OBJECTIF : conclure un accord
entre l’Union européenne et les USA sur le traitement et le transfert de
données de messagerie financière de l’UE aux USA aux fins du programme de
surveillance du financement du terrorisme.
ACTE LÉGISLATIF : Décision
2010/412/UE du Conseil relative à la conclusion de l’accord entre l’Union
européenne et les États-Unis d’Amérique sur le traitement et le transfert de
données de messagerie financière de l’Union européenne aux États-Unis aux
fins du programme de surveillance du financement du terrorisme.
CONTEXTE : le
Conseil JAI du 30 novembre 2009 a autorisé la présidence du Conseil de l’UE à
signer un accord intérimaire entre l’UE et les États-Unis sur le
traitement et le transfert de données de messagerie financière de l’Union européenne
aux États-Unis aux fins du programme de surveillance du financement du
terrorisme. Signé ce même 30 novembre 2009, cet accord intérimaire devait
être d’une durée de 9 mois maximum.
Le 11 février 2010, cependant,
le Parlement européen a adopté une résolution dans laquelle il refusait
d’approuver l’accord intérimaire (voir NLE/2009/0190).
Une lettre signée par le président du Conseil a donc été adressée au
secrétaire d'État américain le 22 février 2010, indiquant qu'à la suite de la
résolution du Parlement, l'Union ne pouvait devenir partie à l'accord
intérimaire et qu'il était mis fin à l'application provisoire de l'accord.
Le 24 mars 2010, la Commission
a adopté une recommandation de la Commission au Conseil afin d’autoriser
l'ouverture de nouvelles négociations en vue d'un accord entre l'UE et les
États-Unis sur le même thème et tenant compte de la position exprimée par le
Parlement dans sa résolution de rejet de l’accord.
Le 5 mai 2010, le Parlement
européen a adopté une nouvelle résolution
dans laquelle il réitérait son point de vue selon lequel l’accord était
nécessaire à condition d’en circonscrire les limites et la finalité (à
savoir, globalement que tout échange d'informations doit être strictement
limité à ce qui est nécessaire aux fins de la lutte contre le terrorisme).
Par sa décision du 11 mai 2010,
le Conseil a finalement autorisé la Commission à ouvrir de nouvelles
négociations au nom de l’Union entre l’UE et les États-Unis en vue de la
conclusion de l’accord, lequel a, en définitive, été signé le 28 juin 2010
sous réserve de sa conclusion à une date ultérieure.
L’accord doit maintenant être
conclu au nom de l’Union européenne.
CONTENU : la décision vise
à conclure au nom de l’UE, l’accord entre UE-USA sur le traitement et le transfert
de données de messagerie financière de l’UE aux États-Unis aux fins du
programme de surveillance du financement du terrorisme.
Les principales dispositions de
l’accord peuvent se résumer comme suit :
- Objet de l’accord :
l’accord vise à garantir, dans le respect intégral de la vie privée, de
la protection des données à caractère personnel, et d'autres conditions
énoncées à l’accord que:
1. les
données de messagerie financière faisant référence à des transferts
financiers et les données connexes qui sont stockées sur le territoire de
l'UE par les fournisseurs de services de messagerie financière internationale
désignés conjointement en vertu de l’accord, sont fournies au département du
Trésor des États-Unis, exclusivement aux fins de la prévention et de la
détection du terrorisme ou de son financement, ainsi que des enquêtes ou
des poursuites en la matière; et
2. les
informations pertinentes obtenues grâce au TFTP (programme de surveillance du
financement du terrorisme connu en anglais sous le nom de «Terrorist
Finance Tracking Program») sont mises à la disposition des services
répressifs, des organismes chargés de la sécurité publique ou des autorités
chargées de la lutte contre le terrorisme des États membres, d'EUROPOL ou
EUROJUST, aux fins de la prévention et de la détection du terrorisme ou de
son financement, ainsi que des enquêtes ou des poursuites en la matière.
- Données concernées :
il s’agit des données de messagerie financière et de données connexes
portant sur les actes d'une personne ou d'une entité qui présentent un
caractère violent, un danger pour la vie humaine ou qui font peser un
risque de dommage à des biens ou à des infrastructures, et qui, compte
tenu de leur nature peuvent être raisonnablement perçus comme étant
perpétrés dans le but i) d'intimider une population ou faire pression
sur elle; ii) d'intimider ou de contraindre des pouvoirs publics
ou une organisation internationale, ou iii) de déstabiliser gravement ou
détruire les structures fondamentales politiques, constitutionnelles,
économiques ou sociales d'un pays ou d'une organisation internationale.
- Garantir la fourniture des
données par les fournisseurs désignés : l'UE devra veiller à ce
que la Société de télécommunications financières interbancaires
mondiales (ou Society for Worldwide Interbank Financial
Telecommunication - SWIFT) fournisse au département américain du
Trésor les données de messagerie financière et les données connexes.
- Demandes des USA visant à
obtenir des données SWIFT : une procédure est prévue pour déterminer
la méthode d’obtention des informations recherchées à destination du
département américain du Trésor.
- Garanties applicables au
traitement des données fournies : le département américain du
Trésor devra prendre les mesures nécessaires pour que les données
fournies soient traitées conformément aux dispositions de l’accord, à
savoir, en obéissant à des dispositions destinées à éviter toute
forme d'exploration des données par profilage algorithmique ou
informatisé, ou tout autre type de filtrage. Le Trésor américain
devra s’engager à protéger les données visées par l’accord sans
discrimination fondée sur la nationalité ou le pays de résidence, et en
appliquant une série de mesures spécifiques de sauvegarde détaillées à
l’accord. Ces mesures visent globalement à faire en sorte que les
données fournies font l’objet d’un traitement sûr et intègre.
- Traitement nécessaire et
proportionné des données : des dispositions sont prévues en vue
de garantir que les recherches effectuées sur les données laissent à penser
que les informations fournies ont un lien avec le terrorisme ou son
financement. Une attention particulière devra être accordée au
traitement des données touchant à l'origine raciale ou ethnique, les
opinions politiques, les convictions religieuses ou autres, ou
l'appartenance à un syndicat, ou relatives à la santé ou à la vie
sexuelle (les "données sensibles").
- Conservation et effacement
de données : au cours de la période durant laquelle l’accord
restera en vigueur, le département américain du Trésor devra évaluer en
permanence (et au moins une fois par an) que les données non extraites
qui ne sont plus nécessaires pour lutter contre le terrorisme ou son
financement sont identifiées. Celles-ci devront alors être effacées dès
que cela sera techniquement possible. En principe, toutes les données
non extraites reçues avant le 20 juillet 2007 devront être effacées au
plus tard le 20 juillet 2012. Les données reçues après cette date
devront être effacées au plus tard 5 ans après leur réception. Au plus
tard 3 ans après la date d'entrée en vigueur de l’accord, la Commission
et le département américain du Trésor devront établir un rapport
conjoint relatif à la valeur des données fournies dans le cadre de
l’accord.
- Transfert ultérieur :
des dispositions sont prévues en vue du transfert ultérieur
d'informations extraites des données fournies mais dans un cadre limité
et strictement réglementé.
- Communication spontanée
d'informations : le département américain du Trésor devra
veiller à mettre le plus rapidement possible à la disposition des
services répressifs, des organismes chargés de la sécurité publique ou
des autorités chargées de la lutte contre le terrorisme des États
membres ainsi que d'EUROPOL et EUROJUST, toute information obtenue dans
le cadre du TFTP qui pourrait contribuer, dans l'Union, à la prévention
et à la détection du terrorisme ou de son financement. Toute information
obtenue dans ce contexte et susceptible de contribuer, aux États-Unis, à
la prévention et à la détection du terrorisme ou de son financement
devra être communiquée en retour aux USA sur une base réciproque.
- Coopération avec un futur
système équivalent de l'UE : pendant la durée de validité de
l’accord, la Commission réalisera une étude au sujet de l'éventuelle
introduction d'un système équivalent propre à l'UE permettant un
transfert plus ciblé de données. Si, à la suite de cette étude, l'UE
décide de mettre en place un système propre, les États-Unis devront
coopérer et offrir conseils et assistance à la mise en place effective
d’un tel système. Le cas échéant, le présent accord fera l’objet d’une
modification.
- Suivi des garanties et
contrôles : le respect de la limitation stricte à l'objectif de
lutte contre le terrorisme ainsi que des autres garanties prévues à
l’accord fait l'objet d'un contrôle et d'un suivi par des contrôleurs
indépendants, y compris par une personnalité désignée par la Commission
en accord avec les États-Unis.
- Garanties diverses :
d’autres dispositions sont prévues en matière de garantie de
transparence sur le fonctionnement de l’accord, de droit d’accès aux
données concernant les personnes ainsi que de droit de rectification,
d'effacement ou de verrouillage des données ou de droit de recours
pour les personnes s’estimant lésées par l’accord.
- Réexamen conjoint :
à la demande d'une des parties et en tout état de cause après un délai
de 6 mois à compter de la date d'entrée en vigueur de l’accord, les
parties devront conjointement réexaminer les dispositions de l’accord en
matière de garanties, de contrôles et de réciprocité. À la suite de ce
réexamen, la Commission présentera un rapport au Parlement européen et
au Conseil sur le fonctionnement global de l’accord.
Cadre légal applicable à
l’extraction des données : conformément à l’avis du Parlement
européen adopté le 8 juillet 2010, la Commission devra soumettre au
Parlement européen et au Conseil, au plus tard un an après la date
d’entrée en vigueur de l’accord, un cadre légal et technique pour
l’extraction des données sur le territoire européen. Dans les 3 ans
suivant la date d’entrée en vigueur de l’accord, la Commission devra ensuite
présenter un rapport d’avancement concernant le développement du système
équivalent de l’UE. Ce rapport permettra non seulement au Parlement de
vérifier si les engagements de la Commission et du Conseil ont bien été
remplis mais aussi d'exiger des modifications éventuelles à l'accord. Si, 5
ans après la date d’entrée en vigueur de l’accord, le système équivalent de
l’UE n’a pas été mis en place, l’Union devra apprécier la possibilité de renouveler
ou non l’accord.
Dispositions territoriales :
l’accord s'appliquera au Royaume-Uni, ce pays ayant notifié à la Commission
son intention de participer à la décision. Le Danemark et l’Irlande ont, en
revanche, choisi de ne pas y participer.
ENTRÉE EN VIGUEUR : la
décision entre en vigueur le 13 juillet 2010. L’accord lui-même entre en
vigueur le 1er août 2010.