Par Jean-Claude Paye, sociologue, auteur de
La fin de l’Etat de droit. La Dispute 2004.
Global War on Liberty. Telos Press 2007.
Comme dans l’accord sur la surveillance des passagers européens, signé également en juin 2007, entre l’Union européenne et les Etats-Unis[1], ce nouvel « accord » sur le contrôle des transactions financières, légitimise une situation de fait crée par les USA. Dans les deux cas l’administration américaine s’était emparée illégalement des données personnelles des citoyens européens, avant que l’Union lui reconnaisse ce droit et modifie son ordre juridique à cet effet.
Le 23 juin 2006, le New York Times a mis en lumière l’installation, par la CIA, d’un programme de surveillance des transactions financières internationales. Le journal a mis à jour le fait que la société belge Swift (Society for Worldwide Interbank Financial Communications) a, depuis les attentats du 11 septembre, transmis, au Département du Trésor des Etats-Unis, des dizaines de millions de données confidentielles concernant les opérations de ses clients.
Swift : une société belge qui se soumet au droit américain et qui viole le droit européen.
Swift, société américaine de droit belge, gère les échanges internationaux de quelques huit mille institutions financières situées dans 208 pays. Elle assure le transfert de données relatives aux paiements ou aux titres, y compris les transactions internationales en devises, mais ne fait pas transiter d’argent. Ses services sont devenus indispensables aux banques, sociétés de courtages et bourses.
Les données échangées sont stockées sur deux serveurs. L’un situé en Europe, l’autre aux Etats-Unis. Chacun comprend l’ensemble des données. La société Swift est soumise au droit belge et à celui de la Communauté européenne, du fait de la localisation de son siège social. Les messages interbancaires, échangés sur le réseau Swift, contiennent des données à caractère personnel, protégées par le droit européen.
Cette société est soumise également au droit américain, du fait de la localisation de son second serveur sur le sol des Etats-Unis. Ainsi, la société a ainsi choisi de violer le droit européen, afin de se soumettre aux injonctions de l’exécutif américain.
Dès 2002, la société Swift avait informé ses autorités financières de tutelle, belges et européennes, la Banque nationale de Belgique et la Banque centrale européenne. En fait l’ensemble des banques centrales du G 10 (Canada, Allemagne, France, Italie, Japon, Pays-Bas, Suède, Suisse, Angleterre, Etats-Unis) et des pays alliés des Etats-Unis dans la guerre contre le terrorisme, étaient au courant de la transmission des informations financières[2].
La Banque Nationale Belge n’a pas jugé utile de faire rapport à son gouvernement. La BCE a adopté la même attitude vis à vis de la Commission et du Conseil européens. Son directeur a justifié son silence en indiquant que, comme les injonctions présentées à Swift l’étaient au nom de la lutte antiterroriste, cette information ne pouvait ni être transmise à des tiers, ni rendue publique[3]. Malgré la constatation des multiples violations des droit belge et communautaire, les autorités belges se sont toujours refusées à poursuivre la société Swift.
Une adaptation du droit européen aux exigences américaines
Le débat européen va faire ressortir une opposition entre, d’une part, le Parlement et, d’autre part, la Commission et le Conseil qui ont adopté une position proche du point de vue américain. Le Parlement a surtout insisté sur la nécessité de mettre en place un accord bilatéral qui lie les deux parties. La solution adoptée sera contraire à ses voeux, puisque le texte final prendra la forme d’un engagement unilatéral de la part des Etats-Unis.
La cessation des transferts vers les douanes américaines n’a jamais été envisagée. La transmission des informations n’a d’ailleurs pas cessé après la révélation de l’affaire.
Afin de régulariser les transferts sur le sol américain, une solution a été recherchée en conformité avec la Directive européenne de protection des données. Si celle-ci interdit la transmission de d’informations vers les pays ne présentant pas un niveau de protection adéquat, elle prévoit des exceptions afin de rendre possible, à certaines conditions, des transferts de données personnelles. Ainsi, la société a adhéré aux principes du Safe Harbor, qui « garantit » que les données stockées dans le serveur américain sont protégées par des normes analogues à celles en vigueur dans l’Union européenne.
L’adhésion aux principes du « Safe Harbor » procède par une autocertification de la société adhérente elle-même, sensée fournir des garanties quand aux possibilités de contestation auprès d’autorités indépendantes. Mais, la qualité d’indépendance de ces autorités est peu définie. Le Safe Harbor laisse la personne concernée démunie[4]. C’est à elle de vérifier la situation de conformité ou non de l’organisme américain qui traite des données, c’est à elle de trouver et saisir l’autorité indépendante de contrôle apte à étudier son cas. De plus, si la personne lésée a la capacité d’entamer des poursuites, l’administration américaine peut encore invoquer la notion de « secret d’Etat », afin d’empêcher toute action judiciaire.
Un « accord » unilatéral
Quant au deuxième volet de l’accord[5], celui qui autorise la saisie des données personnelles par l’administration américaine, les négociations, menées en avril 2007 à Washington, aboutissent à un engagement unilatéral de la part des Etats-Unis. Celui-ci est contenu dans une lettre du Département du Trésor. Il ne s’agit donc pas d’un accord bilatéral, comme le souhaitait le Parlement européen, mais bien d’un texte, dont le contenu n’a pas besoin de l’accord des deux parties pour pouvoir être modifié. L’administration des Etats-Unis a la possibilité, sans assentiment, ni même consultation de l’autre partie, de modifier ses engagements, selon l’évolution de la législation américaine ou selon sa volonté d’émettre de nouvelles exigences.
Dans cette lettre, le Département du Trésor donne des garanties purement formelles quant à l’utilisation des données. Il s’engage à les utiliser ou les échanger, avec d’autres agences ou des pays tiers, exclusivement pour lutter contre le terrorisme. Cependant la définition du terrorisme est tellement large qu’elle peut s’appliquer à toute personne ou organisation ciblée par l’administration.
Les données dormantes, qui ne se sont pas avérées nécessaires pour lutter contre le terrorisme, ne seront pas conservées plus de cinq années après leur réception. Ce laisse beaucoup de temps aux agences américaines pour les utiliser selon leur bon vouloir. Le caractère légal de la capture des données indique qu’elles pourraient servir de preuves dans des procédures judiciaires, connexes à la lutte antiterroriste, ou pour toute autre affaire, si l’administration américaine modifie entre-temps ses engagements unilatéraux.
Ces derniers prévoient la désignation d’une personnalité européenne «éminente», désignée par la Commission européenne, qui fera un rapport annuel. Les modalités du contrôle, ainsi que les moyens, mis à la disposition de la « personnalité éminente », ne sont pas précisées.
Des garanties illusoires
Comme garantie du respect de la confidentialité des informations, la lettre, envoyée par la partie américaine, insiste sur l’existence de plusieurs niveaux indépendants de contrôle. Sans apporter d’autres précisions, le texte mentionne « d’autres administrations officielles indépendantes », ainsi qu’un « cabinet d’audit indépendant ». Qu’une administration soit considérée comme une institution indépendante d’une autre administration du même Etat en dit déjà beaucoup sur la formalité de cette autonomie. La même remarque peut être faite en ce qui concerne l’audit indépendant. Ainsi, lorsque l’affaire Swift a éclaté en juin 2006, le gouvernement américain avait déjà déclaré qu’il n’y avait eu aucun abus dans l’utilisation des données, vu que l’accès à celles-ci était contrôlé par une société privée « externe », le groupe Booz Allen. Cette dernière est une des plus importantes sociétés en contrat avec le gouvernement américain. L’interpénétration entre public et privé est organique. Le conseil d’administration de la société privée comprend de nombreux anciens membres du personnel de la défense et du renseignement, notamment des anciens directeurs de la CIA et de la NSA. Cette société est impliquée dans les projets les plus liberticides du gouvernement Bush, dont le défunt projet de surveillance totale des populations, connu sous le nom « Total Information Awareness Program »[6]. Qu’une telle société privée puisse être présentée comme indépendante du pouvoir exécutif des Etats-Unis en dit long sur la solidité des garanties obtenues par les négociateurs européens, ainsi que sur la capacité de la partie européenne d’accepter toutes les allégations de la partie américaine, même celles qui sont le plus sûrement démenties par les faits.
Dès juin 2007, il était prévu que les données Swift inter-européennes ne soient plus transférées aux Etats-Unis, mais sur un second serveur européen. Fin mars 2008, des représentants de la société Swift ont laissé entendre que celui-ci serait situé dans la région de Zurich et serait opérationnel fin 2009[7]. Cette nouvelle procédure est plus conforme à la décision-cadre européenne sur la protection des données personnelles que les principes Save Harbor.
Cependant, l’élément essentiel reste que la décision-cadre prévoit des exceptions en matière police-justice et qu’elle laisse la porte ouverte pour l’accès des autorités américaines aux données financières des ressortissants européens. Simplement « l’accord » devra être adapté en conséquence. Celui-ci est évolutif. Il est construit de manière à pouvoir répondre en permanence à de nouvelles exigences américaines. Rappelons que, en ce qui concerne les données des passagers aériens, les douanes américaines ont directement accès aux terminaux des compagnies situées sur le sol européen. Que cela soit par un tel système ou, plus probablement, par le biais d’injonctions déterminées, les autorités américaines continueront à se faire remettre des données financières européennes. L’alibi du serveur américain ne fonctionnant plus, cela aura pour effet de renforcer encore la souveraineté américaine sur le sol européen. Ce qui est l’objectif fondamental de cette affaire.
Populations européennes sous souveraineté américaine
Rappelons que les services de renseignements américains disposent déjà de tous les moyens pour avoir accès aux données Swift FIN. Rappelons l’existence du système Echelon et du programme de surveillance de la NSA, qui permettent de se saisir des informations électroniques en temps réel. Leur lecture est d’autant plus facile que les systèmes de cryptage, DES, 3DES et AES, des données relatives aux transactions mondiales entre banques, dont les messages Swift, sont tous les trois des standards américains brevetés aux USA. L’exécutif des Etats-Unis se fait donc remettre des données qu’il possède déjà ou qu’il peut obtenir facilement. Le fait d’obliger les sociétés privées à violer le droit européen, ainsi que de pousser les autorités politiques de ce continent à transformer leur légalité, afin d’autoriser cette capture, est l’enjeu principal des exigences américaines. Pour l’exécutif des Etats-Unis, il ne s’agit pas uniquement d’installer un système de contrôle en temps réel des transactions financières internationales, qui met à mal toutes les protections de droit public et privé, mais aussi de le faire accepter par toutes les parties, de le faire légitimer.
Comme l’accord permettant le transfert des données personnelles des passagers aériens, le récent « accord » autorisant la société Swift à transmettre ses informations aux autorités américaines, révèle l’existence d’une structure politique impériale, dans laquelle l’exécutif américain occupe la place de donneur d’ordres et les institutions européennes une simple fonction de légitimation vis à vis de leurs populations.
Dans les deux cas, passagers aériens et affaire Swift, la technique juridique est identique. En fait, il ne s’agit pas d’accords entre deux parties, entre deux puissances formellement souveraines. Il n’existe qu’une seule partie, l’administration des Etats-Unis qui s’adresse directement aux ressortissants européens. Dans les deux textes, le pouvoir exécutif américain réaffirme son droit de disposer de leur données personnelles. En compensation, dans une démarche unilatérale il concède des « garanties » formelles qu’il peut unilatéralement modifier ou supprimer. L’exécutif américain exerce ainsi directement sa souveraineté sur les populations des deux côtés de l’atlantique.
[1] « Passagers aériens sous surveillance », Utopie critique N° 43, janvier 2008.
[2] « La CIA a espionné les flux financiers », Le Monde, le 24 juin 2006.
[3] http://www.ecb.int/pub/pdf/other/070130beresswiftfr.pdf
[4] Yves Poullet, « Les Safe Harbor Principles-Une protection adéquate? », in Actes du colloque de l’International Federation of Computer Law Associations, Paris le 17/06/2000, http://www.juriscom.net/uni/doc/20000617.htm
[5] EU-USA Swift Agreement: 10741/2/07 REV 2, texte déclassifié :
http://www.statewatch.org/news/2008/jan/eu-usa-swift-rev2-10741-7.pdf
[6] « Booz Allen’s extensive ties to government Raise more questions about Swift Surveillance Program, ACLU, le 26/09/2006, http://www.aclu.org/pdfs/safefree/boozallen20060914.pdf
[7] Christian Beutler, « Neues Nervenzentrum für die weltzeite Finanzindustrie », Neue Zürcher Zeitung, Zürich , 27 März 2008.
