Une information citoyenne au service d'une identité européenne
Réactions, commentaires et débats avec des invités

Glossaire interactif des termes de l'Espace de liberté, de sécurité et de justice
Observatoire législatif de l’Espace européen de liberté, de sécurité et de justice
Veille juridique et documentaire axée sur la Charte des droits fondamentaux de l’Union européenne
Actualités des grands projets de l'Union européenne
Dossiers documentaires thématiques
Actualités sur le rôle de l'Union européenne dans le monde
Une information citoyenne au service d'une identité européenne

Conception européenne de la protection des données personnelles: quelle résistance?

pdf mise en ligne :06 07 2006 ( NEA say… n° 16 )

ASILE > Système d'information Schengen

Armistice entre Parlement, Conseil et Commission? L’affaire Swift concernant la transmission d’informations sur les transactions bancaires internationales va-t-elle relancer le débat? La session du Parlement européen et l’examen du rapport de la députée Sophie in’t Veld apporteront une réponse provisoire.
Le Conseil a décidé d’autoriser la Commission européenne à renégocier un nouvel accord sur la remise aux États-Unis des données personnelles sur les passagers aériens dans le cadre de la lutte anti-terroriste. La décision a été entérinée officiellement par le Conseil de l’environnement (26-27 juin). Il a été convenu à l’unanimité de donner un nouveau mandat à la Commission en vue de conclure avant le 30 septembre un nouvel accord avec les États-Unis sur une base juridique différente de l’accord de 2004 (cf. "La Cour de justice annule les décisions concernant le transfert de données des passagers aériens vers les États-Unis", NEA say… n°14). Conformément à l’avis du service juridique du Conseil, il a été convenu de ne pas toucher au contenu de l’accord (engagements et mécanisme) car cela pourrait retarder la conclusion de l’accord avec tous les risques que cela comporterait (cf. Éditorial, NEA say… n°15). Il est à noter que le texte de l’accord prévoit qu’une révision pourra être effectuée en 2007 et que l’accord avec le Canada subira le même sort en temps opportun, bien qu’il n’ait pas été visé par l’arrêt de la Cour.

Tous les protagonistes campent, pour l’instant, sur leurs positions, telles sont les conclusions auxquelles on est tenté de parvenir après avoir suivi le séminaire organisé sur ce sujet par la commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen. La commission avait réuni les principaux protagonistes: la présidence du Conseil, la Commission, le contrôleur européen des données Peter Hustinx, ainsi que les parlementaires nationaux et les représentants des compagnies aériennes. Cette rencontre a été appréciée par tous, tant il est utile d'assurer un échange approfondi d’informations, de réflexions et de commentaires lorsqu’on se trouve dans une phase juridique délicate (ce que tout le monde reconnaît) et que l’on l'on souhaite, comme le Conseil et la Commission, aller de l'avant.

Les arguments échangés par les uns et les autres sont bien connus et ils n’ont pas subi de changements: éviter un vide juridique, créer en ouvrant la boîte de Pandore une situation chaotique (distorsions de concurrence, prolifération d’accords bilatéraux), attiser le mécontentement des États-Unis qui se satisfont de l’accord actuel même s’ils laissent percer un certain désir de renégocier certains points. Lors du sommet de Vienne qui a réuni américains et européens, les États-Unis ont confirmé cette attitude; ils ont su présenter leur ouverture comme une concession et non pas simplement comme l’expression d’une bonne volonté. Les députés européens ont répété leur position traditionnelle, que l’on retrouvera certainement dans le rapport de la députée Sophie in’t Veld sur le projet de recommandation du Parlement européen au Conseil sur le nouvel accord PNR. Leur évaluation de l’accord diffère par rapport à celle de la Commission: les États-Unis doivent appliquer leurs engagements, ce qu’ils ne font pas, et ces engagements doivent être intégrés dans l’accord lui-même; l’évaluation du fonctionnement de l’accord doit être faite de façon conjointe et être rendue publique; le fonctionnement du mécanisme reste obscur. Bref, c’est un mauvais compromis reflétant le rapport de forces, mais il faut concilier tout cela avec la nécessité impérative de trouver très rapidement une solution européenne évitant le manteau d’arlequin d’accords bilatéraux qui créerait une situation inextricable pour les opérateurs. Enfin, il est inacceptable que les autorités américaines retransmettent aux autorités nationales européennes les informations obtenues sans respecter les dispositions européennes. Les parlementaires nationaux présents ont soutenu leurs collègues européens, mais avec la crainte supplémentaire d’avoir à ratifier l’accord. L’un d’entre eux a appelé le Parlement européen à éclairer et à coordonner les positions des parlements nationaux. Les ratifications connaîtront nécessairement des aléas vu leur nombre… qu’importe, puisque la convention de Vienne sur de droit des traités autorise une mise en œuvre provisoire dans l’attente des ratifications. En toute hypothèse, ce nouvel accord restera provisoire puisque sa validité expirera à l’automne 2007. Il s’agirait d’une simple prorogation pour satisfaire aux exigences de l’arrêt de la Cour qui ne s’est pas prononcée sur le contenu. C’est une situation créée par la Cour, situation que la Commission n’a pas créée, ni souhaitée, font remarquer ses représentants très soucieux de ne pas heurter le Parlement et d’apparaître comme coopérant pleinement en toute transparence. Il s’agirait donc de proroger, pour quelques mois, un accord sur l’échanges de données qui, si l’on en croit les représentants des compagnies aériennes, porteraient sur peu de données, à la limite le nom du voyageur et sa destination. Son utilité dissuasive reste à démontrer, ont-ils ajouté: sur plusieurs années, ils dénombrent une petite dizaine d’alertes en provenance du partenaire américain, qui se sont effondrées aussitôt qu’elles étaient connues.

Beaucoup de bruit pour rien, serait-on tenté de conclure hâtivement. Il n’en est rien. Tout d’abord, les représentants des compagnies aériennes nous ont mis en garde: ce problème est en voie d’universalisation, nous disent-il, chacun voudrait "son" PNR, et nous subissons les démarches des pays membres comme des pays tiers. En effet l’affaire PNR révèle un problème d’une grande envergure, elle n’est que la pointe de l’iceberg sur laquelle, si l'on n'y prenait pas garde, viendrait se fracasser la protection de la vie privée et des libertés individuelles dans un contexte d’explosion des nouvelles technologies de l’information (NTIC) dont les conséquences sont encore mal identifiées. Nous sommes donc dans une phase où le débat s’amorce et les discussions pour le renouvellement de l’accord qui s’ouvriront dans quelques mois marqueront un temps fort. Sans doute, et à nouveau, dans l’hypothèse d’un tel débat, s’opposeront partisans du multilatéralisme et partisans du bilatéralisme, c’est-à-dire essentiellement les États-Unis. C’est dans cette perspective que devraient utilement se placer les discussions qui vont avoir lieu autour du rapport de Sophie in’t Veld. La protection des données personnelles ne peut se traiter, comme le réchauffement climatique, qu’au niveau mondial. Le Parlement sera bien inspiré de prendre date pour l’avenir plutôt que de s’opposer au renouvellement de l’accord avec les États-Unis, un accord sur lequel il n’a pas de prise institutionnelle à court terme. Mais a contrario, l’affaire Swift, en chargeant un peu plus la barque, confirme qu’il serait peu sage d’ajourner durablement le débat quels que soient les désagréments qu’il comporte.

L’affaire Swift, qui révèle que les autorités américaines ont pu obtenir, au nom de la lutte contre le terrorisme, le transfert de données financières privées détenues par la société Swift qui gère un système sécurisé d'échange d'information sur les virements bancaires internationaux, présente une certaine similitude avec celle des vols de la CIA et les transferts de prisonniers: c’est la presse américaine qui dévoile les faits (le New York Times dans ce dernier cas, après le Washington Post pour ce qui concerne les vols secret et les "restitutions"), un débat intense apparaît aux États-Unis dans l’opinion publique divisant, comme la question de l’immigration, la classe politique. Le président américain s’est porté avec vigueur en première ligne de la bataille, qualifiant les révélations de "disgraceful" et laissant planer la menace de sanctions graves au nom de la lutte contre le terrorisme. Face à une telle situation, l’Europe apparaît désarmée en l’absence de compétences clairement définies, réparties qu’elles sont entre les branches de l’exécutif et du législatif, le national et le communautaire et au sein de l’Union européenne entre les différents piliers. L’Europe est passive, peut-être mal informée ou simplement complice par omission. Interrogée à chaud, la Commission a fournit sa première analyse de la situation: les compétences sont nationales, d’ailleurs le gouvernement belge, mais aussi le gouvernement néerlandais (la Belgique étant le siège de la firme) a lancé une enquête par la voix de son ministre de la Justice, Laurette Onkelinckx. Chaque Etat membre a un contrôleur des données personnelles. Tous les faits ne sont pas encore connus: il semblerait que seule la filiale américaine ait été sollicitée et seules les données concernant les États-Unis auraient fait l’objet d’un espionnage. Il n’y a pas d’infraction à la législation européenne existante qui, par ailleurs et à première vue, semble incomplète. La proposition de décision cadre pour la protection des données personnelles dans le cadre du troisième pilier (cf "Protection des données personnelles dans le cadre des activités policières et judiciaires", NEA say… n°15) ne concerne que les États-membres et non le transfert éventuel de ces données vers des pays tiers. La proposition vise les données détenues par les autorités publiques et non les données privées. Faut-il modifier cette proposition, s’interroge-t-on? Une telle hypothèse n’est pas exclue. Beaucoup de questions restent posées.

C’est aussi le sentiment des députés socialistes du Parlement européen qui enjoignent la Commission de répondre: "la Commission savait-elle que de telles informations avaient été transmises sans que les personnes concernées en aient eu connaissance ou qu’une autorisation ait été donnée par une autorité judiciaire ou un autre organe compétent?" a clairement questionné Stavros Lambrinidis, par ailleurs vice-président de la commission des libertés civiles, de la justice et des affaires intérieures. Étant donné que la libre circulation des capitaux est une compétence communautaire exclusive, s’étonne le député, comment se fait-il que personne ne semble avoir été informé, ni la Commission, ni les États membres, ni la Banque centrale européenne. Dans le cas contraire, pourquoi la Commission, informée, n’a-t-elle pas informé le Parlement? M. Lambrinidis demande également à la Commission de fournir des explications à propos du rôle institutionnel que Swift joue au niveau national et européen, mais aussi à propos du rôle du Conseil d’administration de Swift, qui est composé dans sa majorité de représentants des Etats membres, des banques centrales et de la Banque centrale européenne. Chacun s’accordait pour déplorer ce qui pourrait être une autre affaire (après celle des avions secrets utilisés pour les restitutions de prisonniers détenus et transférés illégalement), une affaire mettant à mal le droit à la protection de la vie privée des citoyens et autres droits fondamentaux garantis au niveau européen. La députée française, Martine Roure, en charge du rapport sur la proposition de décision-cadre sur la protection des données personnelles dans le cadre du troisième pilier, trouve "surprenant" le fait que le Parlement n’ait pas été informé alors que la semaine prochaine il va examiner la nouvelle proposition de règlement relatif aux informations concernant le donneur d’ordre accompagnant les virements de fonds. Sans doute pourrait-on faire remarquer que Swift n’est pas une banque, ne transfère pas des fonds mais véhicule simplement certaines informations vers le destinataire de ces transferts. Swift admet fournir des services de messagerie protégée à 7 800 institutions financières (banques, sociétés de courtage, gestionnaires de fonds) dans plus de 200 pays pour assurer différents types de transactions: règlements bancaires, services de courtage, etc.

La session plénière du Parlement européen de cette semaine a été l'occasion pour les parlementaires de demander des clarifications. Au cours du débat avec les représentants de la Commission et du Conseil, ils n'ont pu obtenir qu'un état des lieux: la ministre finlandaise des Affaires européennes, Paula Lehtomäki a simplement rappelé, au nom du Conseil, que seules les autorités nationales peuvent enquêter sur les violations du droit à la protection des données. Franco Frattini, représentant la Commission, a confirmé que les informations bancaires transmises par SWIFT relèvent bien du droit communautaire sur la protection des données, mais en ajoutant que les autorités nationales sont les premières responsables de son application correcte. Commission comme Conseil ont assuré les députés de leur volonté de protéger les citoyens contre les atteintes illégales à leurs libertés fondamentales. Le vote d'une résolution du Parlement européen sur ce sujet est prévu pour la fin de session.

Il reste que l'examen du rapport de Martine Roure sur la proposition de décision-cadre sur la protection des données personnelles traitées dans le cadre de la coopération policière et judiciaire en matière pénale (troisième pilier) a été à nouveau reporté, comme lors de la session de juin, pour cause d'absence de réponse du Conseil sur les amendements apportés par les députés. L'examen de ce dossier particulièrement sensible s’est encore compliqué avec l’affaire Swift et la préparation de la recommandation du Parlement, sur rapport de Sophie in’t Veld, concernant l’accord avec les États-Unis sur le transfert des données des passagers aériens (PNR). Les parlementaires s’attendent à une meilleure compréhension de la part de la nouvelle présidence finlandaise. 


► "Protection des données bancaires: les députés veulent des explications sur l'affaire SWIFT", Parlement européen, Infopress, 5 juillet 2006.
"MEPs ask European Central Bank to explain its role in the SWIFT case", European Parliament, Infopress, 5 July 2006.

► Communication de la Commission au Conseil - Dénonciation de l'accord entre la Communauté européenne et les États-Unis d'Amérique sur le traitement et le transfert de données PNR par des transporteurs aériens au bureau des douanes et de la protection des frontières du ministère américain de la sécurité intérieure, COM (2006) 335 du 16 juin 2006.
Communication from the Commission to the Council - Termination of the Agreement between the European Community and the United States of America on the processing and transfer of PNR data by Air Carriers to the United States Department of Homeland Security, Bureau of Customs and Border Protection, COM (2006) 335, 16 June 2006.