SWIFT, ou l’espionnage légalisé des flux financiers par les USA

Le 14 juin 2011

Pour empêcher les Européens de contrôler qu'ils respectent bien le droit européen, les États-Unis ont décidé de ne pas laisser de traces dans leur dispositif de surveillance des transactions bancaires.

L’informatique laisse des traces. A fortiori lorsqu’il s’agit de transactions bancaires. Ce pour quoi a précisément été créé, en 1973, la Society for Worldwide Interbank Financial Telecommunication (SWIFT). SWIFT est une coopérative bancaire belge qui a pour objectif de faciliter les transferts interbancaires dématérialisés, et d’assurer la non-répudiation des transactions entre les 9 000 institutions et banques de 209 pays qui s’en servent pour échanger plusieurs millions de fichiers quotidiennement.

En 2006, le New York Times révélait que les États-Unis espionnaient les transactions financières internationales, dans le cadre de leur programme de lutte antiterroriste mis en place après 2001. Pour cela, ils se fournissaient à la source, en obligeant SWIFT à leur transmettre des millions de transactions, en violation des législations belges et européennes relatives à la protection des données personnelles.

Le Parlement européen, tout comme le groupe Article29 (qui fédère les CNIL européennes), crièrent au scandale. Le Conseil des ministres européens décida de conclure un accord afin de permettre aux États-Unis de continuer à surveiller les transactions bancaires, mais en toute légalité.

Le 4 février 2010, la Commission des libertés civiles (LIBE) du Parlement européen, suivis par les eurodéputés, rejetaient l’accord SWIFT au motif qu’il ne respectait pas pleinement les droits des citoyens européens.

En juillet 2010, les mêmes approuvaient une seconde version de l’accord, après que Washington ait accepté de faire un certain nombre de concessions : les données doivent être “filtrées” par Europol, et les États-Unis doiventjustifier auprès des autorités européennes les raisons de leurs suspicions, modifier les données inexactes et offrir un recours légal aux États-Unis si l’information est détournée de son but“, comme s’en félicitait alors Sylvie Guillaume, eurodéputée socialiste membre titulaire de la Commission LIBE :

Parmi les avancées, citons notamment la restriction des transferts exclusivement à des fins de lutte contre le terrorisme, une limitation raisonnable de la durée de conservation des données, un droit pour les citoyens européens d’accès et de rectification aux données les concernant, et le cas échéant, la possibilité de recours administratifs et judiciaires.

Par ailleurs, une autorité européenne, sera chargée du contrôle de la légitimité des requêtes américaines, et pourra les rejeter si nécessaire.

De “sérieuses préoccupations”

L’autorité de contrôle commune d’Europol (ACC), composé de membres des CNIL européennes et chargée de veiller à ce qu’Europol respecte ces principes de protection des données, a effectué son tout premier contrôle de conformité de l’accord SWIFT en novembre dernier. Mais il a fallu attendre cette fin du mois de mai pour qu’elle le rende public dans un communiqué relayé par la CNIL, où elle soulève “de sérieuses préoccupations au regard de la conformité aux principes de protection des données“.

Alors que l’une des avancées majeures de l’accord consistait à donner à Europol “un rôle de vérification du caractère proportionné et nécessaire des demandes américaines“, afin de lui permettre d’”approuver ou refuser la transmission de données SWIFT vers les États-Unis d’Amérique“, l’ACC s’est retrouvée dans l’incapacité de mener à bien sa mission :

La conclusion la plus importante du contrôle est que les requêtes écrites reçues par Europol ne sont pas suffisamment spécifiques pour permettre de décider s’il convient de les autoriser ou de les refuser.
Il a été constaté que les requêtes américaines étaient trop générales et trop abstraites pour permettre une évaluation correcte de la nécessité des transmissions de données demandées.
En dépit de cela, Europol a autorisé chaque requête reçue.

Pour vérifier le “caractère proportionné et nécessaire des demandes américaines“, les agents d’Europol ont des entretiens verbaux avec leurs homologues américains, qui veulent bien répondre à leurs questions “à la condition qu’aucun enregistrement ne soit réalisé” :

Ce type de procédure empêche l’ACC de vérifier si Europol prend ses décisions à bon droit.
La place significative d’informations orales rend tout audit correct, interne ou externe, mené respectivement par le service de protection des données d’Europol ou par l’autorité de contrôle commune Europol, impossible.

L’an passé, le G29 des CNIL européennes s’était déclaré sceptique quant à la portée de l’accord SWIFT. Elle se déclare aujourd’hui impuissante, et réclame donc aux autorités américaines qu’elles acceptent de laisser des traces écrites de leurs demandes d’accès aux données bancaires.

Et cela fait maintenant 10 ans que cela dure…


Retrouvez l’intégralité des articles de cette “une” spéciale surveillance :
Le fichier français des passagers aériens ne respecte pas la loi informatique et libertés
La conservation des données, ça c’est vraiment CEPD
SWIFT, ou l’espionnage légalisé des flux financiers par les USA
La France, championne d’Europe de la surveillance des télécommunications

Photo CC Rauch Dickson.

Laisser un commentaire

Derniers articles publiés