gitime de SWIFT au sens de l�article 5 f) de la LVP. En d�autres termes, on ne peut contester que SWIFT a un int�r�t l�gitime � se soumettre � une sommation valable et ex�cutable en vertu du droit am�ricain. En cas de non respect par SWIFT de ces sommations, SWIFT court en effet le risque de se voir infliger des sanctions civiles en vertu du droit am�ricain. La Commission pense d�s lors que le transfert de donn�es � l�UST repose sur un int�r�t l�gitime et important dans le chef de SWIFT au sens de l�article 5 f) de la LVP. 33 Voir l�avis 1/2006 relatif � l'application des r�gles europ�ennes de protection des donn�es aux dispositifs internes d'alerte professionnelle ("whistleblowing") dans les domaines bancaire, de la comptabilit�, du contr�le interne des comptes, de l'audit, de la lutte contre la corruption et les infractions financi�res. 34 CNIL, Document d�orientation adopt� par la Commission le 10 novembre 2005 pour la mise en oeuvre de dispositifs d�alerte professionnelle conformes � la loi du 6 janvier 1978 modifi�e en ao�t 2004, relative � l�informatique, aux fichiers et aux libert�s. AV 37 / 2006 - 21 / 28 N�anmoins, SWIFT aurait d� r�aliser que les mesures exceptionnelles en vertu du droit am�ricain pouvaient difficilement l�gitimer une violation cach�e, syst�matique, massive et de longue dur�e des principes europ�ens fondamentaux en mati�re de protection des donn�es. Ce principe de base se retrouve au deuxi�me alin�a de l�article 8 de la CEDH35. Les exigences de base strictes en vertu de cet article ont d�j� �t� expliqu�es � plusieurs reprises par la Cour europ�enne des Droits de l�homme, notamment au moment de confronter des activit�s secr�tes de surveillance � des crit�res tels que l�exigence de pr�visibilit� de la norme et l�exigence de mesures de contr�le suffisantes et effectives36. E.2.2. Principe de proportionnalit� (article 4, � 1, 3� de la LVP) et d�lai de conservation (article 4, � 1, 5� de la LVP) La Commission estime qu�en l�esp�ce, il semble s�agir d�un "conflict of laws" entre le droit am�ricain et le droit belge, qui a forc� SWIFT � faire des choix difficiles apr�s la r�ception des sommations am�ricaines. A la lumi�re du principe de proportionnalit�, il est toutefois essentiel de v�rifier si SWIFT a �galement recherch� un �quilibre entre les deux syst�mes juridiques et a, pour ce faire, suffisamment examin� et appliqu� la possibilit� d�alternatives en vertu du droit belge ou europ�en. Le fait que SWIFT soit soumise aux sommations et ait entretenu activement des n�gociations confidentielles avec l�UST sur l�application des sommations n�emp�che pas en effet que le traitement doive �tre effectu� en conformit� avec les principes du droit belge et du droit europ�en. Vu le principe de n�cessit�, on se demande quelles alternatives SWIFT avait une fois qu�il �tait �tabli qu�elle �tait soumise � des sommations valables et contraignantes. Un certain nombre d�options semblaient exister, � savoir : � Contester les sommations impos�es en vertu du droit am�ricain. A la question de savoir pourquoi les sommations n�ont pas �t� soumises aux juges aux Etats-Unis, SWIFT a r�pondu que les premi�res sommations avaient �t� introduites juste apr�s les �v�nements de septembre 2001. Les sommations reposeraient actuellement sur une base l�gale en vertu du droit am�ricain (codifi�e dans ledit "Patriot Act"37). SWIFT a en outre affirm� qu�il y avait un risque que le juge am�ricain d�cide d�ordonner � SWIFT de communiquer toutes les donn�es sans limites. � Appliquer les proc�dures officielles et les trait�s en mati�re de collaboration judiciaire. Les recommandations et proc�dures qui existent pour une collaboration judiciaire sur le plan international et europ�en et qui sont vis�es pour la pr�vention et la lutte contre le financement du terrorisme via un acc�s � des donn�es au sein d�institutions financi�res ne semblent pas suivies. 35 Formul� comme suit : "Il ne peut y avoir ing�rence d'une autorit� publique dans l'exercice de ce droit que pour autant que cette ing�rence est pr�vue par la loi et qu'elle constitue une mesure qui, dans une soci�t� d�mocratique, est n�cessaire � la s�curit� nationale, � la s�ret� publique, au bien-�tre �conomique du pays, � la d�fense de l'ordre et � la pr�vention des infractions p�nales, � la protection de la sant� ou de la morale, ou � la protection des droits et libert�s d'autrui." 36 Voir l�affaire Rotaru contre Roumanie (� 55 et suivants) qui fait r�f�rence � des affaires ant�rieures telles que Malone contre Royaume-Uni du 2 ao�t 1984, Series A n� 82, p. 32, � 67, et Amann contre Suisse [GC], n� 27798/95, � 65, Cour europ�enne des Droits de l�homme 2000-II, � 56). 37 Le USA PATRIOT Act (Public Law 107-56) ou, en toutes letters, le Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001, est une proposition de loi am�ricaine (H.R. 3162) qui a �t� adopt�e � la majorit� en 2003 par le Congr�s am�ricain. La loi a pour but d�offrir plus de possibilit�s � l�autorit� am�ricaine de r�unir des informations et d�intervenir en cas de terrorisme potentiel (source : http://nl.wikipedia.org ). AV 37 / 2006 - 22 / 28 On peut faire r�f�rence � cet �gard aux recommandations publiques de la FATF ("GAFI")38. La FATF est un organe intergouvernemental cr�� en 1989 ayant pour but de d�velopper et de promouvoir des mesures de politique nationales et internationales afin de lutter contre le blanchiment et le financement du terrorisme. La recommandation n� 40 de la FATF comporte la disposition selon laquelle "Les pays devraient mettre en place des contr�les et des garanties pour faire en sorte que les informations �chang�es par les autorit�s comp�tentes ne soient utilis�es que de la mani�re autoris�e et en conformit� avec leurs obligations de protection de la vie priv�e et de protection des donn�es."39 On peut en outre se r�f�rer � la collaboration dans le cadre du "Groupe d'Egmont"40. Par l'interm�diaire de ce groupe informel, un �change de renseignements financiers est actuellement mis en place via les cellules nationales op�rationnelles de renseignements financiers ("financial intelligence units" ou "FIU") des 101 pays dont la Belgique et les Etats-Unis. Cet �change est r�alis� via le "Egmont Secure Web" ou "ESW". Les organes et syst�mes alternatifs pr�cit�s pourraient offrir, � la lumi�re de la Directive 95/46/CE, des garanties compl�mentaires lors de l��change d�informations en mati�re de blanchiment et de financement du terrorisme. Enfin, on peut signaler que, � la suite des attentats du 11 septembre 2001, deux accords41 internationaux ont �t� n�goci�s entre l�Union europ�enne et les Etats-Unis. Ceux-ci ont �t� sign�s le 25 juin 2003 mais sont en attente d��tre ratifi�s par les deux parties. En vertu de l�article 18 de la Convention de Vienne sur le droit des trait�s42, un Etat doit s�abstenir d�actes qui priveraient un trait� de son objet et de son but lorsqu�il a sign� le trait� ou a �chang� les instruments constituant le trait� sous r�serve de ratification, tant qu�il n�a pas manifest� son intention de ne pas devenir partie au trait�. La Commission constate cependant que SWIFT s�est limit�e au respect du droit am�ricain et � la recherche de solutions via des n�gociations secr�tes avec l�UST. La Commission regrette que les alternatives susmentionn�es n'aient pas �t� envisag�es et que les autorit�s43 europ�ennes comp�tentes en mati�re de protection des donn�es n'aient pas �t� consult�es afin de confronter le transfert massif de donn�es � caract�re personnel � l�UST au regard du droit europ�en. En ce qui concerne l�application du principe de proportionnalit�, la Commission fait remarquer que le transfert massif, cach�, durant depuis des ann�es et syst�matique de donn�es � caract�re personnel peut �galement �tre consid�r� comme une violation de l�article 4, � 1, 3� de la LVP. Enfin, le contr�le du d�lai de conservation des donn�es dans la bo�te noire doit �galement �tre jug� essentiel � la lumi�re du respect du principe de proportionnalit�. Une distinction est �tablie entre le d�lai de conservation normal qui est d�usage dans le cadre du fonctionnement normal des centres de traitement de SWIFT et les d�lais de conservation 38 Publi�es sur le site http://www.fatf-gafi.org. Voir http://www.fatf-gafi.org/dataoecd/42/43/33628117.PDF concernant les 40 recommandations. 39 �Countries should establish controls and safeguards to ensure that information exchanged by competent authorities is used only in an authorised manner, consistent with their obligations concerning privacy and data protection.� 40 Zie http://www.egmontgroup.org/about_egmont.pdf 41 "Agreement on extradition between the EU and the US" et l� "Agreement on mutual legal assistance between the EU and the US". Voir les publications sur http://eur-lex.europa.eu/LexUriServ/site/en/oj/2003/l_181/l_18120030719en00270033.pdf et http://europa.eu.int/eurex/ pri/en/oj/dat/2003/l_181/l_18120030719en00340042.pdf#search=%22Agreement%20on%20mutual%20legal%20assi stance%20between%20the%20european%20union%22 42 Convention de Vienne sur le droit des trait�s, 23 mai 1969, M.B. du 25 d�cembre 1993, entr�e en vigueur : le 1er octobre 1992. Les Etats-Unis ont sign� ce trait�. 43 Compte tenu de l�analyse des "overseers" qui se sont d�j� d�clar�s incomp�tents en 2002 en mati�re de sommations. AV 37 / 2006 - 23 / 28 qui sont d�application pour les donn�es dans la bo�te noire mise � la disposition de l�UST44. Apr�s v�rification des accords entre SWIFT et l�UST, il s�av�re qu�il semble �tre question d�un d�lai de conservation d�une dur�e ind�termin�e, donc exc�dant largement le d�lai de conservation normal dans le cadre du service SWIFTNet FIN, ce qui est contraire au principe de proportionnalit�. Initialement, il existait la possibilit� de conserver les messages dans la bo�te noire aussi longtemps qu�ils repr�sentaient une utilit� �ventuelle pour une recherche. Ensuite, SWIFT a eu la possibilit� de r�cup�rer de l�UST tous les messages non collect�s, fut-ce avec l'obligation de conserver ces donn�es tant que la possibilit� existe qu'une sommation soit prononc�e quant � ces donn�es (voir supra au point B.4.1). La Commission constate que cette "possibilit� de d�placement" de donn�es (de la bo�te noire vers SWIFT) a peu d�influence sur le d�lai de conservation � proprement parler, qui reste en principe ind�termin�, c�est-�-dire aussi longtemps qu�existe la possibilit� d�une sommation concernant ces donn�es. La Commission signale enfin que pour le moment, aucune v�rification ind�pendante effective n�a pu �tre r�alis�e concernant le d�lai concret de conservation de donn�es dans des cas individuels. Par cons�quent, on ne peut exclure que des donn�es � caract�re personnel puissent �tre conserv�es dans la bo�te noire durant des ann�es sans v�rification ind�pendante. Sur la base des consid�rations susmentionn�es, la Commission estime que la pratique susmentionn�e d�un transfert massif, cach�, durant depuis des ann�es et syst�matique de donn�es � caract�re personnel � l�UST avec un d�lai de conservation d�une dur�e ind�termin�e constitue une violation des principes de proportionnalit� et du d�lai de conservation limit� tel que formul� aux articles 4, � 1, 3� de la LVP (proportionnalit�) et 4, � 1, 5� de la LVP (d�lai de conservation), � la suite des articles 6.1. (c) et 6.1. (e) de la Directive 95/46/CE. En tant que responsable, SWIFT aurait d� se rendre compte que ces principes �taient jug�s fondamentaux dans l�ordre juridique europ�en. E.2.3. Principe de finalit� La Commission insiste sur le fait qu�elle reconna�t l�int�r�t et la l�gitimit� de la lutte mondiale contre le terrorisme. Toutefois, � la lumi�re de la LVP, il est crucial de savoir si les sommations, compte tenu de leur formulation, pouvaient en effet uniquement �tre utilis�es pour la lutte contre le terrorisme et n�impliquaient pas, par exemple, une autorisation pour d�autres finalit�s, tel que sugg�r� dans certains m�dia45. Cet aspect d�pend de la d�finition et de la communication de la finalit� du traitement via l�obligation d�information, qui sera expliqu�e ci-apr�s. Cependant, il ne rel�ve pas de la comp�tence de la Commission de mettre en cause la l�gitimit� des sommations am�ricaines. E.2.4. Obligation d�information dans le chef de SWIFT (articles 4, � 1, 2� et 9, � 2 de la LVP et article 8 de la CEDH) La Commission �tablit que tout contr�le de la finalit� d�pend enti�rement de la transparence requise et de la d�finition pr�cise des finalit�s du traitement. Elle fait remarquer � ce sujet que : � La finalit� exacte du traitement (combattre le terrorisme) a en principe �t� impos�e et d�finie dans les sommations dont la finalit� exacte a toujours �t� trait�e avec la plus grande confidentialit� et de fa�on non-transparente ; 44 Les d�lais de conservation que l�UST utiliserait pour les donn�es qu�elle a r�unies apr�s extraction de la bo�te noire ne sont pas connus. 45 Voir par exemple un article dans le Knack du 9 ao�t 2006 dans lequel l�auteur sugg�re qu�il serait question d�affaires qui n�auraient aucun rapport avec le terrorisme comme "une affaire li�e � la drogue". AV 37 / 2006 - 24 / 28 � Les finalit�s qui ont �t� formul�es dans les communications de SWIFT au grand public avant le 23 juin 2006 (et donc aux personnes concern�es) restaient tr�s vagues et aucun lien clair n�a �t� mentionn� avec le terrorisme (mention d�"activit�s ill�gales" et "comportement ill�gal" dans la politique publique de compliance de SWIFT) ; � Ce n�est que dans les communiqu�s de presse g�n�raux diffus�s apr�s le 23 juin 2006 qu�il a �t� pr�cis� � plusieurs reprises que SWIFT ne communiquait les donn�es que pour "des recherches sp�cifiques au terrorisme" (dans la d�claration relative � la compliance du 23 juin 2006 et les mises � jour de cette d�claration apr�s cette date). La Commission constate en outre que la politique "sans commentaire" de SWIFT en mati�re de compliance semble en contradiction avec l�exigence de transparence qui d�coule de la Directive 95/46/CE et du deuxi�me alin�a de l�article 8 de la CEDH. Cette politique semble inspir�e en grande partie des obligations strictes de confidentialit� impos�es � SWIFT dans le cadre de recherches individuelles de l�UST, par les r�gles g�n�rales de confidentialit� et le devoir de discr�tion en vigueur dans le monde des services financiers et enfin par les int�r�ts commerciaux et le risque au niveau de la r�putation de SWIFT. Il faut toutefois se poser la question d�licate de savoir o� doit �tre trouv� l��quilibre entre le haut degr� de confidentialit� offert par SWIFT au syst�me et l�ampleur des traitements � la suite des sommations et d�autre part les diverses obligations de transparence que SWIFT, en tant que responsable, assume en vertu des articles 4, � 1, 2� de la LVP (exigence de la d�finition de la finalit� dans la politique vie priv�e) et 9, � 2 de la LVP (obligation d�information). D�autre part, on se demande jusqu�� quel point SWIFT pouvait ET devait informer les institutions financi�res et les personnes concern�es en vertu de l�article 9, � 2 de la LVP sur le transfert des donn�es via l�UST. La Commission est consciente que des obligations l�gales ou conventionnelles de confidentialit� existent, aussi bien pour des sommations am�ricaines que pour des sommations belges, ce qui implique que l�obligation normale d�information � l��gard de la personne physique concern�e (suspect, qui fait l�objet de la sommation) ne sera pas toujours d�application lors de l�ex�cution d�une sommation. Cependant, la Commission attire l�attention sur une diff�rence fondamentale qui distingue les sommations de l�UST des sommations dans le droit belge. Sous la rubrique B.2., il a d�j� �t� pr�cis� que les sommations de l�UST doivent �tre qualifi�es de demandes non individualis�es et massives (technique "Rasterfandung" "carpetsweeping") qui fonctionnent en deux phases, ce qui diff�re des sommations belges qui sont exerc�es ab initio par cas individuel. Il a �galement �t� remarqu� � la fin de la rubrique B.2. que l'UST "a parfaitement le droit, en vertu du droit am�ricain, de soumettre la section am�ricaine de SWIFT � une sommation afin que soient communiqu�s tous les messages SWIFT". Cela signifie donc que, rien que pour 2005, un total de 2.518.290.000 messages SWIFTNet Fin peut �tre soumis aux sommations46. Vu le deuxi�me alin�a de l�article 8 de la CEDH, les obligations de transparence subsistent au niveau collectif, donc en ce qui concerne le ph�nom�ne des demandes de renseignements massives via des sommations europ�ennes ou am�ricaines. Compte tenu du caract�re secret, massif et inhabituel du transfert de donn�es, la Commission estime d�s lors que SWIFT devait au moins informer les institutions financi�res et les autorit�s de contr�le en mati�re de protection des donn�es (autorit�s europ�ennes, DPA dont la Commission) des sommations de l�UST. 46 Chiffre mentionn� dans la m�me lettre de SWIFT du 14 septembre 2006. On peut �galement partir d'une circulation de messages normale moyenne journali�re via SWIFTNet FIN se situant entre 6,9 millions (2005) et 11 millions de messages par jour (d�but 2006) et qui peut �tre soumise int�gralement aux sommations. AV 37 / 2006 - 25 / 28 E.2.5. Obligation de d�claration En vertu de l�article 17, � 6 de la LVP, une transmission de donn�es � caract�re personnel � l��tranger doit �tre d�clar�e. SWIFT a effectu� cette d�claration pour une multitude d�autres traitements47 mais pas pour le transfert de donn�es � l�UST et encore moins pour la finalit� de "compliance". Ceci est �trange, �tant donn� qu�il n�est pas inhabituel pour des institutions financi�res et d�autres prestataires de services financiers tels que SWIFT de d�clarer leur finalit� de "compliance" et leurs transferts internationaux s�par�ment aupr�s de la Commission. Ainsi, les r�f�rences � des traitements de "compliance" en vertu de la loi du 11 janvier 199348 sont assez courantes dans le chef des institutions financi�res responsables. En ne mentionnant pas dans la d�claration les transferts de donn�es aux Etats-Unis et la finalit� de compliance dans le cadre des sommations, SWIFT a viol� l�article 17, � 1 de la LVP. E.2.6. Exigence d�un contr�le ind�pendant du transfert de donn�es (article 28 de la Directive 95/46/CE et article 8 de la CEDH) Seule la direction de SWIFT semblait au courant des modalit�s du transfert � l�UST49 avant les communiqu�s de presse de juin 2006 en Belgique. Le contr�le ind�pendant requis en vertu de l�article 28 de la Directive 95/46/CE semble donc en grande partie emp�ch� par le fait que les transferts massifs de donn�es par SWIFT ont �t� trait�s avec la plus grande confidentialit�. Ainsi, ni les institutions financi�res concern�es, ni les autorit�s europ�ennes comp�tentes en mati�re de protection des donn�es n�ont �t� mises au courant du ph�nom�ne massif des sommations am�ricaines. L�exigence d�un contr�le ind�pendant d�coule toutefois �galement du deuxi�me alin�a de l�article 8 de la CEDH. Dans l�affaire Rotaru, la Cour europ�enne des Droits de l�homme a affirm� : "La norme juridique implique, entre autres, qu'une ing�rence de l'ex�cutif dans les droits de l'individu soit soumise � un contr�le efficace que doit normalement assurer, au moins en dernier ressort, le pouvoir judiciaire, car il offre les meilleures garanties d'ind�pendance, d'impartialit� et de proc�dure r�guli�re (�)"50. En maintenant la surveillance massive et secr�te � l'insu des autorit�s europ�ennes comp�tentes en mati�re de protection des donn�es et sans contr�le ind�pendant au sein des Etats-Unis (le seul contr�le a �t� men� par des soci�t�s du secteur priv�, � savoir SWIFT et son auditeur), il y a eu violation des exigences de l�article 28 de la Directive 95/46/CE. 47 Notamment la gestion des membres, la gestion de la client�le, � 48 Loi relative � la pr�vention de l'utilisation du syst�me financier aux fins du blanchiment de capitaux et du financement du terrorisme. 49 Ind�pendamment du fait que la BNB, en tant que "lead overseer", ait �t� inform�e de l�existence de la premi�re sommation et que les institutions financi�res sont cens�es conna�tre la pratique des sommations et le fait que les transactions SWIFT devaient �tre soumises � ces sommations, selon les documents contractuels. 50 "The rule of law implies, inter alia, that interference by the executive authorities with an individual's rights should be subject to effective supervision, which should normally be carried out by the judiciary, at least in the last resort, since judicial control affords the best guarantees of independence, impartiality and a proper procedure (see the Klass and Others judgment cited above, pp. 25-26, � 55)." AV 37 / 2006 - 26 / 28 E.2.7. Interdiction de transmission lors de transferts ult�rieurs � des destinataires de donn�es tels que l�UST (articles 21 de la LVP et 25 et 26 de la Directive 95/46/CE) A d�faut de dispositions d'exception applicables au sens des articles 22 de la LVP et 26 de la Directive 95/46/CE (voir supra), la Commission insiste sur le fait que le transfert de donn�es � l�UST ne peut nullement �tre r�gularis� de mani�re satisfaisante via la conclusion de "dispositions contractuelles" ou de "binding corporate rules" au sein du groupe SWIFT. Tout comme dans le pr�c�dent PNR51, pour ces transferts appel�s ult�rieurs ("onward transfers"), des accords sp�cifiques entre les Etats-Unis et l�Union europ�enne semblent �tre requis afin de s�assurer que le destinataire des donn�es (l�UST) appliquera correctement des r�gles de protection ad�quates conform�ment au droit europ�en. C�est le sens que donne le Groupe 29 aux articles 25 et 26 de la Directive 95/46/CE52. Pour SWIFT, le cadre des accords du GAFI aurait pu servir de point de d�part, mais la question est de savoir pourquoi cette option n�a pas �t� choisie. Vu le fait que le destinataire des donn�es (l�UST) n�a jamais �t� soumis � un niveau de protection ad�quat, conform�ment � l�article 21 de la LVP et � la Directive 95/46/CE, la Commission estime que SWIFT a viol� l�article 21, � 1 de la LVP. Il peut �tre consid�r� comme une faute grave d��valuation dans le chef de SWIFT de soumettre depuis des ann�es, de mani�re secr�te et syst�matique, une quantit� massive de donn�es � caract�re personnel � la surveillance de l�UST sans avoir contact� en m�me temps les autorit�s europ�ennes comp�tentes et la Commission afin de trouver une solution en vertu du droit belge et europ�en. PAR CES MOTIFS, sur la base de son examen g�n�ral, la Commission estime que : - la LVP s'applique � l'�change de donn�es via le service SWIFTNet FIN ; - SWIFT et les institutions financi�res sont conjointement responsables � la lumi�re de la LVP pour les traitements de donn�es � caract�re personnel via le service SWIFTNet FIN ; - SWIFT est responsable du traitement de donn�es � caract�re personnel telles que trait�es via le service SWIFTNet FIN ; - les institutions financi�res sont responsables �tant donn� qu'elles d�terminent �galement la finalit� et les moyens de l'ex�cution des ordres de paiement dans la circulation interbancaire. Les institutions financi�res font proc�der, notamment au niveau interbancaire, au traitement de messages financiers relatifs � ces messages de paiement via le service SWIFTNet Fin ; 51 Depuis d�but janvier 2003, les Etats-Unis ont exig� un acc�s aux Passenger Name Records (les donn�es de voyage et de r�servation, ou "PNR") de tous les passagers sur des vols � destination, en provenance ou en transit aux Etats- Unis. Depuis lors, des solutions sont recherch�es au niveau europ�en quant � l'exigence d'un niveau de protection ad�quat lors du transfert de ces donn�es aux USA. 52 Voir le document de travail du 24 juillet 1998 du Groupe 29 concernant le transfert de donn�es personnelles vers des pays tiers : application des articles 25 et 26 de la directive relative � la protection des donn�es, publi� sur http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/1998_en.htm AV 37 / 2006 - 27 / 28 - en ce qui concerne le traitement normal de donn�es � caract�re personnel dans le cadre du service SWIFTNet FIN, SWIFT aurait d� respecter ses obligations en vertu de la LVP, dont l'obligation d'information, l'obligation de d�claration et l'obligation de pr�voir un niveau de protection ad�quat conform�ment � l'article 21, � 2 de la LVP ; - en ce qui concerne la communication de donn�es � caract�re personnel � l'UST, la Commission estime que SWIFT se trouve en situation de conflit entre le droit am�ricain et europ�en et a au minimum commis un certain nombre de fautes d'�valuation lors du traitement des sommations am�ricaines. Qu'il convient notamment de consid�rer comme une grave erreur d'�valuation dans le chef de SWIFT le fait d'avoir soumis � une surveillance pendant des ann�es une quantit� massive de donn�es � caract�re personnel, ce secr�tement et syst�matiquement, sans justification suffisante et claire et sans contr�le ind�pendant conform�ment au droit belge et europ�en. Dans ce contexte, SWIFT aurait d�, d�s le d�but, �tre consciente du fait que, outre l'application du droit am�ricain, les principes fondamentaux du droit europ�en doivent �galement �tre respect�s, comme le principe de proportionnalit�, le d�lai de conservation limit�, la politique de transparence, l'exigence de contr�le ind�pendant et celle de niveau de protection ad�quat. Ces exigences sont en effet exprim�es dans le deuxi�me alin�a de l'article 8 de la CEDH, la Convention n� 108, la Directive 95/46/CE et la LVP et s'appliquent � SWIFT. La Commission se r�f�re �galement au pr�c�dent international dans le dossier PNR. Les autorit�s comp�tentes en mati�re de protection des donn�es (la Commission, ses pairs et la Commission europ�enne) auraient du �tre inform�es d�s le d�but, ce qui aurait pu permettre d'�laborer une solution au niveau europ�en pour la communication de donn�es � caract�re personnel � l'UST, en respectant les principes pr�cit�s en vigueur dans le droit europ�en. A cet �gard, le gouvernement belge aurait �galement pu �tre sollicit� afin de requ�rir une initiative au niveau europ�en. Vu la mati�re complexe et son importance, la Commission se tient � disposition pour fournir un avis ult�rieur quant � cette probl�matique. L'administrateur, (s�) Jo BARET Vu l�emp�chement du pr�sident, le vice-pr�sident, (s�) Willem DEBEUCKELAERE AV 37 / 2006 - 28 / 28 A. INTRODUCTION................................................................................................................... 2 B. FAITS ET CONTEXTE JURIDIQUE ..................................................................................... 3 B.1. SWIFT .................................................................................................................................. 3 B.1.1. Description du flux de donn�es et donn�es trait�es via le service SWIFTNet FIN ............... 3 B.2. Sommations ("subpoenas")................................................................................................... 5 B.3. Reactie van SWIFT op de dwangbevelen ............................................................................. 6 B.3.1. N�gociations avec l'UST ....................................................................................................... 6 B.3.2. Information aux Autorit�s de contr�le.................................................................................... 7 C. APPLICABILITE DE LA LVP ............................................................................................... 8 C.1. Champ d�application territorial............................................................................................... 8 C.2. Champ d�application mat�riel ................................................................................................ 8 D. APPRECIATION QUANT A SAVOIR SI SWIFT, LES INSTITUTIONS FINANCIERES ET LA BANQUE NATIONALE DE BELGIQUE SONT RESPONSABLES DU TRAITEMENT OU SOUS TRAITANTS ........................................................................................................ 9 D.1. Le traitement de donn�es � caract�re personnel dans le cadre du service SWIFTNet FIN . 9 D.2. L'ex�cution d'ordres de paiement internationaux au moyen du service SWIFTNet FIN ..... 13 D.3. Responsabilit� de la Banque nationale de Belgique ........................................................... 15 E. EXAMEN DES �VENTUELLES VIOLATIONS DE LA LVP............................................... 16 E.1. SWIFT a-t-elle commis des infractions � la LVP dans le cadre du fonctionnement normal du service SWIFTNet FIN ? ..................................................................................................... 16 E.1.1. Base l�gale (article 5 b) de la LVP et article 7 b) de la Directive 95/46/CE) ....................... 16 E.1.2. Obligation d'information (article 9 de la LVP et article 11 de la Directive 95/46/CE)........... 17 E.1.3. Obligation de d�claration (article 17 de la LVP et article 21 de la Directive 95/46/CE)....... 18 E.1.4. Transfert de donn�es � caract�re personnel vers un pays ne pr�sentant pas un niveau de protection ad�quat (articles 21 et 22 de la LVP et articles 25 et 26 de la Directive 95/46/CE) 18 E.2. SWIFT a-t-elle viol� la LVP lors du transfert de donn�es � l�UST ?.................................... 20 E.2.1. Base l�gale (article 5 de la LVP, article 7 b) de la Directive 95/46/CE et article 8 de la CEDH) 20 E.2.2. Principe de proportionnalit� (article 4, � 1, 3� de la LVP) et d�lai de conservation (article 4, � 1, 5� de la LVP) ................................................................................................................ 21 E.2.3. Principe de finalit� ............................................................................................................... 23 E.2.4. Obligation d�information dans le chef de SWIFT (articles 4, � 1, 2� et 9, � 2 de la LVP et article 8 de la CEDH)........................................................................................................... 23 E.2.5. Obligation de d�claration..................................................................................................... 25 E.2.6. Exigence d�un contr�le ind�pendant du transfert de donn�es (article 28 de la Directive 95/46/CE et article 8 de la CEDH)....................................................................................... 25 E.2.7. Interdiction de transmission lors de transferts ult�rieurs � des destinataires de donn�es tels que l�UST (articles 21 de la LVP et 25 et 26 de la Directive 95/46/CE) .............................. 26