28|07|2010

Nouvel accord SWIFT: les autorités de protection des données restent sceptiques

Le 7 juillet, le Parlement européen a approuvé le nouvel accord entre l'UE et les États-Unis sur le transfert à l'administration américaine de données financières relatives à des citoyens européens. En dépit de garanties supplémentaires apportées, la Cnil s’interroge sur l’effectivité des mesures prises et considère que plusieurs sources d’inquiétude subsistent.

Le 11 février dernier, faute de garanties suffisantes en matière de protection des données, le Parlement européen a repoussé l’accord provisoire entre l'Union européenne et les États-Unis, portant sur le transfert et le traitement de données bancaires pour lutter contre le terrorisme - dit Accord "Swift ". Dès le lendemain de ce rejet, les États membres ont unanimement reconnu l’urgence de mettre en place un nouvel "accord Swift " entre l’Union européenne et les États-Unis. De nouvelles négociations ont alors été engagées, aboutissant fin juin à la conclusion d’un nouvel accord. Soumis au vote du Parlement européen le 7 juillet, celui-ci a été largement approuvé et entrera en vigueur dès le 1^er août 2010.

Les eurodéputés ont estimé que cet accord apportait des garanties supplémentaires, notamment en prévoyant, au profit des personnes dont les données sont transférées dans le cadre de l’accord, un droit de recours administratif et judiciaire aux États-Unis, indépendamment de leur nationalité ou de leur lieu de résidence.

Le manque de clarté sur certains points suscite encore des interrogations:

• les transferts massifs de données seront toujours possibles dès lors que Swift ne sera pas techniquement en mesure d'identifier et de produire des données spécifiques afin de répondre aux requêtes américaines.
• le choix d’'Europol comme autorité de filtrage rend perplexe car, si ses compétences sont incontestables, son mandat ne porte pas sur le contrôle de la communication de données personnelles à des pays tiers.
• les transferts ultérieurs ne bénéficieront pas de garanties supplémentaires, notamment en ce qui concerne la durée de conservation, ou encore la limitation des traitements ultérieurs aux finalités pour lesquelles les données ont été initialement collectées.
• les modalités de la revue conjointe de l'accord ne sont pas assez précises. Le rôle exact que joueront les autorités de protection des données européennes reste incertain.

Dans le même esprit, lors de sa séance de juillet, le groupe des Cnil européennes (G29), a réaffirmé qu’il restait très vigilant à l’égard de ce dossier pour les mêmes motifs. Toutefois, la Cnil et le G29 espèrent pouvoir influencer la Commission européenne lors de la rédaction des lignes directrices concernant la revue conjointe et le rôle joué par Europol dans le cadre de sa mission de filtrage des requêtes américaines.

Communiqué Cnil 27 juill. 2010, www.cnil.fr