AV 37 / 2006 - 23 / 28 qui sont d�application pour les donn�es dans la bo�te noire mise � la disposition de l�UST44. Apr�s v�rification des accords entre SWIFT et l�UST, il s�av�re qu�il semble �tre question d�un d�lai de conservation d�une dur�e ind�termin�e, donc exc�dant largement le d�lai de conservation normal dans le cadre du service SWIFTNet FIN, ce qui est contraire au principe de proportionnalit�. Initialement, il existait la possibilit� de conserver les messages dans la bo�te noire aussi longtemps qu�ils repr�sentaient une utilit� �ventuelle pour une recherche. Ensuite, SWIFT a eu la possibilit� de r�cup�rer de l�UST tous les messages non collect�s, fut-ce avec l'obligation de conserver ces donn�es tant que la possibilit� existe qu'une sommation soit prononc�e quant � ces donn�es (voir supra au point B.4.1). La Commission constate que cette "possibilit� de d�placement" de donn�es (de la bo�te noire vers SWIFT) a peu d�influence sur le d�lai de conservation � proprement parler, qui reste en principe ind�termin�, c�est-�-dire aussi longtemps qu�existe la possibilit� d�une sommation concernant ces donn�es. La Commission signale enfin que pour le moment, aucune v�rification ind�pendante effective n�a pu �tre r�alis�e concernant le d�lai concret de conservation de donn�es dans des cas individuels. Par cons�quent, on ne peut exclure que des donn�es � caract�re personnel puissent �tre conserv�es dans la bo�te noire durant des ann�es sans v�rification ind�pendante. Sur la base des consid�rations susmentionn�es, la Commission estime que la pratique susmentionn�e d�un transfert massif, cach�, durant depuis des ann�es et syst�matique de donn�es � caract�re personnel � l�UST avec un d�lai de conservation d�une dur�e ind�termin�e constitue une violation des principes de proportionnalit� et du d�lai de conservation limit� tel que formul� aux articles 4, � 1, 3� de la LVP (proportionnalit�) et 4, � 1, 5� de la LVP (d�lai de conservation), � la suite des articles 6.1. (c) et 6.1. (e) de la Directive 95/46/CE. En tant que responsable, SWIFT aurait d� se rendre compte que ces principes �taient jug�s fondamentaux dans l�ordre juridique europ�en. E.2.3. Principe de finalit� La Commission insiste sur le fait qu�elle reconna�t l�int�r�t et la l�gitimit� de la lutte mondiale contre le terrorisme. Toutefois, � la lumi�re de la LVP, il est crucial de savoir si les sommations, compte tenu de leur formulation, pouvaient en effet uniquement �tre utilis�es pour la lutte contre le terrorisme et n�impliquaient pas, par exemple, une autorisation pour d�autres finalit�s, tel que sugg�r� dans certains m�dia45. Cet aspect d�pend de la d�finition et de la communication de la finalit� du traitement via l�obligation d�information, qui sera expliqu�e ci-apr�s. Cependant, il ne rel�ve pas de la comp�tence de la Commission de mettre en cause la l�gitimit� des sommations am�ricaines. E.2.4. Obligation d�information dans le chef de SWIFT (articles 4, � 1, 2� et 9, � 2 de la LVP et article 8 de la CEDH) La Commission �tablit que tout contr�le de la finalit� d�pend enti�rement de la transparence requise et de la d�finition pr�cise des finalit�s du traitement. Elle fait remarquer � ce sujet que : � La finalit� exacte du traitement (combattre le terrorisme) a en principe �t� impos�e et d�finie dans les sommations dont la finalit� exacte a toujours �t� trait�e avec la plus grande confidentialit� et de fa�on non-transparente ; 44 Les d�lais de conservation que l�UST utiliserait pour les donn�es qu�elle a r�unies apr�s extraction de la bo�te noire ne sont pas connus. 45 Voir par exemple un article dans le Knack du 9 ao�t 2006 dans lequel l�auteur sugg�re qu�il serait question d�affaires qui n�auraient aucun rapport avec le terrorisme comme "une affaire li�e � la drogue". AV 37 / 2006 - 24 / 28 � Les finalit�s qui ont �t� formul�es dans les communications de SWIFT au grand public avant le 23 juin 2006 (et donc aux personnes concern�es) restaient tr�s vagues et aucun lien clair n�a �t� mentionn� avec le terrorisme (mention d�"activit�s ill�gales" et "comportement ill�gal" dans la politique publique de compliance de SWIFT) ; � Ce n�est que dans les communiqu�s de presse g�n�raux diffus�s apr�s le 23 juin 2006 qu�il a �t� pr�cis� � plusieurs reprises que SWIFT ne communiquait les donn�es que pour "des recherches sp�cifiques au terrorisme" (dans la d�claration relative � la compliance du 23 juin 2006 et les mises � jour de cette d�claration apr�s cette date). La Commission constate en outre que la politique "sans commentaire" de SWIFT en mati�re de compliance semble en contradiction avec l�exigence de transparence qui d�coule de la Directive 95/46/CE et du deuxi�me alin�a de l�article 8 de la CEDH. Cette politique semble inspir�e en grande partie des obligations strictes de confidentialit� impos�es � SWIFT dans le cadre de recherches individuelles de l�UST, par les r�gles g�n�rales de confidentialit� et le devoir de discr�tion en vigueur dans le monde des services financiers et enfin par les int�r�ts commerciaux et le risque au niveau de la r�putation de SWIFT. Il faut toutefois se poser la question d�licate de savoir o� doit �tre trouv� l��quilibre entre le haut degr� de confidentialit� offert par SWIFT au syst�me et l�ampleur des traitements � la suite des sommations et d�autre part les diverses obligations de transparence que SWIFT, en tant que responsable, assume en vertu des articles 4, � 1, 2� de la LVP (exigence de la d�finition de la finalit� dans la politique vie priv�e) et 9, � 2 de la LVP (obligation d�information). D�autre part, on se demande jusqu�� quel point SWIFT pouvait ET devait informer les institutions financi�res et les personnes concern�es en vertu de l�article 9, � 2 de la LVP sur le transfert des donn�es via l�UST. La Commission est consciente que des obligations l�gales ou conventionnelles de confidentialit� existent, aussi bien pour des sommations am�ricaines que pour des sommations belges, ce qui implique que l�obligation normale d�information � l��gard de la personne physique concern�e (suspect, qui fait l�objet de la sommation) ne sera pas toujours d�application lors de l�ex�cution d�une sommation. Cependant, la Commission attire l�attention sur une diff�rence fondamentale qui distingue les sommations de l�UST des sommations dans le droit belge. Sous la rubrique B.2., il a d�j� �t� pr�cis� que les sommations de l�UST doivent �tre qualifi�es de demandes non individualis�es et massives (technique "Rasterfandung" "carpetsweeping") qui fonctionnent en deux phases, ce qui diff�re des sommations belges qui sont exerc�es ab initio par cas individuel. Il a �galement �t� remarqu� � la fin de la rubrique B.2. que l'UST "a parfaitement le droit, en vertu du droit am�ricain, de soumettre la section am�ricaine de SWIFT � une sommation afin que soient communiqu�s tous les messages SWIFT". Cela signifie donc que, rien que pour 2005, un total de 2.518.290.000 messages SWIFTNet Fin peut �tre soumis aux sommations46. Vu le deuxi�me alin�a de l�article 8 de la CEDH, les obligations de transparence subsistent au niveau collectif, donc en ce qui concerne le ph�nom�ne des demandes de renseignements massives via des sommations europ�ennes ou am�ricaines. Compte tenu du caract�re secret, massif et inhabituel du transfert de donn�es, la Commission estime d�s lors que SWIFT devait au moins informer les institutions financi�res et les autorit�s de contr�le en mati�re de protection des donn�es (autorit�s europ�ennes, DPA dont la Commission) des sommations de l�UST. 46 Chiffre mentionn� dans la m�me lettre de SWIFT du 14 septembre 2006. On peut �galement partir d'une circulation de messages normale moyenne journali�re via SWIFTNet FIN se situant entre 6,9 millions (2005) et 11 millions de messages par jour (d�but 2006) et qui peut �tre soumise int�gralement aux sommations. AV 37 / 2006 - 25 / 28 E.2.5. Obligation de d�claration En vertu de l�article 17, � 6 de la LVP, une transmission de donn�es � caract�re personnel � l��tranger doit �tre d�clar�e. SWIFT a effectu� cette d�claration pour une multitude d�autres traitements47 mais pas pour le transfert de donn�es � l�UST et encore moins pour la finalit� de "compliance". Ceci est �trange, �tant donn� qu�il n�est pas inhabituel pour des institutions financi�res et d�autres prestataires de services financiers tels que SWIFT de d�clarer leur finalit� de "compliance" et leurs transferts internationaux s�par�ment aupr�s de la Commission. Ainsi, les r�f�rences � des traitements de "compliance" en vertu de la loi du 11 janvier 199348 sont assez courantes dans le chef des institutions financi�res responsables. En ne mentionnant pas dans la d�claration les transferts de donn�es aux Etats-Unis et la finalit� de compliance dans le cadre des sommations, SWIFT a viol� l�article 17, � 1 de la LVP. E.2.6. Exigence d�un contr�le ind�pendant du transfert de donn�es (article 28 de la Directive 95/46/CE et article 8 de la CEDH) Seule la direction de SWIFT semblait au courant des modalit�s du transfert � l�UST49 avant les communiqu�s de presse de juin 2006 en Belgique. Le contr�le ind�pendant requis en vertu de l�article 28 de la Directive 95/46/CE semble donc en grande partie emp�ch� par le fait que les transferts massifs de donn�es par SWIFT ont �t� trait�s avec la plus grande confidentialit�. Ainsi, ni les institutions financi�res concern�es, ni les autorit�s europ�ennes comp�tentes en mati�re de protection des donn�es n�ont �t� mises au courant du ph�nom�ne massif des sommations am�ricaines. L�exigence d�un contr�le ind�pendant d�coule toutefois �galement du deuxi�me alin�a de l�article 8 de la CEDH. Dans l�affaire Rotaru, la Cour europ�enne des Droits de l�homme a affirm� : "La norme juridique implique, entre autres, qu'une ing�rence de l'ex�cutif dans les droits de l'individu soit soumise � un contr�le efficace que doit normalement assurer, au moins en dernier ressort, le pouvoir judiciaire, car il offre les meilleures garanties d'ind�pendance, d'impartialit� et de proc�dure r�guli�re (�)"50. En maintenant la surveillance massive et secr�te � l'insu des autorit�s europ�ennes comp�tentes en mati�re de protection des donn�es et sans contr�le ind�pendant au sein des Etats-Unis (le seul contr�le a �t� men� par des soci�t�s du secteur priv�, � savoir SWIFT et son auditeur), il y a eu violation des exigences de l�article 28 de la Directive 95/46/CE. 47 Notamment la gestion des membres, la gestion de la client�le, � 48 Loi relative � la pr�vention de l'utilisation du syst�me financier aux fins du blanchiment de capitaux et du financement du terrorisme. 49 Ind�pendamment du fait que la BNB, en tant que "lead overseer", ait �t� inform�e de l�existence de la premi�re sommation et que les institutions financi�res sont cens�es conna�tre la pratique des sommations et le fait que les transactions SWIFT devaient �tre soumises � ces sommations, selon les documents contractuels. 50 "The rule of law implies, inter alia, that interference by the executive authorities with an individual's rights should be subject to effective supervision, which should normally be carried out by the judiciary, at least in the last resort, since judicial control affords the best guarantees of independence, impartiality and a proper procedure (see the Klass and Others judgment cited above, pp. 25-26, � 55)." AV 37 / 2006 - 26 / 28 E.2.7. Interdiction de transmission lors de transferts ult�rieurs � des destinataires de donn�es tels que l�UST (articles 21 de la LVP et 25 et 26 de la Directive 95/46/CE) A d�faut de dispositions d'exception applicables au sens des articles 22 de la LVP et 26 de la Directive 95/46/CE (voir supra), la Commission insiste sur le fait que le transfert de donn�es � l�UST ne peut nullement �tre r�gularis� de mani�re satisfaisante via la conclusion de "dispositions contractuelles" ou de "binding corporate rules" au sein du groupe SWIFT. Tout comme dans le pr�c�dent PNR51, pour ces transferts appel�s ult�rieurs ("onward transfers"), des accords sp�cifiques entre les Etats-Unis et l�Union europ�enne semblent �tre requis afin de s�assurer que le destinataire des donn�es (l�UST) appliquera correctement des r�gles de protection ad�quates conform�ment au droit europ�en. C�est le sens que donne le Groupe 29 aux articles 25 et 26 de la Directive 95/46/CE52. Pour SWIFT, le cadre des accords du GAFI aurait pu servir de point de d�part, mais la question est de savoir pourquoi cette option n�a pas �t� choisie. Vu le fait que le destinataire des donn�es (l�UST) n�a jamais �t� soumis � un niveau de protection ad�quat, conform�ment � l�article 21 de la LVP et � la Directive 95/46/CE, la Commission estime que SWIFT a viol� l�article 21, � 1 de la LVP. Il peut �tre consid�r� comme une faute grave d��valuation dans le chef de SWIFT de soumettre depuis des ann�es, de mani�re secr�te et syst�matique, une quantit� massive de donn�es � caract�re personnel � la surveillance de l�UST sans avoir contact� en m�me temps les autorit�s europ�ennes comp�tentes et la Commission afin de trouver une solution en vertu du droit belge et europ�en. PAR CES MOTIFS, sur la base de son examen g�n�ral, la Commission estime que : - la LVP s'applique � l'�change de donn�es via le service SWIFTNet FIN ; - SWIFT et les institutions financi�res sont conjointement responsables � la lumi�re de la LVP pour les traitements de donn�es � caract�re personnel via le service SWIFTNet FIN ; - SWIFT est responsable du traitement de donn�es � caract�re personnel telles que trait�es via le service SWIFTNet FIN ; - les institutions financi�res sont responsables �tant donn� qu'elles d�terminent �galement la finalit� et les moyens de l'ex�cution des ordres de paiement dans la circulation interbancaire. Les institutions financi�res font proc�der, notamment au niveau interbancaire, au traitement de messages financiers relatifs � ces messages de paiement via le service SWIFTNet Fin ; 51 Depuis d�but janvier 2003, les Etats-Unis ont exig� un acc�s aux Passenger Name Records (les donn�es de voyage et de r�servation, ou "PNR") de tous les passagers sur des vols � destination, en provenance ou en transit aux Etats- Unis. Depuis lors, des solutions sont recherch�es au niveau europ�en quant � l'exigence d'un niveau de protection ad�quat lors du transfert de ces donn�es aux USA. 52 Voir le document de travail du 24 juillet 1998 du Groupe 29 concernant le transfert de donn�es personnelles vers des pays tiers : application des articles 25 et 26 de la directive relative � la protection des donn�es, publi� sur http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/1998_en.htm AV 37 / 2006 - 27 / 28 - en ce qui concerne le traitement normal de donn�es � caract�re personnel dans le cadre du service SWIFTNet FIN, SWIFT aurait d� respecter ses obligations en vertu de la LVP, dont l'obligation d'information, l'obligation de d�claration et l'obligation de pr�voir un niveau de protection ad�quat conform�ment � l'article 21, � 2 de la LVP ; - en ce qui concerne la communication de donn�es � caract�re personnel � l'UST, la Commission estime que SWIFT se trouve en situation de conflit entre le droit am�ricain et europ�en et a au minimum commis un certain nombre de fautes d'�valuation lors du traitement des sommations am�ricaines. Qu'il convient notamment de consid�rer comme une grave erreur d'�valuation dans le chef de SWIFT le fait d'avoir soumis � une surveillance pendant des ann�es une quantit� massive de donn�es � caract�re personnel, ce secr�tement et syst�matiquement, sans justification suffisante et claire et sans contr�le ind�pendant conform�ment au droit belge et europ�en. Dans ce contexte, SWIFT aurait d�, d�s le d�but, �tre consciente du fait que, outre l'application du droit am�ricain, les principes fondamentaux du droit europ�en doivent �galement �tre respect�s, comme le principe de proportionnalit�, le d�lai de conservation limit�, la politique de transparence, l'exigence de contr�le ind�pendant et celle de niveau de protection ad�quat. Ces exigences sont en effet exprim�es dans le deuxi�me alin�a de l'article 8 de la CEDH, la Convention n� 108, la Directive 95/46/CE et la LVP et s'appliquent � SWIFT. La Commission se r�f�re �galement au pr�c�dent international dans le dossier PNR. Les autorit�s comp�tentes en mati�re de protection des donn�es (la Commission, ses pairs et la Commission europ�enne) auraient du �tre inform�es d�s le d�but, ce qui aurait pu permettre d'�laborer une solution au niveau europ�en pour la communication de donn�es � caract�re personnel � l'UST, en respectant les principes pr�cit�s en vigueur dans le droit europ�en. A cet �gard, le gouvernement belge aurait �galement pu �tre sollicit� afin de requ�rir une initiative au niveau europ�en. Vu la mati�re complexe et son importance, la Commission se tient � disposition pour fournir un avis ult�rieur quant � cette probl�matique. L'administrateur, (s�) Jo BARET Vu l�emp�chement du pr�sident, le vice-pr�sident, (s�) Willem DEBEUCKELAERE AV 37 / 2006 - 28 / 28 A. INTRODUCTION................................................................................................................... 2 B. FAITS ET CONTEXTE JURIDIQUE ..................................................................................... 3 B.1. SWIFT .................................................................................................................................. 3 B.1.1. Description du flux de donn�es et donn�es trait�es via le service SWIFTNet FIN ............... 3 B.2. Sommations ("subpoenas")................................................................................................... 5 B.3. Reactie van SWIFT op de dwangbevelen ............................................................................. 6 B.3.1. N�gociations avec l'UST ....................................................................................................... 6 B.3.2. Information aux Autorit�s de contr�le.................................................................................... 7 C. APPLICABILITE DE LA LVP ............................................................................................... 8 C.1. Champ d�application territorial............................................................................................... 8 C.2. Champ d�application mat�riel ................................................................................................ 8 D. APPRECIATION QUANT A SAVOIR SI SWIFT, LES INSTITUTIONS FINANCIERES ET LA BANQUE NATIONALE DE BELGIQUE SONT RESPONSABLES DU TRAITEMENT OU SOUS TRAITANTS ........................................................................................................ 9 D.1. Le traitement de donn�es � caract�re personnel dans le cadre du service SWIFTNet FIN . 9 D.2. L'ex�cution d'ordres de paiement internationaux au moyen du service SWIFTNet FIN ..... 13 D.3. Responsabilit� de la Banque nationale de Belgique ........................................................... 15 E. EXAMEN DES �VENTUELLES VIOLATIONS DE LA LVP............................................... 16 E.1. SWIFT a-t-elle commis des infractions � la LVP dans le cadre du fonctionnement normal du service SWIFTNet FIN ? ..................................................................................................... 16 E.1.1. Base l�gale (article 5 b) de la LVP et article 7 b) de la Directive 95/46/CE) ....................... 16 E.1.2. Obligation d'information (article 9 de la LVP et article 11 de la Directive 95/46/CE)........... 17 E.1.3. Obligation de d�claration (article 17 de la LVP et article 21 de la Directive 95/46/CE)....... 18 E.1.4. Transfert de donn�es � caract�re personnel vers un pays ne pr�sentant pas un niveau de protection ad�quat (articles 21 et 22 de la LVP et articles 25 et 26 de la Directive 95/46/CE) 18 E.2. SWIFT a-t-elle viol� la LVP lors du transfert de donn�es � l�UST ?.................................... 20 E.2.1. Base l�gale (article 5 de la LVP, article 7 b) de la Directive 95/46/CE et article 8 de la CEDH) 20 E.2.2. Principe de proportionnalit� (article 4, � 1, 3� de la LVP) et d�lai de conservation (article 4, � 1, 5� de la LVP) ................................................................................................................ 21 E.2.3. Principe de finalit� ............................................................................................................... 23 E.2.4. Obligation d�information dans le chef de SWIFT (articles 4, � 1, 2� et 9, � 2 de la LVP et article 8 de la CEDH)........................................................................................................... 23 E.2.5. Obligation de d�claration..................................................................................................... 25 E.2.6. Exigence d�un contr�le ind�pendant du transfert de donn�es (article 28 de la Directive 95/46/CE et article 8 de la CEDH)....................................................................................... 25 E.2.7. Interdiction de transmission lors de transferts ult�rieurs � des destinataires de donn�es tels que l�UST (articles 21 de la LVP et 25 et 26 de la Directive 95/46/CE) .............................. 26