Examen dans le cadre de l'article 88-4 de la Constitution
Texte déposé au Sénat le 31/03/2010Examen : 07/04/2010 (commission des affaires européennes)
Justice et affaires intérieures
Texte E 5214
Communication de M. Jean Bizet sur
l'ouverture de négociations en vue d'un accord sur le transfert de
données entre l'Union européenne et les États-Unis
(Swift)
(Réunion du 7 avril 2010)
Je vous rappelle que nous avions adopté ici-même une proposition de résolution, le 28 octobre dernier, sur le projet d'accord avec les États-Unis sur le transfert des données financières (dit « accord SWIFT »). Devenue résolution du Sénat le 21 novembre, cette résolution affirmait plusieurs priorités dans la perspective de la conclusion du projet d'accord.
Par la suite, le conseil « JAI » du 30 novembre 2009 avait autorisé la présidence du Conseil à signer cet accord qui devait revêtir un caractère intérimaire avant la conclusion d'un accord à plus long terme. C'est ainsi que cet accord intérimaire devait être d'une durée limitée à neuf mois. Mais, le 11 février 2010, le Parlement européen n'a pas approuvé l'accord. Or, depuis l'entrée en vigueur du traité de Lisbonne, le 1er décembre 2009, cette approbation est indispensable. L'accord intérimaire n'est donc pas entré en vigueur.
Pour autant, la situation qui avait motivé la conclusion d'un accord intérimaire demeure. Depuis la fin 2009, avec la nouvelle architecture SWIFT qui a abouti à rapatrier en Europe les données financières auparavant stockées aux États-Unis, plus de 50 % des données sur lesquelles portaient les injonctions du Trésor américain au titre du programme de lutte contre le financement du terrorisme, ne sont plus stockées aux États-Unis.
C'est pourquoi l'ouverture de nouvelles négociations est envisagée. Mais, cette fois-ci, en vue de la conclusion d'un accord à long terme. Toutefois, il est clair qu'un tel accord ne pourra aboutir que s'il répond aux préoccupations exprimées par le Parlement européen, qui rejoignent les nôtres, concernant la protection des données à caractère personnel.
Je voudrais maintenant examiner, au regard de ces préoccupations, la recommandation présentée par la Commission européenne en vue de l'ouverture de négociations.
1. La finalité de la transmission des données
Selon la résolution du Sénat, la lutte contre le terrorisme doit être la finalité exclusive de la transmission de ces données financières.
La recommandation de la Commission européenne prévoit bien que la lutte contre le terrorisme et son financement sera la finalité exclusive de la transmission des données SWIFT. Nous pouvons donc prendre acte de cette garantie qui est essentielle.
En outre, progrès notable, comme nous l'avions souhaité, cette finalité sera appréciée au sens de l'article 1er de la décision-cadre du 13 juin 2002 qui donne la définition européenne du terrorisme alors que le projet d'accord intérimaire renvoyait à la définition américaine.
Nous avions aussi émis des réserves sur une transmission en masse des données « potentiellement intéressantes ». J'observe que la recommandation précise que la demande de transmission devra être strictement adaptée et proportionnée et que « seule une quantité minimale de données nécessaires aux fins de l'accord » pourra être demandée par le Trésor américain.
Je relève par ailleurs que la recommandation prévoit expressément que l'accord devra garantir le respect intégral des droits fondamentaux, tels que consacrés par l'article 6 du traité sur l'Union européenne, en particulier le droit à la protection de la vie privée en ce qui concerne le traitement des données à caractère personnel. Il devra également garantir le respect intégral des principes de nécessité et de proportionnalité pour ce qui est du droit au respect de la vie privée et familiale.
2. La définition et le rôle des autorités compétentes pour la transmission des données
Selon la résolution du Sénat, la qualité et les missions qu'aura l'autorité européenne responsable de la transmission des données doivent être définies précisément. Cette autorité doit pouvoir exercer un contrôle effectif sur la conformité des demandes aux conditions posées par le projet d'accord et par l'accord bilatéral sur l'entraide judiciaire.
La recommandation de la Commission européenne prévoit qu'une autorité judiciaire publique devra être désignée au sein de l'Union européenne. Elle sera chargée de recevoir les demandes du Trésor américain. Elle sera aussi chargée de vérifier que la demande, qui devra être motivée, satisfait aux exigences de l'accord. J'ajoute que c'est un système dit « push » qui sera utilisé pour la transmission des données en cause. Comme nous l'avons souligné à plusieurs reprises, notamment sur les échanges de données PNR, ce système est plus protecteur puisqu'à la différence du système dit « pull », il prohibe toute intrusion de l'autorité destinataire dans le système d'information.
3. La conservation des données et le partage de l'information
La résolution du Sénat demandait que l'accès aux données soit réservé à des services dûment habilités et pour cette seule finalité et que la communication des données fournies à des tiers soit prohibée.
La recommandation précise que le transfert ultérieur des informations devra être limité aux services répressifs, aux organismes chargés de la sécurité publique et aux organismes chargés de la lutte contre le terrorisme. En outre, ne seront partagées que les données contenues dans des indices spécifiques concernant les suspects identifiés d'actes de terrorisme. Ces informations ne pourront être partagées que pour la fin exclusive de la lutte contre le financement du terrorisme. Ce qui était déjà un acquis de la négociation précédente.
Mais, selon la recommandation, les services concernés pourront être issus d'États tiers. Cela ne va pas sans susciter de fortes interrogations sur la façon dont les garanties que je viens de mentionner pourront être obtenues et leur respect assuré. Je rappelle qu'à la demande de la France, une déclaration du Conseil annexée à l'accord intérimaire précisait que celui-ci « est sans préjudice d'aucune des dispositions de l'accord à long terme, en particulier en ce qui concerne (...) la transmission de données aux États tiers. » Il y a là une question que le Gouvernement pourrait utilement soulever à nouveau au sein du Conseil et sur laquelle nous devrons rester très vigilants.
4. Le délai de conservation des données
Dans sa résolution, le Sénat demandait que le délai de conservation soit proportionné aux finalités de l'accord et que celui-ci détermine un délai raisonnable.
La recommandation prévoit que les données extraites de la base de données ne seront pas conservées pour une durée supérieure à celle nécessaire aux enquêtes et poursuites pour lesquelles elles ont été transmises. Pour les données non extraites, l'accord devra fixer une période maximale de cinq ans et prévoir une évaluation continue et au moins annuelle afin de supprimer le plus rapidement les données qui ne sont pas nécessaires pour la réalisation des objectifs de l'accord.
Pour le PNR européen, le Sénat avait proposé une durée de trois ans, qui pourrait être complétée par un nouveau délai de trois ans pour les données ayant montré un intérêt particulier.
Cette question méritera donc un examen plus approfondi dans le cadre des négociations pour vérifier l'adéquation du délai de cinq ans avec la finalité poursuivie.
5. Le droit des personnes concernées
La résolution du Sénat demandait que des garanties soient établies sur les droits des personnes concernées en particulier pour leur permettre d'exercer un recours administratif ou juridictionnel effectif tant dans un État membre qu'aux États-Unis.
La recommandation de la Commission européenne précise que l'accord devra prévoir le respect du droit à l'information des personnes, de leur droit d'accès, de rectification et, le cas échéant, du droit à la suppression des données. En outre l'exploration (data mining), la manipulation ou l'interconnexion avec d'autres bases de données seront prohibées.
Par ailleurs, l'accord intérimaire précisait que ce droit serait exercé « en application de la législation des États-Unis », laquelle réserve le droit au recours judiciaire aux citoyens et résidents permanents des États-Unis.
Nous avions indiqué que l'on ne pouvait admettre une telle situation dans laquelle les citoyens européens ne disposeraient pas de toutes les voies de recours judiciaire ouverte aux citoyens et résidents permanents des États-Unis.
C'est pourquoi il est très important que la recommandation spécifie que l'accord devra garantir un droit de recours administratif et judiciaire effectif « sur une base non discriminatoire indépendamment de la nationalité » de la personne.
6. La supervision et l'évaluation de l'accord
La résolution du Sénat insistait sur le rôle des autorités de contrôle de la protection des données pour superviser et évaluer la mise en oeuvre de l'accord.
La recommandation précise que l'accord devra prévoir des garanties et contrôles concernant la protection des données « y compris la vérification du respect de ces garanties et contrôles ». Ces garanties et contrôles devront être au moins équivalents à ceux prévus pour les citoyens américains en vertu du droit national américain. Ils devront refléter les normes du Conseil de l'Europe.
En outre, des réexamens réguliers devront être opérés. L'équipe chargée de ces réexamens sera composée de spécialistes de la lutte contre le terrorisme mais aussi de spécialistes de la protection des données. C'est là une garantie essentielle sur laquelle il faudra être très vigilant. Il est en particulier souhaitable que le « G29 » (le groupe des « CNIL européennes) soit étroitement associé à cette procédure.
7. L'accès des Parlements nationaux aux évaluations
La résolution du Sénat demandait que les parlements nationaux aient accès aux résultats de la supervision et à l'évaluation qui sera faite de l'accord.
La recommandation prévoit que, dans l'accord, figure l'obligation pour la Commission européenne de présenter des rapports périodiques au Parlement européen sur le fonctionnement de l'accord. Ces rapports permettront notamment de faire un point sur le partage de l'information avec des pays tiers et sur le respect des obligations en matière de données.
Il me paraît indispensable que les parlements nationaux aient eux-mêmes accès à ces rapports périodiques.
8. La dénonciation de l'accord et la suspension du transfert de données
Enfin, la recommandation spécifie que l'Union européenne devra pouvoir mettre fin immédiatement à l'accord ou exiger immédiatement la suspension du transfert des données financières lorsque les obligations ou les garanties de réciprocité ne seront pas respectées. C'est là aussi une précision importante.
*
Pour conclure, je crois que nous pouvons constater que cette recommandation de la Commission européenne permet de prendre en compte bon nombre des préoccupations que le Sénat avait exprimées sur la base du projet d'accord intérimaire. Le rejet de celui-ci par le Parlement européen pèsera nécessairement sur le déroulement des nouvelles négociations. Le Parlement européen sera, en effet, appelé à se prononcer à nouveau sur l'accord ainsi négocié. On voit ainsi la portée des nouvelles dispositions issues du traité de Lisbonne qui confèrent de nouvelles prérogatives au Parlement européen sur les accords internationaux.
Pour autant, notre vigilance doit demeurer intacte. D'une part, certaines questions qui avaient justifié des observations dans la résolution du Sénat demeurent posées. Je pense en particulier à la transmission des données à des pays tiers que nous avions, pour notre part, souhaité exclure. D'autre part, à travers cette recommandation, ce sont les positions européennes qui s'expriment. Reste à voir quelles seront les positions américaines et la disposition des États-Unis à répondre à cette demande de garanties supplémentaires.
C'est pourquoi nous devrons rester attentifs au déroulement de la négociation pour que l'enjeu d'efficacité de la lutte contre le terrorisme que nous partageons se concilie avec un autre enjeu tout aussi essentiel de protection des droits fondamentaux, en particulier des données personnelles.
Ce n'est que sous cette réserve que nous pouvons prendre acte de cette recommandation de la Commission européenne en vue de l'ouverture de nouvelles négociations avec les États-Unis.
Compte rendu sommaire du débat
M. Robert del Picchia :
La question de Swift pose un vrai problème de défense des libertés publiques et notamment de protection des données, au même titre que le dossier du système d'information Schengen II (SIS II) relatif aux données personnelles dans le cadre de Schengen. Les premiers tests du SIS II, qui ont été réalisés au mois de janvier, ne se sont pas avérés satisfaisants. Au mois d'avril, le Conseil devrait prendre une décision pour savoir si l'on poursuit ou non sur la voie de SIS II. Si l'on décide alors d'abandonner SIS II, il faudra en revenir à SIS I, qu'il faudra améliorer et rendre plus performant. Je rappelle que SIS II coûte beaucoup plus cher que SIS I, et que le contrôle des données personnelles dans le cadre de SIS II est très insuffisant.
M. Pierre-Bernard Reymond :
La réciprocité est-elle acquise avec les États-Unis ?
M. Jean Bizet :
C'est un des points figurant dans le mandat de négociation.
M. Robert Badinter :
Les États-Unis sont toujours prêts à aller très loin, tant qu'il n'est pas question de réciprocité. Ce sujet est vraiment très important et il intéresse beaucoup de nos collègues. Il devrait faire l'objet d'un suivi.
M. Jean Bizet :
L'ouverture des négociations passera en Conseil JAI le 22 avril. Une fois que cette étape sera franchie, il nous faudra suivre de près les négociations. Il importe donc que ce dossier soit suivi régulièrement par un membre de notre commission.