Accord UE/États-Unis: traitement et le transfert de données de messagerie financière aux fins du programme de surveillance du financement du terrorisme

2010/0178(NLE)

OBJECTIF : conclure un accord entre l’Union européenne et les USA sur le traitement et le transfert de données de messagerie financière de l’UE aux USA aux fins du programme de surveillance du financement du terrorisme.

ACTE LÉGISLATIF : Décision 2010/412/UE du Conseil relative à la conclusion de l’accord entre l’Union européenne et les États-Unis d’Amérique sur le traitement et le transfert de données de messagerie financière de l’Union européenne aux États-Unis aux fins du programme de surveillance du financement du terrorisme.

CONTEXTE : le Conseil JAI du 30 novembre 2009 a autorisé la présidence du Conseil de l’UE à signer un accord intérimaire entre l’UE et les États-Unis sur le traitement et le transfert de données de messagerie financière de l’Union européenne aux États-Unis aux fins du programme de surveillance du financement du terrorisme. Signé ce même 30 novembre 2009, cet accord intérimaire devait être d’une durée de 9 mois maximum.

Le 11 février 2010, cependant, le Parlement européen a adopté une résolution dans laquelle il refusait d’approuver l’accord intérimaire (voir NLE/2009/0190). Une lettre signée par le président du Conseil a donc été adressée au secrétaire d'État américain le 22 février 2010, indiquant qu'à la suite de la résolution du Parlement, l'Union ne pouvait devenir partie à l'accord intérimaire et qu'il était mis fin à l'application provisoire de l'accord.

Le 24 mars 2010, la Commission a adopté une recommandation de la Commission au Conseil afin d’autoriser l'ouverture de nouvelles négociations en vue d'un accord entre l'UE et les États-Unis sur le même thème et tenant compte de la position exprimée par le Parlement dans sa résolution de rejet de l’accord.

Le 5 mai 2010, le Parlement européen a adopté une nouvelle résolution dans laquelle il réitérait son point de vue selon lequel l’accord était nécessaire à condition d’en circonscrire les limites et la finalité (à savoir, globalement que tout échange d'informations doit être strictement limité à ce qui est nécessaire aux fins de la lutte contre le terrorisme).

Par sa décision du 11 mai 2010, le Conseil a finalement autorisé la Commission à ouvrir de nouvelles négociations au nom de l’Union entre l’UE et les États-Unis en vue de la conclusion de l’accord, lequel a, en définitive, été signé le 28 juin 2010 sous réserve de sa conclusion à une date ultérieure.

L’accord doit maintenant être conclu au nom de l’Union européenne.

CONTENU : la décision vise à conclure au nom de l’UE, l’accord entre UE-USA sur le traitement et le transfert de données de messagerie financière de l’UE aux États-Unis aux fins du programme de surveillance du financement du terrorisme.

Les principales dispositions de l’accord peuvent se résumer comme suit :

  • Objet de l’accord : l’accord vise à garantir, dans le respect intégral de la vie privée, de la protection des données à caractère personnel, et d'autres conditions énoncées à l’accord que:

1.     les données de messagerie financière faisant référence à des transferts financiers et les données connexes qui sont stockées sur le territoire de l'UE par les fournisseurs de services de messagerie financière internationale désignés conjointement en vertu de l’accord, sont fournies au département du Trésor des États-Unis, exclusivement aux fins de la prévention et de la détection du terrorisme ou de son financement, ainsi que des enquêtes ou des poursuites en la matière; et

2.     les informations pertinentes obtenues grâce au TFTP (programme de surveillance du financement du terrorisme connu en anglais sous le nom de «Terrorist Finance Tracking Program») sont mises à la disposition des services répressifs, des organismes chargés de la sécurité publique ou des autorités chargées de la lutte contre le terrorisme des États membres, d'EUROPOL ou EUROJUST, aux fins de la prévention et de la détection du terrorisme ou de son financement, ainsi que des enquêtes ou des poursuites en la matière.

  • Données concernées : il s’agit des données de messagerie financière et de données connexes portant sur les actes d'une personne ou d'une entité qui présentent un caractère violent, un danger pour la vie humaine ou qui font peser un risque de dommage à des biens ou à des infrastructures, et qui, compte tenu de leur nature peuvent être raisonnablement perçus comme étant perpétrés dans le but i) d'intimider une population ou faire pression sur elle;  ii) d'intimider ou de contraindre des pouvoirs publics ou une organisation internationale, ou iii) de déstabiliser gravement ou détruire les structures fondamentales politiques, constitutionnelles, économiques ou sociales d'un pays ou d'une organisation internationale.
  • Garantir la fourniture des données par les fournisseurs désignés : l'UE devra veiller à ce que la Société de télécommunications financières interbancaires mondiales (ou Society for Worldwide Interbank Financial Telecommunication - SWIFT) fournisse au département américain du Trésor les données de messagerie financière et les données connexes.
  • Demandes des USA visant à obtenir des données SWIFT : une procédure est prévue pour déterminer la méthode d’obtention des informations recherchées à destination du département américain du Trésor.
  • Garanties applicables au traitement des données fournies : le département américain du Trésor devra prendre les mesures nécessaires pour que les données fournies soient traitées conformément aux dispositions de l’accord, à savoir, en obéissant à des dispositions destinées à éviter toute forme d'exploration des données par profilage algorithmique ou informatisé, ou tout autre type de filtrage. Le Trésor américain devra s’engager à protéger les données visées par l’accord sans discrimination fondée sur la nationalité ou le pays de résidence, et en appliquant une série de mesures spécifiques de sauvegarde détaillées à l’accord. Ces mesures visent globalement à faire en sorte que les données fournies font l’objet d’un traitement sûr et intègre.
  • Traitement nécessaire et proportionné des données : des dispositions sont prévues en vue de garantir que les recherches effectuées sur les données laissent à penser que les informations fournies ont un lien avec le terrorisme ou son financement. Une attention particulière devra être accordée au traitement des données touchant à l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou autres, ou l'appartenance à un syndicat, ou relatives à la santé ou à la vie sexuelle (les "données sensibles").
  • Conservation et effacement de données : au cours de la période durant laquelle l’accord restera en vigueur, le département américain du Trésor devra évaluer en permanence (et au moins une fois par an) que les données non extraites qui ne sont plus nécessaires pour lutter contre le terrorisme ou son financement sont identifiées. Celles-ci devront alors être effacées dès que cela sera techniquement possible. En principe, toutes les données non extraites reçues avant le 20 juillet 2007 devront être effacées au plus tard le 20 juillet 2012. Les données reçues après cette date devront être effacées au plus tard 5 ans après leur réception. Au plus tard 3 ans après la date d'entrée en vigueur de l’accord, la Commission et le département américain du Trésor devront établir un rapport conjoint relatif à la valeur des données fournies dans le cadre de l’accord.
  • Transfert ultérieur : des dispositions sont prévues en vue du transfert ultérieur d'informations extraites des données fournies mais dans un cadre limité et strictement réglementé.
  • Communication spontanée d'informations : le département américain du Trésor devra veiller à mettre le plus rapidement possible à la disposition des services répressifs, des organismes chargés de la sécurité publique ou des autorités chargées de la lutte contre le terrorisme des États membres ainsi que d'EUROPOL et EUROJUST, toute information obtenue dans le cadre du TFTP qui pourrait contribuer, dans l'Union, à la prévention et à la détection du terrorisme ou de son financement. Toute information obtenue dans ce contexte et susceptible de contribuer, aux États-Unis, à la prévention et à la détection du terrorisme ou de son financement devra être communiquée en retour aux USA sur une base réciproque.
  • Coopération avec un futur système équivalent de l'UE : pendant la durée de validité de l’accord, la Commission réalisera une étude au sujet de l'éventuelle introduction d'un système équivalent propre à l'UE permettant un transfert plus ciblé de données. Si, à la suite de cette étude, l'UE décide de mettre en place un système propre, les États-Unis devront coopérer et offrir conseils et assistance à la mise en place effective d’un tel système. Le cas échéant, le présent accord fera l’objet d’une modification.
  • Suivi des garanties et contrôles : le respect de la limitation stricte à l'objectif de lutte contre le terrorisme ainsi que des autres garanties prévues à l’accord fait l'objet d'un contrôle et d'un suivi par des contrôleurs indépendants, y compris par une personnalité désignée par la Commission en accord avec les États-Unis.
  • Garanties diverses : d’autres dispositions sont prévues en matière de garantie de transparence sur le fonctionnement de l’accord, de droit d’accès aux données concernant les personnes ainsi que de droit de rectification, d'effacement ou de verrouillage des données ou de droit de recours pour les personnes s’estimant lésées par l’accord.
  • Réexamen conjoint : à la demande d'une des parties et en tout état de cause après un délai de 6 mois à compter de la date d'entrée en vigueur de l’accord, les parties devront conjointement réexaminer les dispositions de l’accord en matière de garanties, de contrôles et de réciprocité. À la suite de ce réexamen, la Commission présentera un rapport au Parlement européen et au Conseil sur le fonctionnement global de l’accord.

Cadre légal applicable à l’extraction des données : conformément à l’avis du Parlement européen adopté le 8 juillet 2010, la Commission devra soumettre au Parlement européen et au Conseil, au plus tard un an après la date d’entrée en vigueur de l’accord, un cadre légal et technique pour l’extraction des données sur le territoire européen. Dans les 3 ans suivant la date d’entrée en vigueur de l’accord, la Commission devra ensuite présenter un rapport d’avancement concernant le développement du système équivalent de l’UE. Ce rapport permettra non seulement au Parlement de vérifier si les engagements de la Commission et du Conseil ont bien été remplis mais aussi d'exiger des modifications éventuelles à l'accord. Si, 5 ans après la date d’entrée en vigueur de l’accord, le système équivalent de l’UE n’a pas été mis en place, l’Union devra apprécier la possibilité de renouveler ou non l’accord.

Dispositions territoriales : l’accord s'appliquera au Royaume-Uni, ce pays ayant notifié à la Commission son intention de participer à la décision. Le Danemark et l’Irlande ont, en revanche, choisi de ne pas y participer.

ENTRÉE EN VIGUEUR : la décision entre en vigueur le 13 juillet 2010. L’accord lui-même entre en vigueur le 1er août 2010.