Avis relatif à la transmission de données à
Contents
1. AV 37 2006 25 28 E 2 7 Interdiction de transmission lors de transferts ult rieurs des destinataires de donn es tels que PUST articles 21 de la LVP et 25 et 26 de la Directive 95 46 CE A d faut de dispositions d exception applicables au sens des articles 22 de la LVP et 26 de la Directive 95 46 CE voir supra la Commission insiste sur le fait que le transfert de donn es PUST ne peut nullement tre r gularis de mani re satisfaisante via la conclusion de dispositions contractuelles ou de binding corporate rules au sein du groupe SWIFT Tout comme dans le pr c dent PNR pour ces transferts appel s ult rieurs onward transfers des accords sp cifiques entre les Etats Unis et l Union europ enne semblent tre requis afin de s assurer que le destinataire des donn es PUST appliquera correctement des r gles de protection ad quates conform ment au droit europ en C est le sens que donne le Groupe 29 aux articles 25 et 26 de la Directive 95 46 CE Pour SWIFT le cadre des accords du GAFI aurait pu servir de point de d part mais la question est de savoir pourquoi cette option n a pas t choisie Vu le fait que le destinataire des donn es PUST n a jamais t soumis un niveau de protection ad quat conform ment l article 21 de la LVP et la Directive 95 46 CE la Commission estime que SWIFT a viol l article 21 1 de la LVP Il peut tre consid r comme une faute grave2. D 3 Responsabilit de la Banque nationale de Belgique Par un projet de r solution commun du 5 juillet 2006 le Parlement europ en a exprim le souhait l gard des Etats membres de v rifier et de veiller qu il n existe pas de vide juridique au niveau national et que la l gislation communautaire en mati re de protection des donn es s applique galement aux banques centrales Il a d s lors t demand aux Etats membres de transmettre les r sultats de cette v rification la Commission europ enne au Conseil et au Parlement europ en La Commission tablit que la BNB en tant que overseer n a d termin ni la finalit ni les moyens du traitement de donn es caract re personnel via le service SWIFTNet FIN La BNB ne peut d s lors pas tre responsable au sens de la LVP en ce qui concerne le traitement pr cit La BNB en tant que overseer a bien t inform e par SWIFT en f vrier 2002 de l existence d une sommation am ricaine Etant donn le projet de r solution pr cit la Commission a souhait v rifier aupr s de la BNB en tant que overseer le contenu concret de l oversight et dans quelle mesure la BNB consid re comme tant sa t che de veiller ce que SWIFT ait suffisamment couvert les risques juridiques tels que les risques en mati re de protection de la vie priv e La BNB a r pondu ce qui suit dans une lettre du 28 ao t 2006 En vertu de l article 8 de sa Loi organique
3. La question est de savoir si SWIFT les institutions financi res ou la Banque nationale de Belgique doivent tre qualifi s de responsables du traitement ou de sous traitants La responsabilit du respect de la LVP est en principe impos e au responsable du traitement L article 1 4 de la LVP d finit le responsable du traitement comme la personne morale qui seule ou conjointement avec d autres d termine les finalit s et les moyens du traitement de donn es caract re personnel Le sous traitant est par contre la personne physique ou morale l association de fait ou l administration publique qui traite des donn es caract re personnel pour le compte du responsable du traitement et est autre que la personne qui plac e sous l autorit directe du responsable du traitement est habilit e traiter les donn es La distinction entre les deux qualifications a des cons quences tr s importantes en ce qui concerne le respect de la LVP le sous traitant a en principe une responsabilit plus limit e au regard de la LVP et les personnes concern es ne peuvent en principe exercer leurs droits qu aupr s du responsable La d finition l gale l article 1 4 de la LVP est imp rative et l on ne peut y d roger par des conventions contractuelles Pour d terminer qui est responsable la LVP pr voit essentiellement un crit re fonctionnel La question est en d autres termes de savoir qui avait une emprise sur le t
4. la BNB veille au bon fonctionnement des syst mes de compensation et de paiements Cette mission se rapporte aux t ches du Syst me europ en de banques centrales SEBC en particulier l article 22 des statuts du SEBC Cette mission tr s sp cifique des banques centrales est connue sous le terme oversight Cette activit est exerc e dans une perspective de syst me o le bon fonctionnement du syst me global de compensation ou de paiement occupe une position centrale afin de garantir la stabilit financi re et d viter lesdits risques syst me avec un effet domino de faillites bancaires Elle ajoute que La Banque en sa qualit de overseer n a aucune responsabilit pour les actes de SWIFT L approbation ou la d sapprobation des d cisions op rationnelles financi res juridiques ou concernant le droit des soci t s du management n est pas demand e la Banque par SWIFT et n est pas non plus obtenue et que les banques centrales du G 10 se sont concert es dans le courant de 2002 concernant l affaire des sommations am ricaines et sont arriv es la conclusion que ces sommations ne relevaient pas de l oversight des banques centrales Aucun nouvel l ment n a ensuite t fourni obligeant le Senior Level Oversight Group revoir cette conclusion Traduction r alis e par le secr tariat de la Commission en l absence d une traduction officielle Il ressort des l ments pr cit s que le r
5. uvre pour le traitement d un ordre de paiement donn Elles ont le choix d utiliser ou non le service de SWIFT pour l envoi de messages financiers relatifs des transactions individuelles Elles peuvent au besoin utiliser ou d velopper des services alternatifs ou concurrents pour l envoi de ces messages financiers dans la circulation interbancaire e mail fax t l phone une banque de correspondance Les choix ce niveau d termineront les caract ristiques globales en mati re de vie priv e concernant les ordres de paiement que l institution financi re traite Etant donn la diversit des services au niveau interbancaire les institutions financi res sont libres quant au choix du service interbancaire de se laisser guider par des l ments tels que la politique de protection de la vie priv e du prestataire professionnel outre la protection des informations qui est bien entendu toujours requise Les institutions financi res peuvent utiliser titre de garantie une forte politique de protection de la vie priv e d un certain prestataire ou une certaine solution comme un VPN afin de garantir au maximum leurs services et la confiance de leurs clients e Les institutions financi res connaissent le cadre contractuel du service SWIFTNet FIN Il ressort de la documentation contractuelle Data Retrieval Policy et de la politique de SWIFT en mati re de compliance que les clients de SWIFT taient au courant du principe g
6. Afin d exclure tout doute rien dans ce document de politique ou plus g n ralement dans les obligations de confidentialit de SWIFT l gard de ses clients ne sera consid r comme un obstacle pour SWIFT pour extraire utiliser ou communiquer des donn es relatives la circulation ou des donn es issues de messages pour autant que cela soit raisonnablement n cessaire afin de respecter une sommation s rieuse ou une autre proc dure l gale par un tribunal ou une autre autorit comp tente For the avoidance of any doubt nothing in this policy or more generally SWIFT s obligations of confidence to customers shall be construed as preventing SWIFT from retrieving using or disclosing traffic or message data as reasonably necessary to comply with a bona fide subpoena or other lawful process by a court or other competent authority En r action un rapport d une r union avec la Commission du 22 ao t 2006 AV 37 2006 14 28 Etant donn les consid rations qui pr c dent la Commission estime que les institutions financi res actives dans la circulation des paiements internationaux sur le plan business to business interbancaire peuvent galement d terminer la finalit et les moyens des traitements qui leur sont confi s le traitement d ordres de paiement de leurs clients Dans la mesure o le service SWIFTNet FIN est utilis elles peuvent conjointement avec SWIFT tre consid r es comme coresponsables du traitement
7. et d un tablissement fixe sur le territoire belge ind pendamment de la question de savoir si SWIFT est le responsable du traitement question qui sera trait e ci apr s SWIFT a fait r f rence au fait que le centre de traitement aux Etats Unis n a nullement une personnalit juridique distincte et qu il n est pas du tout question de communiquer des donn es une soci t externe en dehors de l Union europ enne dans le cadre du traitement interne normal du service SWIFTNet FIN Du point de vue du droit des soci t s SWIFT conclut sur cette base que le traitement a toujours t soumis aux r gles auxquelles la soci t belge est assujettie parce que le centre de traitement pourrait juridiquement tre identifi SWIFT SCRL Elle en d duit que la protection en vertu du droit belge s applique galement son centre de traitement aux Etats Unis Bien que SWIFT ait utilis cet argument du droit des soci t s afin de mettre en cause l application des articles 21 et 22 de la LVP voir infra la Commission fait remarquer que cet argument peut aussi confirmer que le traitement de donn es caract re personnel est soumis au droit belge y compris la LVP C 2 Champ d application mat riel Il ressort clairement de la description du flux de donn es et des donn es trait es via le service SWIFTNet FIN voir supra la rubrique B 1 qu il est question d un traitement de donn es caract re personnel au s
8. pr cis plusieurs reprises que SWIFT ne communiquait les donn es que pour des recherches sp cifiques au terrorisme dans la d claration relative la compliance du 23 juin 2006 et les mises jour de cette d claration apr s cette date La Commission constate en outre que la politique sans commentaire de SWIFT en mati re de compliance semble en contradiction avec l exigence de transparence qui d coule de la Directive 95 46 CE et du deuxi me alin a de l article 8 de la CEDH Cette politique semble inspir e en grande partie des obligations strictes de confidentialit impos es SWIFT dans le cadre de recherches individuelles de PUST par les r gles g n rales de confidentialit et le devoir de discr tion en vigueur dans le monde des services financiers et enfin par les int r ts commerciaux et le risque au niveau de la r putation de SWIFT Il faut toutefois se poser la question d licate de savoir o doit tre trouv l quilibre entre le haut degr de confidentialit offert par SWIFT au syst me et l ampleur des traitements la suite des sommations et d autre part les diverses obligations de transparence que SWIFT en tant que responsable assume en vertu des articles 4 amp 1 2 de la LVP exigence de la d finition de la finalit dans la politique vie priv e et 9 2 de la LVP obligation d information D autre part on se demande jusqu quel point SWIFT pouvait ET devait informer les institutio
9. 18 28 Ce transfert a lieu quotidiennement et massivement 11 millions de messages par jour d but 2006 Apr s transfert aux centres de traitement les donn es sont soumises l ensemble des op rations qui sont propres au service SWIFTNet FIN La Commission observe qu une protection pouss e ou un cryptage de donn es caract re personnel n emp che pas que le transfert de donn es cod es soit toujours soumis aux articles 21 et 22 de la LVP La Commission estime par ailleurs que les exceptions pr vues l article 22 de la LVP ne peuvent tre invoqu es pour le traitement via le service SWIFTNet FIN Etant donn les alternatives et les services concurrents qui existent sur le march des paiements internationaux un recours au service SWIFTNet FIN peut encore difficilement tre consid r comme n cessaire pour toute institution financi re pour effectuer un ordre de paiement Enfin la notion de motif d int r t public important doit toujours tre interpr t e dans l ordre juridique belge conform ment aux normes juridiques valables en Belgique comme l article 8 de la CEDH SWIFT a avanc que le placement en miroir des centres de traitement est consid r comme un l ment critique pour le syst me financier mondial Elle affirme que le placement en miroir lui a t impos par les overseers banques centrales du G 10 pour des raisons de s curit et de fiabilit tant donn que l infrastructure de SWIFT est consid
10. assassination kidnapping or hostage taking This includes but is not limited to activities engaged in by known terrorist organizations but excludes activities of recognized governments AV 37 2006 5 28 noire black box ou production database qui est conserv e dans les installations de l UST Dans cette bo te noire a lieu un d cryptage automatique au moyen d un outil logiciel de recherche labor par l UST et propri t de ce dernier apr s quoi l UST peut effectuer des recherches par nom Ce logiciel de recherche qui n est pas disponible pour SWIFT v rifie si certains noms de suspects d finis au pr alable apparaissent dans les messages SWIFT et l UST ont convenu cet gard que l UST ne peut effectuer que des demandes cibl es qui sont li es des enqu tes ponctuelles sur des activit s terroristes Apr s demande formelle cet gard par la Commission SWIFT ne lui a fourni aucun chiffre pr cis quant au nombre de messages qui se trouveraient dans la bo te noire Elle a justifi cela en affirmant que l UST avait jug que ces informations taient importantes pour la s curit nationale Il a galement t communiqu que ces informations ne pouvaient tre divulgu es que par l UST apr s application de la proc dure de s curit ad quate pour des fonctionnaires belges ayant une habilitation de s curit ad quate Cependant on peut d duire du champ d application g n ral des sommations et du
11. carpetsweeping dans une premi re phase voir ci apr s Le champ d application des sommations est tant mat riel que territorial et tr s large dans le temps et est d fini dans les sommations et dans la correspondance de n gociation entre l UST et SWIFT Les sommations ont t appliqu es pour toutes les transactions qui ont ou peuvent avoir un rapport avec le terrorisme concernant x pays et juridictions cette date ou de variant d une plusieurs semaines dans et ou en dehors des Etats Unis Il s agit donc tant de messages sur des transactions interbancaires au sein des Etats Unis vers ou depuis les Etats Unis qu en dehors des Etats Unis comme par exemple dans l Union europ enne Il ressort en outre des informations communiqu es que l UST part dans ses sommations d une d finition large du terrorisme comme tant la lutte contre des attentats de terroristes contre les Etats Unis qui ont eu lieu apr s le 11 septembre 2001 et un r seau global de cellules terroristes qui constitueraient un risque de violence accrue contre les ressortissants les propri t s et les int r ts am ricains et les int r ts nationaux et trangers Il ressort ensuite des n gociations que SWIFT a convenu avec l UST d une deuxi me d finition conventionnelle du terrorisme nonc e comme suit une activit qui i implique un acte de violence ou un acte dangereux pour la vie humaine la propri t ou l infrastructure et ii s
12. des enqu tes sur le terrorisme peuvent tre demand es e es recherches dans la bo te noire ne sont possibles que sur la base de dossiers d enqu te sp cifiques et cibl s concernant des activit s terroristes e un audit permanent par l auditeur am ricain Booz Allen amp Hamilton a t pr vu partir de la mi 2002 Cet audit concerne des audits end to end du syst me de UST afin de fournir SWIFT des garanties suppl mentaires que le syst me tait s r v rifier la conformit avec les normes internationales ISO pour la s curit des informations que les finalit s taient limit es aux enqu tes sur le terrorisme que les scrutinizers voir ci apr s avaient acc s toutes les informations faisant l objet des recherches des analystes de l UST et afin d apporter des am liorations continues au syst me e deux employ s de SWIFT scrutinizers ont re u une habilitation de s curit afin d tre pr sents lors de l extraction des donn es par l UST Ils v rifient pour chaque extraction de UST la l gitimation sur une base r guli re initialement par la prise d un chantillon statistique statistical sampling ensuite au niveau 100 Ils ne font rapport au management de SWIFT qu en ce qui concerne le respect des principes d extraction pas sur le d tail d extractions sp cifiques e la bo te noire de l UST reste soumise au contr le des scrutinizers au moyen d un acc s 24h 24 d un monitoring en te
13. durant des ann es sans v rification ind pendante Sur la base des consid rations susmentionn es la Commission estime que la pratique susmentionn e d un transfert massif cach durant depuis des ann es et syst matique de donn es caract re personnel PUST avec un d lai de conservation d une dur e ind termin e constitue une violation des principes de proportionnalit et du d lai de conservation limit tel que formul aux articles 4 1 3 de la LVP proportionnalit et 4 1 5 de la LVP d lai de conservation la suite des articles 6 1 c et 6 1 e de la Directive 95 46 CE En tant que responsable SWIFT aurait d se rendre compte que ces principes taient jug s fondamentaux dans l ordre juridique europ en E 2 3 Principe de finalit La Commission insiste sur le fait qu elle reconna t l int r t et la l gitimit de la lutte mondiale contre le terrorisme Toutefois la lumi re de la LVP il est crucial de savoir si les sommations compte tenu de leur formulation pouvaient en effet uniquement tre utilis es pour la lutte contre le terrorisme et n impliquaient pas par exemple une autorisation pour d autres finalit s tel que sugg r dans certains m dia Cet aspect d pend de la d finition et de la communication de la finalit du traitement via l obligation d information qui sera expliqu e ci apr s Cependant il ne rel ve pas de la comp tence de la Commission de me
14. es sont effac es B 1 1 Description du flux de donn es et donn es trait es via le service SWIFTNet FIN Le flux de donn es effectu par SWIFT dans le cadre du service SWIFTNet FIN concerne l envoi de messages relatifs des transactions financi res entre des institutions financi res II convient de remarquer que SWIFT n a par cons quent que des contacts avec des clients professionnels et n entretient pas de relation contractuelle directe avec des clients personnes physiques d institutions financi res qui demanderaient ou recevraient une transaction financi re sur ou via leurs comptes SWIFT ne fournit en outre ses services qu des institutions financi res qui ont sign au pr alable un cadre contractuel Ce cadre contractuel est connu des institutions financi res qui utilisent le service SWIFTNet FIN et se compose entre autres des prescriptions SWIFT by laws des conditions g n rales de la documentation sp cifique relative au service reprises int gralement dans le manuel d utilisateur de SWIFT ou SWIFT User 5 Au sein du groupe de protection des personnes concernant le traitement de donn es caract re personnel tabli sur la base de l article 29 de la Directive 95 46 CE ci apr s le Groupe 29 Voir le communiqu de presse publi http ec europa eu justice home fsj privacy news docs PR Swift Affair 26 09 06 enpdf AV 37 2006 3 28 Handbook et de la politique de SWIFT en mati re de collecte des d
15. et a galement soulign le manque de transparence des n gociations avec l UST B FAITS ET CONTEXTE JURIDIQUE B 1 SWIFT SWIFT est une soci t coop rative de droit belge responsabilit limit e tablie La Hulpe Belgique SWIFT fournit ses clients des institutions financi res des services automatis s standardis s messaging services et des logiciels d interface en vue de la transmission de messages financiers entre des institutions financi res dans le monde entier SWIFT n est donc pas elle m me une banque ou une autre forme d institution financi re Environ 7 800 institutions financi res y sont affili es SWIFT n a pas d exclusivit pour sa prestation de service Les institutions financi res peuvent faire effectuer leurs transactions de paiements par d autres prestataires et d autres moyens VPN providers fournisseurs de r seaux virtuels priv s Internet fax r seaux de banques VISA etc Outre des bureaux de vente dans diff rents pays SWIFT dispose de deux centres de traitement OC tablis en tant qu agences branches de SWIFT une en Europe et une aux Etats Unis Dans ces OC en tant que partie du service SWIFTNet FIN tous les messages trait s par SWIFT sont stock s en miroir pendant 124 jours afin de pouvoir faire office de back up recovery tool en cas de contestation entre les institutions financi res ou en cas de perte des donn es d un client Une fois pass ce d lai les donn
16. la banque d origine moins que la banque d origine ou le client donneur d ordre ne choisisse une solution ou un service alternatif SWIFT la banque d origine r dige un message SWIFT standardis et crypt 2 la banque d origine envoie le message SWIFT standardis au moyen du service SWIFTNet FIN ou choisit une solution ou un moyen alternatif SWIFT Soit le message est envoy la banque de correspondance l tranger soit il est envoy directement la banque du b n ficiaire si la banque d origine a une relation de correspondance directe avec la banque du b n ficiaire 3 la banque de correspondance envoie le m me message via le r seau SWIFT la banque du b n ficiaire 4 la banque du b n ficiaire informe le b n ficiaire que son paiement a t re u et cr dite son compte SWIFT agit cet gard comme le porteur du message standardis dans l enveloppe ferm e Le service de messagerie comprend au niveau des centres de traitement une validation formelle du contenu notamment la pr sence ou le contenu correct des donn es dans les champs pr vus par exemple la banque de destination est elle mentionn e la devise est elle pr cis e etc Cela requiert un d cryptage momentan du contenu du message y compris en ce qui concerne les donn es caract re personnel Ce d cryptage a lieu de mani re automatis e En tant que partie du service de messagerie les messages sont galement conserv s d
17. que SWIFT a effectu quant ces derniers traitements les d clarations n cessaires aupr s de la CPVP selon les prescriptions de la LVP L attention a d s lors t attir e sur le flux de donn es via le service SWIFTNet FIN et sur la communication l UST de donn es qui sont g n r es via ce service Concernant d autres services la Commission n a pas connaissance d un transfert de donn es l UST Pour r diger le pr sent avis la Commission s est bas e sur les informations publiques de SWIFT sur de la documentation pour laquelle SWIFT a accord un droit de consultation la Commission application de l article 31 1 de la LVP sur des l ments issus de demandes de renseignements r p t es et d informations obtenues lors de r unions de concertation avec des responsables de SWIFT conseiller g n ral ou general counsel pr sident directeur ou CEO responsable audit service juridique conseillers juridiques le 23 ao t et le 31 ao t examen sur place et enfin sur des l ments des r unions internes de la Commission des 6 et 27 septembre 2006 Parall lement une demande de renseignements crite a galement t adress e la Banque nationale de Belgique par lettre du 10 ao t 2006 1 Dans un avis du 13 novembre 1996 relatif l avant projet de loi adaptant la loi du 8 d cembre 1992 la Directive 95 46 CE on peut lire que la Commission se consid re comp tente pour effectuer des contr les sur place
18. que la LVP ne prescrive pas la mani re concr te dont les informations doivent tre donn es on peut tenir compte du contexte dans lequel les donn es sont trait es condition que la technique d information choisie vise informer effectivement et clairement les personnes concern es La Commission a d j estim dans le cadre de l avis n 48 2003 du 18 d cembre 2003 concernant la transmission de donn es caract re personnel par certaines compagnies a riennes vers les Etats Unis que le mode de communication au client n est pas suffisamment explicite les informations tant int gr es dans le texte des conditions g n rales de transport communiqu es sur demande ou via Internet La Commission a cependant estim dans un contexte de manifestations de masse telles que les matches de football que les informations pouvaient avoir lieu individuellement sur les tickets d acc s ou collectivement en pla ant par exemple des panneaux clairs et visibles l entr e du stade Vu sa coresponsabilit la lumi re de la LVP SWIFT ne s est pas concert e suffisamment avec les institutions financi res afin de respecter l obligation d information article 9 de la LVP Ceci a donn lieu une information insuffisante l gard des personnes concern es et au non respect de l article 9 de la LVP 28 Selon l article 9 2 de la LVP les informations pertinentes sont le nom et l adresse du responsable les finalit s du tra
19. r e comme critique pour l industrie financi re globale Au niveau europ en il a cependant d j t jug que les Etats Unis n offraient pas un niveau de protection ad quat la lumi re de la Directive 95 46 CE M me si le fonctionnement du syst me financier mondial devait avoir un impact sur l ordre public en Belgique ce n est toutefois pas une justification suffisante la lumi re de la Directive 95 46 CE pour installer un centre de traitement aux Etats Unis sans niveau de protection ad quat Etant donn que les Etats Unis ne tombent pas dans la cat gorie des pays pr sentant un niveau de protection ad quat les principes de la sph re de s curit Safe Harbour ont t labor s sp cifiquement pour les Etats Unis sur d cision de la Commission europ enne En ce qui concerne tous les pays qui ne garantissent pas un niveau de protection ad quat comme les Etats Unis la Commission europ enne a en outre pr vu des dispositions contractuelles ad quates conform ment l article 26 2 de la Directive 95 46 CE Il existe enfin le syst me des Binding Corporate Rules c est dire les r gles d entreprise contraignantes qui peut permettre le transfert de donn es caract re personnel vers des pays tiers sans niveau de protection ad quat La Commission estime que le syst me des r gles d entreprise contraignantes binding corporate rules conform ment l article 26 2 de la Directive 95 46 CE est une mes
20. s des d cisions secr tes de SWIFT qui avaient t prises en concertation avec l UST 3 Il appara t que les clients de SWIFT ne sont pas inform s de l ampleur concr te et des modalit s de la transmission de donn es l UST Cette approche repose sur AV 37 2006 12 28 la no comment policy de la politique de compliance que la direction de SWIFT a tablie depuis 1993 4 Enfin suite aux communiqu s de presse de juin 2006 les clients de SWIFT n taient pas en mesure d arr ter la communication l UST Apr s les communiqu s de presse relatifs aux sommations un organisme de cr dit autrichien a demand SWIFT de cesser de communiquer des donn es l UST SWIFT a refus d acc der cette demande de son client par lettre du 9 ao t 2006 affirmant que sa section am ricaine tait soumise la juridiction des Etats Unis et qu elle devait respecter les sommations condition qu elles soient valables et contraignantes en vertu du droit am ricain Sur la base des consid rations pr cit es la Commission conclut que SWIFT est un responsable au sens de la LVP pour les traitements effectu s via le service SWIFTNet FIN L on examinera ci apr s s il est galement question d une coresponsabilit pour autant que SWIFT d termine conjointement avec les institutions financi res la finalit et les moyens des traitements D 2 L ex cution d ordres de paiement internationaux au moyen du service SWIFTNet FIN La qu
21. volume moyen de messages trait s quotidiennement par le service SWIFTNet FIN que le nombre de messages soumis aux sommations et qui se trouvent dans la bo te noire doit tre tr s lev Dans une lettre du 14 septembre 2006 SWIFT a confirm que l UST a parfaitement le droit en vertu du droit am ricain de soumettre la section am ricaine de SWIFT une sommation afin que soient communiqu s tous les messages SWIFT Cela signifie donc que rien que pour 2005 un total de 2 518 290 000 messages SWIFTNet Fin peut tre soumis aux sommations B 3 R action de SWIFT aux sommations SWIFT a obtenu de UST un certain nombre de garanties et de m canismes de protection dont les principes ont t formellement document s dans une correspondance entre SWIFT et l UST B 3 1 N gociations avec l UST SWIFT a d cid de ne pas attaquer les sommations prononc es l encontre de l agence SWIFT aux Etats Unis et non l encontre de SWIFT SCRL devant un tribunal am ricain mais bien de n gocier directement avec l UST afin d obtenir des garanties claires SWIFT souligne qu elle a obtenu un niveau de protection unique dans ces n gociations continues pour les donn es transf r es pars ses soins Pour autant que la Commission ait pu le v rifier l aide des documents soumis les premi res conventions document es concernaient la d signation d un auditeur externe Booz Allen amp Hamilton et les caract ristiques du processus d au
22. 28 qui sont d application pour les donn es dans la bo te noire mise la disposition de l UST Apr s v rification des accords entre SWIFT et PUST il s av re qu il semble tre question d un d lai de conservation d une dur e ind termin e donc exc dant largement le d lai de conservation normal dans le cadre du service SWIFTNet FIN ce qui est contraire au principe de proportionnalit Initialement il existait la possibilit de conserver les messages dans la bo te noire aussi longtemps qu ils repr sentaient une utilit ventuelle pour une recherche Ensuite SWIFT a eu la possibilit de r cup rer de PUST tous les messages non collect s fut ce avec l obligation de conserver ces donn es tant que la possibilit existe qu une sommation soit prononc e quant ces donn es voir supra au point B 4 1 La Commission constate que cette possibilit de d placement de donn es de la bo te noire vers SWIFT a peu d influence sur le d lai de conservation proprement parler qui reste en principe ind termin c est dire aussi longtemps qu existe la possibilit d une sommation concernant ces donn es La Commission signale enfin que pour le moment aucune v rification ind pendante effective n a pu tre r alis e concernant le d lai concret de conservation de donn es dans des cas individuels Par cons quent on ne peut exclure que des donn es caract re personnel puissent tre conserv es dans la bo te noire
23. 6 CE et article 8 de la CEDH La Commission insiste sur le fait qu elle ne met pas en cause la l galit ou le caract re contraignant de la l gislation am ricaine et des sommations am ricaines ce qui rel ve clairement de la comp tence de l autorit am ricaine Par contre elle peut examiner si l ex cution des sommations am ricaines peut trouver dans le droit belge sur le traitement de donn es caract re personnel une base de l gitimation En vertu de l article 5 de la LVP les donn es caract re personnel des donneurs d ordre ou des b n ficiaires ne peuvent tre trait es que dans un nombre limit de cas SWIFT n invoque pas formellement une base l gale en vertu du droit belge et a uniquement fait r f rence aux sommations am ricaines dont elle affirme avoir examin la l galit et le caract re contraignant Toutefois prima facie surtout l article 5 c obligation l gale du responsable et 5 f r alisation d un int r t important et l gitime du responsable semblent pertinents pour pouvoir l gitimer la communication de donn es caract re personnel PUST En ce qui concerne l article 5 c la Commission souscrit l avis du Groupe 29 du 1 f vrier 2006 concernant la l gislation Sarabanes Oxley Le Groupe 29 a d j affirm qu Une obligation impos e par une loi ou un r glement trangers qui exigeraient l tablissement de syst mes de signalement ne saurait tre qualifi e d obligation
24. A INTRODUCTION a T Etes anne nl mn ee I TT 2 B FAITS ET CONTEXTE JURIDIQUE iii 3 B 1 A A D CR A AE A A E A E 3 B 1 1 Description du flux de donn es et donn es trait es via le service SWIFTNet FIN 3 B 2 Sommations subpoenas iii ineeeeersres 5 B 3 Reactie van SWIFT op de dwangbevelen snsssnessesseeeeeeeeteertee treer teer eern teer r nnen nnn nenne renerne 6 B 3 1 N gociations avec PUS Ts Sen ae ra es E aT NEA a A A aS 6 B 3 2 Information aux Autorit s de contr le 7 C APPLICABILE DE LA V ue nt en a dr dmen te seed es cet net tete 8 C 1 Champ d application territorial 8 C2 Champ d application mat riel sis 8 D APPRECIATION QUANT A SAVOIR SI SWIFT LES INSTITUTIONS FINANCIERES ET LA BANQUE NATIONALE DE BELGIQUE SONT RESPONSABLES DU TRAITEMENT OU SOUS TRAITANTS ER ne et nn ed de nn Re detente ee nee 9 D 1 Le traitement de donn es caract re personnel dans le cadre du service SWIFTNet FIN 9 D2 L ex cution d ordres de paiement internationaux au moyen du service SWIFTNet FIN 13 D 3 Responsabilit de la Banque nationale de Belgique snosnnosseeseeeeeeeeeeeereereeeerresreesreeseee n 15 E EXAMEN DES VENTUELLES VIOLATIONS DE LA LVP 16 E 1 SWIFT a t elle commis des infractions la LVP dans le cadre du fonctionnement normal du Service SWIETNet FIN 2 sursis r e queen ec autre stage ete lente du E nier 16 E 1 1 Base l gale article 5 b de la LVP et
25. IFTNet FIN E 1 1 Base l gale article 5 b de la LVP et article 7 b de la Directive 95 46 CE Sur la base de l article 5 de la LVP les donn es caract re personnel des donneurs d ordre ou des b n ficiaires ne peuvent tre trait es que dans un nombre limit de cas Le traitement de donn es caract re personnel dans le cadre du fonctionnement normal du service SWIFTNet FIN semble l gitime dans la mesure o il est n cessaire l ex cution du contrat entre SWIFT et l organisme de cr dit concern article 5 b de la LVP et article 7 b de la Directive 95 46 CE 27 Convention du 28 janvier 1981 pour la protection des personnes l gard du traitement automatis des donn es caract re personnel M B 30 d cembre 1993 approuv e par la loi du 17 juin 1991 portant approbation de la Convention pour la protection des personnes l gard du traitement automatis des donn es caract re personnel faite Strasbourg le 28 janvier 1981 AV 37 2006 16 28 E 1 2 Obligation d information article 9 de la LVP et article 11 de la Directive 95 46 CE Dans la mesure o SWIFT est responsable du traitement elle est galement soumise l obligation d information des personnes concern es Cela signifie entre autres que les personnes physiques dont les donn es ont t chang es dans les messages de paiement devaient au moins tre inform es conform ment l article 9 de la LVP Les personnes concern es devai
26. ROYAUME DE BELGIQUE Adresse Rue Haute 139 B 1000 Bruxelles T l 32 0 2 213 85 40 Fax 32 0 2 213 85 65 E mail commission privacycommission be Site Internet http www privacycommission be COMMISSION DE LA PROTECTION DE LA VIE PRIVEE N R f SA2 A7 2006 035 OBJET Avis relatif la transmission de donn es caract re personnel par la SCRL SWIFT suite aux sommations de l UST OFAC La Commission de la protection de la vie priv e Vu la Directive 95 46 CE du Parlement europ en et du Conseil du 24 octobre 1995 relative la protection des personnes physiques l gard du traitement des donn es caract re personnel et la libre circulation de ces donn es ci apr s la Directive 95 46 CE Vu la loi du 8 d cembre 1992 relative la protection de la vie priv e l gard des traitements de donn es caract re personnel ci apr s la LVP en particulier l article 29 1 Vu la demande d avis du Coll ge du renseignement et de la s curit du 6 juillet 2006 re ue par la Commission le 19 juillet 2006 Vu la correspondance avec SWIFT Vu le rapport de Monsieur De Schutter Emet le 27 septembre 2006 l avis suivant AV37 2006 1 28 A INTRODUCTION Le 19 juillet 2006 la Commission a re u du Coll ge du renseignement et de la s curit une demande d avis sur la question de savoir si dans le cadre du dossier SWIFT il tait question d une violation de la l gislati
27. WIFT a galement recherch un quilibre entre les deux syst mes juridiques et a pour ce faire suffisamment examin et appliqu la possibilit d alternatives en vertu du droit belge ou europ en Le fait que SWIFT soit soumise aux sommations et ait entretenu activement des n gociations confidentielles avec PUST sur l application des sommations n emp che pas en effet que le traitement doive tre effectu en conformit avec les principes du droit belge et du droit europ en Vu le principe de n cessit on se demande quelles alternatives SWIFT avait une fois qu il tait tabli qu elle tait soumise des sommations valables et contraignantes Un certain nombre d options semblaient exister savoir e Contester les sommations impos es en vertu du droit am ricain A la question de savoir pourquoi les sommations n ont pas t soumises aux juges aux Etats Unis SWIFT a r pondu que les premi res sommations avaient t introduites juste apr s les v nements de septembre 2001 Les sommations reposeraient actuellement sur une base l gale en vertu du droit am ricain codifi e dans ledit Patriot Act SWIFT a en outre affirm qu il y avait un risque que le juge am ricain d cide d ordonner SWIFT de communiquer toutes les donn es sans limites e Appliquer les proc dures officielles et les trait s en mati re de collaboration judiciaire Les recommandations et proc dures qui existent pour une collaboration j
28. ans les centres de traitement en Europe et aux Etats Unis pour la p riode susmentionn e de 124 jours 7 La d claration de SWIFT concernant la compliance est disponible sur son site Internet www swift com 8 Le BIC Bank Identifier Code est un code international d identification parfois galement appel code swift ermettant de reconna tre chaque banque individuelle Un transfert par un client est une des neuf cat gories de messages SWIFT AV 37 2006 4 28 B 2 Sommations subpoenas Depuis les attentats de septembre 2001 l UST a adress plusieurs sommations au centre de traitement de SWIFT aux Etats Unis Apr s demande de renseignements SWIFT a d clar que jusqu ce jour elle avait re u et accept 64 sommations de l UST suite aux attentats du 11 septembre 2001 Avant 2001 SWIFT avait galement fait l objet de quelques sommations judiciaires ou administratives mais SWIFT n y a pas donn suite en raison du d lai apr s 124 jours ou parce que SWIFT pouvait avancer que les autorit s pouvaient obtenir les donn es plus facilement aupr s de la banque mettrice ou r ceptrice ou parce que SWIFT ne dispose pas d outil de recherche dans ses centres de traitement pour faire une recherche sur la base du nom dans le centre de traitement Les sommations de l UST sont d un caract re totalement diff rent et peuvent tre qualifi es de demandes non individualis es et massives technique Rasterfandung ou
29. article 7 b de la Directive 95 46 CE 0ssessseu 16 E 1 2 Obligation d information article 9 de la LVP et article 11 de la Directive 95 46 CE 17 E 1 3 Obligation de d claration article 17 de la LVP et article 21 de la Directive 95 46 CE 18 E 1 4 Transfert de donn es caract re personnel vers un pays ne pr sentant pas un niveau de protection ad quat articles 21 et 22 de la LVP et articles 25 et 26 de la Directive 95 46 CE 18 E 2 SWIFT a t elle viol la LVP lors du transfert de donn es PUST 7 20 E 2 1 Base l gale article 5 de la LVP article 7 b de la Directive 95 46 CE et article 8 de la CEDH 20 E 2 2 Principe de proportionnalit article 4 1 3 de la LVP et d lai de conservation article 4 SE PRES MTS EN LE N A V A PP TC E 21 E 2 3 Principe de finalit serment a anne sr mean ie star pine pire ttes 23 E 2 4 Obligation d information dans le chef de SWIFT articles 4 1 2 et 9 2 de la LVP et AC O OI CEDH SR SR n el ne a nn ln dre 23 E 2 5 Obligation de d claration 25 E 2 6 Exigence d un contr le ind pendant du transfert de donn es article 28 de la Directive 95 46 CE et article 8 de la CEDAN rte titineehentes 25 E 2 7 Interdiction de transmission lors de transferts ult rieurs des destinataires de donn es tels que PUST articles 21 de la LVP et 25 et 26 de la Directive 95 46 CE ss cc 26 AV 37 2006 28 28
30. au droit belge et europ en Dans ce contexte SWIFT aurait d d s le d but tre consciente du fait que outre l application du droit am ricain les principes fondamentaux du droit europ en doivent galement tre respect s comme le principe de proportionnalit le d lai de conservation limit la politique de transparence l exigence de contr le ind pendant et celle de niveau de protection ad quat Ces exigences sont en effet exprim es dans le deuxi me alin a de l article 8 de la CEDH la Convention n 108 la Directive 95 46 CE et la LVP et s appliquent SWIFT La Commission se r f re galement au pr c dent international dans le dossier PNR Les autorit s comp tentes en mati re de protection des donn es la Commission ses pairs et la Commission europ enne auraient du tre inform es d s le d but ce qui aurait pu permettre d laborer une solution au niveau europ en pour la communication de donn es caract re personnel l UST en respectant les principes pr cit s en vigueur dans le droit europ en A cet gard le gouvernement belge aurait galement pu tre sollicit afin de requ rir une initiative au niveau europ en Vu la mati re complexe et son importance la Commission se tient disposition pour fournir un avis ult rieur quant cette probl matique Vu l emp chement du pr sident L administrateur le vice pr sident s Jo BARET s Willem DEBEUCKELAERE AV 37 2006 27 28
31. clut que les traitements r alisation d ordres de paiement et change de messages de paiement sont souvent li s dans la pratique bien qu il s agisse d op rations diff rentes dont les finalit s et donc les traitements ne peuvent pas tre assimil s SWIFT a affirm que les institutions financi res sont responsables de la r alisation du traitement qui consiste traiter des ordres de paiement internationaux Les institutions financi res qui font appel au service SWIFTNet FIN ne sont en effet pas des sous traitants de SWIFT pour ce traitement tant donn qu elles n agissent nullement ce niveau pour le compte de SWIFT 21 La d claration de SWIFT en mati re de compliance est disponible sur son site Internet www swift com 2 La Niederoesterreichische Landesbank Hypothekenbank AG Kremsergasse 20 3100 St P lten Autriche AV 37 2006 13 28 Il est galement important de garder l esprit que les institutions financi res sont autonomes et qu elles peuvent poursuivre leurs propres objectifs au niveau interbancaire La Commission constate que les institutions financi res prennent souvent des d cisions cruciales dans la circulation interbancaire quant la communication de donn es caract re personnel SWIFT souvent l insu de leurs clients C est ce qu il ressort des l ments suivants e Les institutions financi res d cident souvent de mani re autonome dans la circulation interbancaire des moyens mis en
32. d valuation dans le chef de SWIFT de soumettre depuis des ann es de mani re secr te et syst matique une quantit massive de donn es caract re personnel la surveillance de PUST sans avoir contact en m me temps les autorit s europ ennes comp tentes et la Commission afin de trouver une solution en vertu du droit belge et europ en PAR CES MOTIFS sur la base de son examen g n ral la Commission estime que la LVP s applique l change de donn es via le service SWIFTNet FIN SWIFT et les institutions financi res sont conjointement responsables la lumi re de la LVP pour les traitements de donn es caract re personnel via le service SWIFTNet FIN SWIFT est responsable du traitement de donn es caract re personnel telles que trait es via le service SWIFTNet FIN les institutions financi res sont responsables tant donn qu elles d terminent galement la finalit et les moyens de l ex cution des ordres de paiement dans la circulation interbancaire Les institutions financi res font proc der notamment au niveau interbancaire au traitement de messages financiers relatifs ces messages de paiement via le service SWIFTNet Fin si Depuis d but janvier 2003 les Etats Unis ont exig un acc s aux Passenger Name Records les donn es de voyage et de r servation ou PNR de tous les passagers sur des vols destination en provenance ou en transit aux Etats Unis Depuis lors des sol
33. d initiative ou sur plainte ou sur la base de la d claration de traitements tr s sensibles 2 Principalement le New York Times bank Data is sifted by US in secret to block terror du 22 juin 2006 www nytimes com le International Herald tribune oversight on records defended du 25 juin 2006 le Los Angeles Times secret US Program tracks global bank transfers du 23 juin 2006 et y faisant suite des r actions de la presse dans le monde entier Principalement les informations sur le site Internet de SWIFT www swift com et d autres informations imprim es Lettre de la CPVP du 7 juillet et r ponse de Swift du 28 juillet Lettre de la CPVP du 8 septembre et r ponse de Swift du 14 septembre 2006 AV 37 2006 2 28 Mentionnons enfin que la probl matique de la transmission l UST est galement trait e actuellement au sein de l Union europ enne et aupr s de certaines autorit s de protection des donn es DPA au sein et en dehors de l Europe Allemagne Italie France Canada Australie etc La Commission s est concert e ce sujet avec le groupe europ en de protection des personnes l gard du traitement des donn es caract re personnel cr sur la base de l article 29 de la Directive 95 46 CE d nomm ci apr s le Groupe 29 Le Groupe 29 a d ores et d j d clar le 26 septembre 2006 qu il consid rait comme tant sa priorit de maintenir les droits europ ens de protection des donn es
34. dit compter du mois d ao t 2002 SWIFT a obtenu le 15 septembre 2003 une comfort letter de l UST par laquelle l UST manifestait son soutien SWIFT au cas o des tiers comme des autorit s d autres pays mettraient en cause le respect des sommations de l UST compter du 14 avril 2004 un certain nombre de garanties importantes ont t r pertori es dont quelques unes avaient t n goci es d s le d but du processus Elles concernaient la d finition conventionnelle du terrorisme et les crit res de recherche et de collecte au 27 f vrier 2004 et des conventions quant la confidentialit maximale des donn es collect es le contr le de SWIFT sur les crit res de recherche et sur la collecte SWIFT a 11 Comme confirm par l UST SWIFT le 1 ao t 2002 12 Chiffre mentionn dans la m me lettre de SWIFT du 14 septembre 2006 On peut galement partir d une circulation de messages normale moyenne journali re via SWIFTNet FIN se situant entre 6 9 millions 2005 et 11 millions de messages par jour d but 2006 et qui peut tre soumise int gralement aux sommations AV 37 2006 6 28 galement obtenu la garantie que la source originale des informations SWIFT serait tenue secr te par l UST En r sum les garanties telles que convenues entre PUST et SWIFT concernent ce qui suit e IUST n a pas acc s au syst me SWIFT lui m me et aux donn es qui y sont enregistr es e seules les donn es relatives
35. e ou non L appr ciation de la qualification responsable ou sous traitant est dans ce contexte d licate En cas de cumul de diff rents acteurs le r le et les responsables de chaque entit doivent en effet tre d termin s clairement Le traitement normal au sein du service SWIFTNet FIN semble premi re vue assez obscur de par son caract re international et non transparent La structure des r seaux coop ratifs internationaux n est toutefois pas unique et conna t deux pr c dents clairs e Ainsi pour des listes n gatives de commer ants VISA et Mastercard exploit es au niveau international le Groupe 29 a d j admis que pour l exploitation de r seaux coop ratifs internationaux une coresponsabilit des institutions financi res et des op rateurs de banques de donn es VISA Mastercard semble recommand e Les op rateurs de banques de donn es n ont cet gard aucun contact direct avec les personnes concern es et ne sont en principe actifs que dans un environnement business to business bien que leurs services soient distribu s dans le circuit retail via leurs parties contractantes 16 Voir article 4 5 3 des conditions g n rales de SWIFT qui concerne les obligations en mati re de protection des donn es Data Protection Obligations Dans sa documentation contractuelle SWIFT op re une distinction entre d une part le traitement de donn es caract re personnel obtenues des institutions financi r
36. e personnel qui seraient ventuellement mentionn es dans les messages qu elle traite Vu la d finition fonctionnelle du responsable en vertu de la LVP la Commission estime que le contexte au sein duquel le traitement est effectu celui d une soci t coop rative responsabilit limit e et la connaissance de la position exacte des institutions financi res et de la direction de la SCRL SWIFT sont cruciaux pour proc der une qualification exacte concernant le traitement normal de donn es au sein du service SWIFTNet FIN La comparaison de la SCRL SWIFT avec un prestataire normal de service postal de t l communications ou de courrier lectronique est un argument formel et semble insuffisante Cette comparaison formelle implique en effet que la SCRL SWIFT aurait une position comparable celle de toute entreprise de t l communications quelconque qui peut proposer au niveau international un VPN pour l change de messages financiers En r alit il appara t que SWIFT utilise toutefois un mod le de fonctionnement et de services plus complexe qui part d un r seau coop ratif international forte gestion centrale l gard des 7800 institutions financi res qui utilisent le service L exploitation et les modalit s de fonctionnement de tels r seaux diff rent fondamentalement du simple concept de services o un seul prestataire professionnel traite des donn es caract re personnel l gard d une autre partie professionnell
37. emble viser A intimider ou exercer une contrainte sur une population civile B influencer la politique d un gouvernement par intimidation ou contrainte ou C influencer le comportement d un gouvernement par une destruction de masse des assassinats des kidnappings ou l enl vement d otages Ceci inclut de mani re non limitative des activit s d ploy es par des organisations terroristes connues mais exclut des activit s de gouvernements reconnus La Commission observe que la r f rence aux Etats Unis a t abandonn e dans cette d finition conventionnelle Il ressort des v rifications de la Commission qu une distinction a t faite dans le processus d extraction entre deux tapes D une part la conservation dans une bo te noire des messages fournis en vertu des sommations et d autre part la consultation effective de messages dans la bo te noire par l UST sur la base de recherches Ces deux tapes sont d crites ci apr s Tous les messages soumis aux sommations subpoened messages sont fournis par le centre de traitement de SWIFT aux Etats Unis l UST et conserv s dans une dite bo te 10 wan activity that i involves a violent act or an act dangerous to human life property or infrastructure and ii appears to be intended A to intimidate or coerce a civilian population B to influence the policy of a government by intimidation or coercion or C to affect the conduct of a government by mass destruction
38. ens de l article 1 1 et 2 de la LVP Les messages financiers qui sont trait s et enregistr s dans le cadre du service SWIFTNet FIN contiennent en effet des donn es de personnes physiques telles que lidentit du b n ficiaire et l identit du donneur d ordre de services financiers tels que les ordres de paiement Enfin on peut signaler que l article 10 10 des conditions g n rales de SWIFT pr voit l applicabilit du droit belge aux dispositions et conditions relatives la fourniture et l utilisation des services et produits SWIFT Il faut bien entendu y inclure le droit belge en mati re de protection des donn es caract re personnel et la LVP 13 Pour l analyse concernant la responsabilit de SWIFT voir ci apr s 14 En vertu de l article 1 2 de la LVP toute collecte extraction consultation utilisation communication par transmission diffusion ou toute autre forme de mise disposition ainsi que l interconnexion de donn es caract re personnel constituent un traitement AV 37 2006 8 28 D APPRECIATION QUANT A SAVOIR SI SWIFT LES INSTITUTIONS FINANCIERES ET LA BANQUE NATIONALE DE BELGIQUE SONT RESPONSABLES DU TRAITEMENT OU SOUS TRAITANTS Pour r pondre la demande du Coll ge du renseignement et de la s curit il importe de v rifier le r le de SWIFT des clients de SWIFT d nomm s ci apr s institutions financi res et de la Banque nationale de Belgique la lumi re de la LVP
39. ent par exemple savoir qui pouvaient tre les destinataires des donn es qu elles transmettaient leur organisme de cr dit SWIFT autorit s et pour quelles finalit s leurs donn es pouvaient tre trait es Etant donn que SWIFT collecte les donn es caract re personnel au moyen d ordres des institutions financi res elle n obtient pas directement les donn es caract re personnel des personnes concern es Dans ce cas il importe selon l article 9 2 de la LVP article 11 de la Directive 95 46 CE d s l enregistrement des donn es ou si une communication de donn es un tiers est envisag e au plus tard au moment de la premi re communication des donn es de fournir la personne concern e au moins les informations sauf si la personne concern e en avait d j t inform e par les institutions financi res Cela signifie que si SWIFT n a pas veill ce que les institutions financi res aient inform les personnes concern es conform ment l article 9 1 de la LVP et qu aucune exception sp cifique n a t pr vue l obligation d information dans l arr t d ex cution de la LVP SWIFT a commis une infraction l article 9 2 de la LVP Enfin le fait que SWIFT n entretienne pas de relation directe avec les personnes concern es ne peut nullement tre consid r comme une raison suffisante pour ne pas respecter l obligation d information par exemple via les institutions financi res Bien
40. es lors de la souscription ou de l utilisation des services de SWIFT et d autre part les donn es caract re personnel trait es dans les messages ou fichiers par les institutions financi res via les services ou produits SWIFT En ce qui concerne ce dernier traitement il a t explicitement tabli que les institutions financi res sont cens es tre responsables du traitement data controller 17 Voir le paragraphe 16 des Guidelines for Terminated Merchant Databases du 11 janvier 2005 qui dispose ce qui suit The development and operation of a terminated merchant database require the joint action of two Participants acting as joint data controllers for any particular set of personal data relating to a specific merchant namely 1 the Database Operator and 2 the Participant that has a contractual relationship with the merchant AV 37 2006 10 28 e La structure pyramidale des syst mes de r servation automatis s existants dans le domaine des transports a riens Computer Reservation System ou CRS constitue un deuxi me pr c dent cet gard les agences de voyage et les compagnies a riennes entre autres introduisent des donn es caract re personnel dans les syst mes de r servation les entreprises nationales de distribution offrent un acc s au syst me de r servation contre une indemnit frais de r servation et enfin la gestion centrale du syst me de r servation est assur e au niveau le plus lev La Commis
41. espect de la LVP par SWIFT n est pour l instant pas consid r comme faisant partie de l oversight individuel et coop ratif Projet de r solution commun sur l interception de donn es de virements bancaires du syst me SWIFT par les services secrets am ricains 26 Loi du 22 f vrier 1998 fixant le statut organique de la Banque Nationale de Belgique AV 37 2006 15 28 Dans la mesure o la BNB intervient toutefois en tant que client de SWIFT et confierait cet gard des donn es caract re personnel au service SWIFTNet FIN elle pourrait tre consid r e comme responsable comme mentionn la rubrique D 2 E EXAMEN DES VENTUELLES VIOLATIONS DE LA LVP La demande d avis concerne la question des ventuelles violations de la LVP par SWIFT La question de savoir si les institutions financi res belges ont viol la LVP ne fait pas partie au sens strict de l objet de l avis et n a pas pu tre examin e vu le temps limit dont a dispos la Commission Etant donn que la Commission estime cependant qu il est question de coresponsabilit dans le chef des institutions financi res elle se tient disposition pour appr cier ult rieurement les ventuelles violations par des institutions financi res belges individuelles La Commission souligne qu il existe des diff rences fondamentales entre l Union europ enne et les Etats Unis en ce qui concerne les l gislations et les principes r gissant les traitements de donn e
42. estion se pose ensuite de savoir si les institutions financi res ont galement d termin la finalit et les moyens du traitement de sorte qu elles sont coresponsables au sens de la LVP Une fois encore il est important de garder l esprit le contexte dans lequel les institutions financi res communiquent des donn es caract re personnel SWIFT Les institutions financi res interviennent en principe un autre niveau savoir le niveau du traitement d ordres de paiement Ce traitement diff re de l change des messages financiers qui sur le plan business to business g n ralement interbancaire est effectu par SWIFT L change de messages financiers pr sente bien entendu un lien pratique avec les ordres de paiement L change et le stockage de donn es s av rent justement n cessaires suite l ordre de paiement afin de traiter la transaction correctement et s rement dans la circulation interbancaire Le traitement de SWIFT ne se passe pas au guichet en contact direct avec l int ress qui donne l instruction d effectuer un ordre de paiement Il a lieu au contraire dans le contexte du back office des institutions financi res o des applications comme le scannage des ordres de paiement et la r alisation d op rations interbancaires sont en principe effectu s conform ment aux standards et aux usages professionnels de chaque institution financi re aux usages du secteur et aux normes existantes La Commission con
43. ir en cas de terrorisme potentiel source http nl wikipedia org AV 37 2006 21 28 On peut faire r f rence cet gard aux recommandations publiques de la FATF GAFI La FATF est un organe intergouvernemental cr en 1989 ayant pour but de d velopper et de promouvoir des mesures de politique nationales et internationales afin de lutter contre le blanchiment et le financement du terrorisme La recommandation n 40 de la FATF comporte la disposition selon laquelle Les pays devraient mettre en place des contr les et des garanties pour faire en sorte que les informations chang es par les autorit s comp tentes ne soient utilis es que de la mani re autoris e et en conformit avec leurs obligations de protection de la vie priv e et de protection des donn es On peut en outre se r f rer la collaboration dans le cadre du Groupe d Egmont Par l interm diaire de ce groupe informel un change de renseignements financiers est actuellement mis en place via les cellules nationales op rationnelles de renseignements financiers financial intelligence units ou FIU des 101 pays dont la Belgique et les Etats Unis Cet change est r alis via le Egmont Secure Web ou ESW Les organes et syst mes alternatifs pr cit s pourraient offrir la lumi re de la Directive 95 46 CE des garanties compl mentaires lors de l change d informations en mati re de blanchiment et de financement du terrorisme Enfin
44. itement et d autres informations suppl mentaires notamment les cat gories de donn es concern es et les destinataires ou les cat gories de destinataires l existence d un droit d acc s et de rectification des donn es la concernant sauf dans la mesure o compte tenu des circonstances particuli res dans lesquelles les donn es sont trait es ces informations suppl mentaires ne sont pas n cessaires pour assurer l gard de la personne concern e un traitement loyal des donn es 2 Avis n 10 2005 du 15 juin 2005 AV 37 2006 17 28 E 1 3 Obligation de d claration article 17 de la LVP et article 21 de la Directive 95 46 CE Etant donn que SWIFT est responsable du traitement elle est en principe soumise l obligation de d claration du traitement qui permet une transparence et un contr le g n raux fussent ils minimaux La Commission constate cependant que SWIFT n a pas fait de d claration pour le traitement de donn es caract re personnel dans le cadre du service SWIFTNet FIN contrairement aux autres traitements tels que l administration propre du personnel de SWIFT qui n entrent pas dans le cadre du pr sent avis La Commission estime d s lors que l article 17 de la LVP n a pas t respect E 1 4 Transfert de donn es caract re personnel vers un pays ne pr sentant pas un niveau de protection ad quat articles 21 et 22 de la LVP et articles 25 et 26 de la Directive 95 46 CE SWIFT devait tenir co
45. iv e qui figurent dans les diff rents contrats d affiliation de SWIFT pour le service SWIFTNet FIN Les exemples pr cit s concernent les aspects juridiques essentiels effectifs du traitement au sujet desquels seul le responsable a voix au chapitre et non le sous traitant Il n est pas inhabituel que les responsables du traitement n aient pas de contact direct avec les personnes concern es et la LVP n exige pas non plus cet l ment pour parler d un responsable Autrement dit l application de la LVP n est absolument pas exclue dans un contexte business to business Des exemples concrets de tels responsables qui n ont pas de contact direct ou de relation contractuelle avec la personne concern e ont d j t mentionn s pr c demment VISA Mastercard entreprises de distribution et Computer Reservation Systems ou CRS Si l on pr tendait enfin que seules les 7800 institutions financi res seraient responsables des traitements des donn es caract re personnel via le service SWIFTNet FIN cela impliquerait que le justiciable serait confront une si grande dispersion et un si grand fractionnement juridique des responsables concern s que cela les emp cherait de facto d exercer leurs droits r sultant de la LVP Enfin SWIFT n est pas un sous traitant parce qu il n appartient pas au sous traitant de prendre d initiative et sans information et accord du responsable des d cisions cruciales pendant presque 5 ans au sujet de
46. l gale l gitimant le traitement des donn es dans l UE Toute autre interpr tation permettrait des l gislations trang res de contourner les r gles fix es par PUE avec la directive 95 46 CE Ceci signifie par cons quent que les sommations am ricaines ne peuvent pas tre consid r es comme une base l gitimant le traitement de donn es conform ment l article 5 c de la LVP Rejoignant le point de vue de la Commission de la vie priv e fran aise la CNIL dans le dossier SOX la Commission estime qu il est impossible dans le cas des sommations am ricaines de nier l int r t l gitime de SWIFT au sens de l article 5 f de la LVP En d autres termes on ne peut contester que SWIFT a un int r t l gitime se soumettre une sommation valable et ex cutable en vertu du droit am ricain En cas de non respect par SWIFT de ces sommations SWIFT court en effet le risque de se voir infliger des sanctions civiles en vertu du droit am ricain La Commission pense d s lors que le transfert de donn es UST repose sur un int r t l gitime et important dans le chef de SWIFT au sens de l article 5 f de la LVP 33 Voir l avis 1 2006 relatif l application des r gles europ ennes de protection des donn es aux dispositifs internes d alerte professionnelle whistleblowing dans les domaines bancaire de la comptabilit du contr le interne des comptes de l audit de la lutte contre la corruption et les infractions fi
47. la r ception de donn es par des administrations telles que l UST SWIFT a toutefois clairement pris toutes les d cisions cruciales au sujet de la communication de donn es l UST et l a fait l insu de ses 7800 clients C est ce qu il ressort des l ments suivants 1 Le r le d terminant de SWIFT lors de la communication de donn es l UST ressort des n gociations continues et secr tes avec l UST et des conventions qui ont t conclues dans ce cadre partir de fin 2001 L application concr te des sommations a t n goci e en secret par SWIFT par la mise en place du syst me de bo te noire et contr l e plus tard via la d finition des crit res de recherche et d extraction le processus d audit et les scrutinizers voir supra SWIFT a galement obtenu la garantie que les informations quant la source resteraient confidentielles 2 Depuis le si ge belge les d cisions cruciales ont t prises et suivies concernant la communication des donn es l UST II s agissait de la d cision d examiner la l galit de la sommation am ricaine d octobre novembre 2001 et d y consentir de la premi re d cision de proc der la transmission op r e d un commun accord entre le conseiller g n ral le pr sident directeur et le chef de l audit et de la d l gation au comit d audit par le comit de direction dans le cadre de la v rification du processus d extraction Les 7800 clients de SWIFT n ont pas t inform
48. message contenant des donn es caract re personnel est transmis via un service de t l communications ou de courrier lectronique dont le seul objet est de transmettre des messages de ce type c est la personne dont mane le message et non celle qui offre le service de transmission qui sera normalement consid r e comme responsable du traitement de donn es caract re personnel contenues dans le message que toutefois les personnes qui offrent ces services seront normalement consid r es comme responsables du traitement des donn es caract re personnel suppl mentaires n cessaires au fonctionnement du service AV 37 2006 9 28 e SWIFT affirme que dans les conventions contractuelles avec les institutions financi res la qualification de SWIFT en tant que sous traitant a t tablie e SWIFT avance qu elle dispose en tant que sous traitant d une marge de man uvre normale pour d terminer l organisation de son service notamment au niveau des mesures techniques et organisationnelles n cessaires pour effectuer le traitement e SWIFT affirme qu elle offre ses services dans un environnement business to business elle n entretient pas de contact direct et n a pas non plus de relation contractuelle avec les clients des institutions financi res parmi lesquels des personnes physiques e SWIFT affirme enfin qu elle n a pas labor ou d velopp de capacit de recherche afin de rechercher des donn es caract r
49. mps r el et d une possibilit de blocage des recherches m me partir du moment o la bo te noire a t plac e dans un local physiquement prot g des autorit s am ricaines e si l UST cherchait un mandat judiciaire pour contraindre SWIFT respecter une sommation l UST serait d accord de ne pas invoquer comme pr c dent le respect par SWIFT des sommations ou de s y fier proc d par lequel SWIFT s est r serv tous les droits de d fense en cas d une telle action e la possibilit a t pr vue pour SWIFT de r cup rer dans la bo te noire tous les messages non collect s de l UST fut ce avec l obligation de conserver ces donn es tant que la possibilit existe qu une sommation soit prononc e quant ces donn es e des normes de confidentialit strictes sont fix es B 3 2 Information aux Autorit s de contr le Au d part seule la validit juridique des sommations tait v rifi e par le conseiller g n ral de SWIFT et des conseillers externes Les d cisions relatives au respect des sommations taient prises par le pr sident directeur CEO de SWIFT le comit de direction Board of Directors et le comit d audit Audit and Finance Committee ou AFC Le comit de direction a re u une br ve explication sur la sommation de la part du pr sident du comit d audit En mars 2002 une pr sentation a t faite ce sujet au comit de direction et une discussion a eu lieu Un rapport est depuis dre
50. mpte de la r glementation sur la transmission de donn es caract re personnel vers des pays tiers Les dispositions de la Directive 95 46 CE chapitre IV articles 25 et 26 r gissent cette probl matique et ont t repris partiellement dans la LVP plus pr cis ment aux articles 21 et 22 de la LVP SWIFT a communiqu la Commission qu elle estimait que l exigence d un niveau de protection ad quat d coulant de l article 21 de la LVP ne s appliquait pas au traitement dans le cadre de son service SWIFTNet FIN En r sum elle avance les arguments suivants cet gard e L interdiction de transfert de donn es article 21 1 ne serait pas valable tant donn que le transfert n a pas t effectu depuis la Belgique par la soci t m re e L interdiction de transfert de donn es ne serait pas valable tant donn que le transfert n a pas t effectu vers une soci t tierce et tant donn que selon une r gle du droit des soci t s la succursale centre de traitement aux Etats Unis de SWIFT sans personnalit juridique rel verait toujours juridiquement parlant de la soci t m re Cette unit juridique impliquerait que dans le cadre du service SWIFTNet FIN le traitement reste toujours soumis un niveau de protection ad quat savoir le droit belge e Subsidiairement pour autant que les exceptions l gales de l article 22 1 de la LVP soient bien d application SWIFT avance que le transfert serait
51. n cessaire l ex cution d un contrat entre la personne concern e et le responsable article 22 2 de la LVP soit que le transfert serait n cessaire l ex cution d un contrat dans l int r t de la personne concern e article 22 3 de la LVP soit que le transfert serait n cessaire ou rendu juridiquement obligatoire pour la sauvegarde d un int r t public important article 22 4 de la LVP e Le transfert a lieu dans un environnement fortement s curis avec un cryptage du contenu des messages Les articles 21 et 22 de la LVP sont d application d s qu il est question de soumettre des donn es caract re personnel un transfert vers un pays ne pr sentant pas un niveau de protection ad quat tel que les Etats Unis La LVP utilise de nouveau cet gard un crit re fonctionnel Etant donn que les articles 21 et 22 de la LVP sont pr cis s de mani re fonctionnelle et constituent un droit contraignant d ordre public les r gles du droit des soci t s peuvent difficilement r duire n ant l ensemble du r gime de protection en vertu de la Directive 95 46 CE La Commission constate que dans le cadre du fonctionnement normal du service SWIFTNet FIN il est question d un transfert de messages europ ens vers des centres de traitement en Europe et aux Etats Unis Le fait que les donn es soient envoy es une filiale ne constitue pas un crit re selon la LVP pour ne pas appliquer les conditions de la loi AV 37 2006
52. n ral de communication de donn es caract re personnel suite des sommations adress es eux m mes ou SWIFT SWIFT a avanc que le nombre de sommations adress es aux institutions financi res serait de l ordre de milliers voire m me de dizaines de milliers par an On peut donc douter du fait que les institutions financi res actives sur le march des paiements internationaux ne seraient pas au courant du principe g n ral des sommations e Les institutions financi res doivent en tant que prestataires professionnels pouvoir valuer les ventuels risques relatifs la vie priv e et les implications pour le client concern qui seraient li s au service SWIFTNet FIN auquel elles souscrivent en tant que prestataire professionnel Il est important cet gard de v rifier si la politique de protection de la vie priv e de l institution donneuse d ordre contient des dispositions claires quant ces risques e Vu leur contact direct avec les donneurs d ordre pour les instructions de paiement les institutions financi res jouent un r le de guichet essentiel La Commission n exclut pas que les institutions financi res soient consid r es comme interm diaires pour l exercice des droits des personnes concern es dans le cadre du service SWIFTNet FIN pour autant que cela se fasse au moyen d un accord clair avec SWIFT en tant que responsable du traitement dans le cadre du service SWIFTNet FIN Qui dispose ce qui suit
53. nanci res 34 CNIL Document d orientation adopt par la Commission le 10 novembre 2005 pour la mise en uvre de dispositifs d alerte professionnelle conformes la loi du 6 janvier 1978 modifi e en ao t 2004 relative l informatique aux fichiers et aux libert s AV 37 2006 20 28 N anmoins SWIFT aurait d r aliser que les mesures exceptionnelles en vertu du droit am ricain pouvaient difficilement l gitimer une violation cach e syst matique massive et de longue dur e des principes europ ens fondamentaux en mati re de protection des donn es Ce principe de base se retrouve au deuxi me alin a de l article 8 de la CEDH Les exigences de base strictes en vertu de cet article ont d j t expliqu es plusieurs reprises par la Cour europ enne des Droits de l homme notamment au moment de confronter des activit s secr tes de surveillance des crit res tels que l exigence de pr visibilit de la norme et l exigence de mesures de contr le suffisantes et effectives E 2 2 Principe de proportionnalit article 4 1 3 de la LVP et d lai de conservation article 4 1 5 de la LVP La Commission estime qu en l esp ce il semble s agir d un conflict of laws entre le droit am ricain et le droit belge qui a forc SWIFT faire des choix difficiles apr s la r ception des sommations am ricaines A la lumi re du principe de proportionnalit il est toutefois essentiel de v rifier si S
54. ns financi res et les personnes concern es en vertu de l article 9 2 de la LVP sur le transfert des donn es via PUST La Commission est consciente que des obligations l gales ou conventionnelles de confidentialit existent aussi bien pour des sommations am ricaines que pour des sommations belges ce qui implique que l obligation normale d information l gard de la personne physique concern e suspect qui fait l objet de la sommation ne sera pas toujours d application lors de l ex cution d une sommation Cependant la Commission attire l attention sur une diff rence fondamentale qui distingue les sommations de PUST des sommations dans le droit belge Sous la rubrique B 2 il a d j t pr cis que les sommations de l UST doivent tre qualifi es de demandes non individualis es et massives technique Rasterfandung carpetsweeping qui fonctionnent en deux phases ce qui diff re des sommations belges qui sont exerc es ab initio par cas individuel Il a galement t remarqu la fin de la rubrique B 2 que l UST a parfaitement le droit en vertu du droit am ricain de soumettre la section am ricaine de SWIFT une sommation afin que soient communiqu s tous les messages SWIFT Cela signifie donc que rien que pour 2005 un total de 2 518 290 000 messages SWIFTNet Fin peut tre soumis aux sommations Vu le deuxi me alin a de l article 8 de la CEDH les obligations de transparence subsistent a
55. on belge plus sp cifiquement de la LVP Il a galement t demand la Commission de mettre la disposition du Coll ge tous les l ments pouvant tre utiles pour remplir son mandat Lors de sa s ance du 5 juillet 2006 la Commission avait d j d cid d ouvrir d office une enqu te dans ce dossier sur la base de l article 32 1 de la LVP concernant le traitement de donn es caract re personnel sous la responsabilit de SWIFT sur la base de divers communiqu s de presse parus fin juin quant au r le de SWIFT lors de la transmission de donn es caract re personnel l US Department of the Treasury UST plus pr cis ment l Office of Foreign Assets Control OFAC SWIFT est une soci t coop rative de droit belge dont le si ge social est tabli en Belgique ayant une responsabilit limit e SCRL La Commission a enfin pris connaissance le 28 juin 2006 d une plainte publique formul e par l organisation privacy International l gard des autorit s et r gulateurs de protection des donn es de 33 pays concernant les communiqu s de presse voqu s ci avant L enqu te de la Commission s est exclusivement concentr e sur la probl matique susmentionn e et ne concernait donc pas les traitements de donn es caract re personnel propres aux activit s administratives ou de management normales d une entreprise administration du personnel gestion de la client le etc La Commission constate ici
56. on peut signaler que la suite des attentats du 11 septembre 2001 deux accords internationaux ont t n goci s entre l Union europ enne et les Etats Unis Ceux ci ont t sign s le 25 juin 2003 mais sont en attente d tre ratifi s par les deux parties En vertu de l article 18 de la Convention de Vienne sur le droit des trait s un Etat doit s abstenir d actes qui priveraient un trait de son objet et de son but lorsqu il a sign le trait ou a chang les instruments constituant le trait sous r serve de ratification tant qu il na pas manifest son intention de ne pas devenir partie au trait La Commission constate cependant que SWIFT s est limit e au respect du droit am ricain et la recherche de solutions via des n gociations secr tes avec PUST La Commission regrette que les alternatives susmentionn es n aient pas t envisag es et que les autorit s europ ennes comp tentes en mati re de protection des donn es n aient pas t consult es afin de confronter le transfert massif de donn es caract re personnel PUST au regard du droit europ en En ce qui concerne l application du principe de proportionnalit la Commission fait remarquer que le transfert massif cach durant depuis des ann es et syst matique de donn es caract re personnel peut galement tre consid r comme une violation de l article 4 1 3 de la LVP Enfin le contr le du d lai de conservation des d
57. onn es data retrieval policy Il est compl t par la politique de compliance de SWIFT Les messages envoy s lectroniquement peuvent tre compar s une enveloppe et une lettre o l enveloppe ou l en t te du message concerne des informations sur l exp diteur son code BIC une identification de la banque r ceptrice et enfin la date et l heure du message La lettre contenu de l enveloppe donc le message en lui m me est crypt e au moyen du cryptage PKI et contient des informations int gr es au moyen de champs standardis s S il s agit d un message concernant un paiement d un client d une banque ces informations contiennent au minimum le montant de la transaction la devise la date valeur le nom du b n ficiaire l institution financi re du b n ficiaire le client qui a demand la transaction financi re et l institution financi re de ce client Les messages relatifs aux paiements peuvent toutefois contenir galement d autres informations comme des num ros de r f rence pour les paiements et pour certains types de messages du texte non structur free format Le trajet d un message de paiement international envoy par l interm diaire du service SWIFTNet FIN se d roule comme suit la premi re et la quatri me tape sont effectu es en dehors du fonctionnement de SWIFT 1 un ordre de paiement individuel d un client donneur d ordre un individu ou une entreprise est envoy sa banque
58. onn es dans la bo te noire doit galement tre jug essentiel la lumi re du respect du principe de proportionnalit Une distinction est tablie entre le d lai de conservation normal qui est d usage dans le cadre du fonctionnement normal des centres de traitement de SWIFT et les d lais de conservation 38 Publi es sur le site http www fatf gafi org Voir http www fatf gafi org dataoecd 42 43 33628117 PDF concernant les 40 recommandations Countries should establish controls and safeguards to ensure that information exchanged by competent authorities is used only in an authorised manner consistent with their obligations concerning privacy and data protection Zie http www egmontgroup org about_egmont pdf a Agreement on extradition between the EU and the US et l Agreement on mutual legal assistance between the EU and the US Voir les publications sur http eur lex europa eu LexUriServ site en oj 2003 1_181 1_18120030719en00270033 pdf et http europa eu int eur ex pri en oj dat 2003 1_181 1_18120030719en00340042 pdf search 22Agreement 200n 20mutual 20legal 20assi stance 20between 20the 20european 20union 22 Convention de Vienne sur le droit des trait s 23 mai 1969 M B du 25 d cembre 1993 entr e en vigueur le 1 octobre 1992 Les Etats Unis ont sign ce trait aa Compte tenu de l analyse des overseers qui se sont d j d clar s incomp tents en 2002 en mati re de sommations AV 37 2006 22
59. r le contenu correct des champs pr vus En outre seule la direction de SWIFT d cide de l installation des 18 Voir la recommandation n 01 98 de la Commission relative au Syst me de r servation automatis du 14 d cembre 1998 19 La Commission souligne ici l exemple des syst mes de r servation automatis s qui existent dans le secteur a rien et qui comprennent d une part des clients comme les compagnies a riennes et les agences de voyage et d autre part les exploitants de ces syst mes de r servation comme Galileo Les responsabilit s des deux acteurs ont d j t comment es au nom de la CNIL le 11 septembre 1996 l occasion de la 18 Conf rence internationale de protection de la vie priv e et des donn es nominatives Voir le texte sur le site de la DPA canadienne http www privcom gc ca speech archive 02 05 a 960918 03 fasp D apr s rapport AV 37 2006 11 28 centres de traitement et de la distribution des services via l tablissement de ses bureaux de vente SWIFT dispose enfin d une grande autonomie quant l imposition de sa politique de protection des donn es aux institutions financi res concernant des l ments qui tombent en dehors des obligations normales d un sous traitant et d un contrat de sous traitant voir article 16 1 de la LVP Par exemple la politique de compliance no comment policy diff re de la politique de certains clients europ ens de SWIFT et des clauses relatives la vie pr
60. rait tre compromis Ceci n emp che toutefois pas que si un nombre critique de demandes SWIFT parlait d une demande du march d adaptation du service ou de d veloppement d un nouveau service survenait SWIFT adapterait ses services en troite concertation avec ses membres Un exemple concret de la possibilit susmentionn e r side dans le fait que les informations trait es dans le cadre du service SWIFTNet FIN ont d j t adapt es suite la demande de la Financial Action Task Force FATF GAFI et apr s consultation des institutions financi res afin d accro tre les possibilit s d identification des personnes physiques e SWIFT n est pas un sous traitant du fait qu elle peut prendre des d cisions quant la finalit et aux moyens des traitements d cisions qui vont d ailleurs plus loin que l espace de man uvre normal d fini l galement dans lequel un sous traitant normal peut d cider lors de l exercice des missions qui lui sont confi es Du fait que SWIFT poursuit des finalit s propres dans le cadre des op rations du service SWIFTNet FIN elle est justement en mesure d offrir une valeur ajout e par rapport au service fourni par ses concurrents parmi lesquels ses propres clients Une illustration de la valeur ajout e offerte par SWIFT concerne le d cryptage automatique des donn es dans les centres de traitement par lequel SWIFT op re une v rification formelle quant au contenu de chaque message afin de v rifie
61. raitement de donn es caract re personnel via le service SWIFTNet FIN ou qui pouvait prendre de facto les d cisions cruciales relatives la finalit et aux moyens des traitements Des crit res formels comme la d finition contractuelle des services ou la qualit des parties contractantes sont cet gard utiles mais a priori non d terminants Pour appr cier correctement une qualification possible des acteurs pr cit s il convient galement de garder l esprit quelles finalit s et donc quels traitements sont vis s La Commission estime n cessaire d op rer une distinction entre les traitements suivants d une part assurer le fonctionnement du service SWIFTNet FIN et d autre part effectuer des ordres de paiement internationaux faisant appel au service SWIFTNet FIN D 1 Le traitement de donn es caract re personnel dans le cadre du service SWIFTNet FIN SWIFT a syst matiquement affirm qu elle n tait pas responsable du traitement pour le service de messagerie mais seulement un sous traitant Dans les contacts avec la Commission SWIFT s est bas e cet gard sur un certain nombre d arguments qui peuvent tre r sum s comme suit e SWIFT se compare un prestataire de service postal de t l communications ou de courrier lectronique dont on estime normalement qu il n est pas responsable de traitement mais seulement un sous traitant Le consid rant 47 de la Directive 95 46 CE dispose que lorsqu un
62. ressort le pouvoir judiciaire car il offre les meilleures garanties d ind pendance d impartialit et de proc dure r guli re En maintenant la surveillance massive et secr te l insu des autorit s europ ennes comp tentes en mati re de protection des donn es et sans contr le ind pendant au sein des Etats Unis le seul contr le a t men par des soci t s du secteur priv savoir SWIFT et son auditeur il y a eu violation des exigences de l article 28 de la Directive 95 46 CE 47 Notamment la gestion des membres la gestion de la client le 8 Loi relative la pr vention de l utilisation du syst me financier aux fins du blanchiment de capitaux et du financement du terrorisme 8 Ind pendamment du fait que la BNB en tant que lead overseer ait t inform e de l existence de la premi re sommation et que les institutions financi res sont cens es conna tre la pratique des sommations et le fait que les transactions SWIFT devaient tre soumises ces sommations selon les documents contractuels 50 The rule of law implies inter alia that interference by the executive authorities with an individual s rights should be subject to effective supervision which should normally be carried out by the judiciary at least in the last resort since judicial control affords the best guarantees of independence impartiality and a proper procedure see the Klass and Others judgment cited above pp 25 26 55
63. s caract re personnel Les traitements de donn es caract re personnel sont caract ris s dans le droit europ en par le haut niveau de protection tabli en Europe en vertu des conventions applicables comme l article 8 de la CEDH la Convention n 1087 et les directives europ ennes applicables telles que la Directive 95 46 CE La Commission souligne un certain nombre de malentendus fr quents qui existent parfois au sujet des notions de protection ad quate et de respect de la norme ou de la loi relative la protection de la vie priv e Elle souligne pour l interpr tation de ces notions qu il ne suffit pas uniquement de proc der un contr le par un auditeur externe de respecter des standards ou normes techniques et de pr voir des mesures de s curit technique ad quates Les principes applicables de la LVP vont bien plus loin L on examinera donc ci apr s si SWIFT a respect tous les principes applicables de la LVP m me si elle a d j atteint un haut degr de protection des donn es Lors de l valuation une distinction a t faite entre la question de savoir si d une part des infractions la LVP ont t commises dans le cadre du fonctionnement normal du service SWIFTNet FIN et si d autre part des infractions la LVP ont t commises dans le cadre du transfert des donn es l UST E 1 SWIFT a t elle commis des infractions la LVP dans le cadre du fonctionnement normal du service SW
64. s traitements de compliance en vertu de la loi du 11 janvier 1993 sont assez courantes dans le chef des institutions financi res responsables En ne mentionnant pas dans la d claration les transferts de donn es aux Etats Unis et la finalit de compliance dans le cadre des sommations SWIFT a viol l article 17 1 de la LVP E 2 6 Exigence d un contr le ind pendant du transfert de donn es article 28 de la Directive 95 46 CE et article 8 de la CEDH Seule la direction de SWIFT semblait au courant des modalit s du transfert l UST avant les communiqu s de presse de juin 2006 en Belgique Le contr le ind pendant requis en vertu de l article 28 de la Directive 95 46 CE semble donc en grande partie emp ch par le fait que les transferts massifs de donn es par SWIFT ont t trait s avec la plus grande confidentialit Ainsi ni les institutions financi res concern es ni les autorit s europ ennes comp tentes en mati re de protection des donn es n ont t mises au courant du ph nom ne massif des sommations am ricaines L exigence d un contr le ind pendant d coule toutefois galement du deuxi me alin a de l article 8 de la CEDH Dans l affaire Rotaru la Cour europ enne des Droits de l homme a affirm La norme juridique implique entre autres qu une ing rence de l ex cutif dans les droits de l individu soit soumise un contr le efficace que doit normalement assurer au moins en dernier
65. sion et l autorit de protection des donn es fran aise la CNIL ont d j d fendu ici le point de vue de la responsabilit conjointe Pour les r seaux coop ratifs pr cit s les autorit s de protection des donn es partent donc surtout ces derni res ann es d une coresponsabilit des utilisateurs professionnels de la banque de donn es et du gestionnaire de la base de donn es Maintenant que le contexte dans lequel le traitement est effectu a t pr cis il reste la question de savoir si et dans quelle mesure SWIFT et ou les institutions financi res ont d fini la finalit et les moyens du service SWIFTNet FIN SWIFT est un coresponsable pour autant que avec d autres les institutions financi res c est dire conjointement elle d termine la finalit et les moyens des traitements e Le service de SWIFT n est pas un simple service de transport et ne peut tre r duit l ex cution d une mission pour quelqu un d autre qui d terminerait enti rement cette mission La r alit est que la direction de SWIFT plus que les institutions financi res d termine les modalit s de livraison des services au moyen de contrats d affiliation et de standards techniques qui sont en grande partie tablis Par ailleurs si chaque institution financi re individuelle souhaitait et pouvait mettre en uvre un certain format ou une adaptation de la protection des donn es il est clair que le traitement standardis de SWIFT pour
66. ss de fa on p riodique SWIFT a galement inform le Senior level oversight Group G 10 dont la Banque nationale de Belgique Par lettre du 10 ao t 2006 la Commission a interrog la Banque nationale de Belgique BNB sur ses comp tences de surveillance Dans une r ponse du 29 ao t 2006 celle ci a confirm que la BNB en sa qualit de overseer a t inform e par SWIFT en f vrier 2002 de l existence d une sommation am ricaine l encontre de l agence de SWIFT aux Etats Unis AV 37 2006 7 28 La BNB estime ne pas tre comp tente pour appr cier le respect par SWIFT des sommations successives de l UST Ce point de vue est galement partag par le G 10 C APPLICABILITE DE LA LVP Il y a lieu de v rifier si la LVP s applique SWIFT en sa qualit d exploitant du syst me SWIFTNet FIN et ce en tant que responsable du traitement ou en tant que sous traitant C 1 Champ d application territorial La LVP est applicable au traitement de donn es caract re personnel lorsque le traitement est effectu dans le cadre des activit s r elles et effectives d un tablissement fixe du responsable du traitement sur le territoire belge article 3bis 1 de la LVP Le si ge social et le si ge d cisionnel de SWIFT sont tablis en Belgique et la soci t a un num ro d entreprise belge tant le 413330856 Il ne fait d s lors aucun doute qu il s agit bien d activit s r elles et effectives
67. ttre en cause la l gitimit des sommations am ricaines E 2 4 Obligation d information dans le chef de SWIFT articles 4 1 2 et 9 2 de la LVP et article 8 de la CEDH La Commission tablit que tout contr le de la finalit d pend enti rement de la transparence requise et de la d finition pr cise des finalit s du traitement Elle fait remarquer ce sujet que e La finalit exacte du traitement combattre le terrorisme a en principe t impos e et d finie dans les sommations dont la finalit exacte a toujours t trait e avec la plus grande confidentialit et de fa on non transparente Les d lais de conservation que l UST utiliserait pour les donn es qu elle a r unies apr s extraction de la bo te noire ne sont pas connus Voir par exemple un article dans le Knack du 9 ao t 2006 dans lequel l auteur sugg re qu il serait question d affaires qui n auraient aucun rapport avec le terrorisme comme une affaire li e la drogue AV 37 2006 23 28 e Les finalit s qui ont t formul es dans les communications de SWIFT au grand public avant le 23 juin 2006 et donc aux personnes concern es restaient tr s vagues et aucun lien clair n a t mentionn avec le terrorisme mention d activit s ill gales et comportement ill gal dans la politique publique de compliance de SWIFT e Ce n est que dans les communiqu s de presse g n raux diffus s apr s le 23 juin 2006 qu il a t
68. u niveau collectif donc en ce qui concerne le ph nom ne des demandes de renseignements massives via des sommations europ ennes ou am ricaines Compte tenu du caract re secret massif et inhabituel du transfert de donn es la Commission estime d s lors que SWIFT devait au moins informer les institutions financi res et les autorit s de contr le en mati re de protection des donn es autorit s europ ennes DPA dont la Commission des sommations de PUST 46 Chiffre mentionn dans la m me lettre de SWIFT du 14 septembre 2006 On peut galement partir d une circulation de messages normale moyenne journali re via SWIFTNet FIN se situant entre 6 9 millions 2005 et 11 millions de messages par jour d but 2006 et qui peut tre soumise int gralement aux sommations AV 37 2006 24 28 E 2 5 Obligation de d claration En vertu de l article 17 6 de la LVP une transmission de donn es caract re personnel l tranger doit tre d clar e SWIFT a effectu cette d claration pour une multitude d autres traitements mais pas pour le transfert de donn es l UST et encore moins pour la finalit de compliance Ceci est trange tant donn qu il n est pas inhabituel pour des institutions financi res et d autres prestataires de services financiers tels que SWIFT de d clarer leur finalit de compliance et leurs transferts internationaux s par ment aupr s de la Commission Ainsi les r f rences de
69. udiciaire sur le plan international et europ en et qui sont vis es pour la pr vention et la lutte contre le financement du terrorisme via un acc s des donn es au sein d institutions financi res ne semblent pas suivies 3 Formul comme suit II ne peut y avoir ing rence d une autorit publique dans l exercice de ce droit que pour autant que cette ing rence est pr vue par la loi et qu elle constitue une mesure qui dans une soci t d mocratique est n cessaire la s curit nationale la s ret publique au bien tre conomique du pays la d fense de l ordre et la pr vention des infractions p nales la protection de la sant ou de la morale ou la protection des droits et libert s d autrui 38 Voir l affaire Rotaru contre Roumanie 55 et suivants qui fait r f rence des affaires ant rieures telles que Malone contre Royaume Uni du 2 ao t 1984 Series A n 82 p 32 67 et Amann contre Suisse GC n 27798 95 65 Cour europ enne des Droits de l homme 2000 II 56 3 Le USA PATRIOT Act Public Law 107 56 ou en toutes letters le Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001 est une proposition de loi am ricaine H R 3162 qui a t adopt e la majorit en 2003 par le Congr s am ricain La loi a pour but d offrir plus de possibilit s l autorit am ricaine de r unir des informations et d interven
70. ure ad quate et requise pour pr voir les garanties ad quates pour les transferts de donn es quotidiens et massifs effectu s via les centres de traitement d une entreprise multinationale telle que SWIFT Un tel code de conduite doit toutefois tre autoris en Belgique par le Roi apr s avis de la Commission La Commission estime que la protection que SWIFT a pr vue pour le traitement des donn es dans le cadre de son centre de traitement aux Etats Unis ne satisfait pas aux articles 21 et 22 de la LVP articles 25 et 26 de la Directive 95 46 CE 30 Notamment le d cryptage automatique et la v rification formelle des donn es 31 Voir la D cision 2000 520 CE de la Commission du 26 juillet 2000 conform ment la Directive 95 46 CE du Parlement europ en et du Conseil relative la pertinence de la protection assur e par les principes de la sph re de s curit et par les questions souvent pos es y aff rentes publi s par le minist re du commerce des tats Unis d Am rique notifi e sous le num ro C 2000 2441 3 Voir ce sujet http europa eu int comm justice_home fsj privacy modelcontracts index_en htm AV 37 2006 19 28 E 2 SWIFT a t elle viol la LVP lors du transfert de donn es l UST La Commission souhaite v rifier ci apr s si SWIFT a viol la LVP dans le cadre de la communication de donn es caract re personnel PUST E 2 1 Base l gale article 5 de la LVP article 7 b de la Directive 95 4
71. utions sont recherch es au niveau europ en quant l exigence d un niveau de protection ad quat lors du transfert de ces donn es aux USA 52 Voir le document de travail du 24 juillet 1998 du Groupe 29 concernant le transfert de donn es personnelles vers des pays tiers application des articles 25 et 26 de la directive relative la protection des donn es publi sur http ec europa eu justice home fsj privacy workinggroup wpdocs 1998 en htm AV 37 2006 26 28 en ce qui concerne le traitement normal de donn es caract re personnel dans le cadre du service SWIFTNet FIN SWIFT aurait d respecter ses obligations en vertu de la LVP dont l obligation d information l obligation de d claration et l obligation de pr voir un niveau de protection ad quat conform ment l article 21 2 de la LVP en ce qui concerne la communication de donn es caract re personnel l UST la Commission estime que SWIFT se trouve en situation de conflit entre le droit am ricain et europ en et a au minimum commis un certain nombre de fautes d valuation lors du traitement des sommations am ricaines Qu il convient notamment de consid rer comme une grave erreur d valuation dans le chef de SWIFT le fait d avoir soumis une surveillance pendant des ann es une quantit massive de donn es caract re personnel ce secr tement et syst matiquement sans justification suffisante et claire et sans contr le ind pendant conform ment
Download Pdf Manuals
Related Search