Nouveau projet d'accord sur les transferts de données financières entre l'UE et les États-Unis: le CEPD demande des améliorations supplémentaires en matière de protection des données

Le Contrôleur européen de la protection des données (CEPD) a publié aujourd'hui un avis sur le projet d'accord de la Commission européenne avec les États-Unis relatif au programme de surveillance du financement du terrorisme (TFTP) en vue de permettre aux autorités américaines l'accès aux données financières basées en Europe et gérées par la société de droit belge SWIFT, dans le cadre d'enquêtes anti-terroristes ^(*). Suite à la décision du Parlement européen de s'opposer à l'accord intérimaire en février dernier, le nouveau projet vise notamment à répondre aux préoccupations en matière de vie privée et de protection des données.

Le CEPD accueille favorablement certaines des améliorations de la proposition par rapport à l'accord intérimaire, en particulier l'exclusion des données relatives à l'Espace unique de paiement en euros, une définition plus restreinte du terrorisme, et des garanties plus élevées en ce qui concerne les droits des citoyens en matière de protection des données. Il souligne toutefois que la nécessité de l'accord proposé doit être clairement établie, principalement par rapport à d'autres instruments existants moins intrusifs pour la vie privée ^(**). Le CEPD exprime également ses préoccupations concernant le projet visant à permettre des transferts de quantités massives de données bancaires aux autorités américaines ("transferts de masse"). Il souligne en outre les éléments essentiels qui devraient être améliorés du point de vue de la protection des données, en particulier en ce qui concerne la conservation des données, la force exécutoire des droits des citoyens en matière de protection des données, le contrôle judiciaire et la supervision indépendante.

Peter Hustinx, CEPD, déclare: "Je suis pleinement conscient que la lutte contre le terrorisme et le financement du terrorisme peuvent exiger des restrictions au droit à la protection des données à caractère personnel. Toutefois, compte tenu de la nature intrusive du projet d'accord, qui prévoit des transferts massifs de données aux États-Unis, la nécessité d'un tel régime doit d'abord être clairement établie, en particulier au regard des instruments déjà existants. Même si tel était le cas, d'autres éléments devraient cependant être améliorés afin de satisfaire les conditions du cadre juridique européen pour la protection des données."

En outre, le CEPD recommande aux négociateurs de:

• s'assurer que les transferts de masse soient remplacés par des mécanismes permettant aux données financières d'être filtrées dans l'Union européenne et veiller à ce que seules les données pertinentes et nécessaires soient envoyées aux autorités américaines;
• réduire considérablement la période de conservation des "données non extraites" (données auxquelles les autorités américaines policières et judiciaires n'ont pas accédé dans le cadre des enquêtes liées au terrorisme);
• confier la tâche d'évaluation des demandes du Trésor américain à une autorité judiciaire publique, en conformité avec le mandat de négociation et le cadre juridique européen actuel de protection des données;
• veiller à ce que les droits de protection des données conférés aux citoyens par la proposition soient clairement énoncés et applicables, y compris dans le territoire américain;
• renforcer l'indépendance du système de surveillance et les mécanismes de supervision.

(*) La proposition de la Commission a été motivée par des changements dans l'architecture de SWIFT qui, à partir du 1^er Janvier 2010, garantit que les données financières de SWIFT qui sont internes à l'Espace économique européen et à la Suisse resteront dans la zone européenne - et non dans la zone transatlantique - et ne seront plus transférées au centre d'exploitation américain.

(**) Voir par exemple l'accord entre l'Union européenne et les États-Unis en matière d'entraide judiciaire qui permet l'échange d'informations bancaires et financières entre les autorités policières et judicaires.