Le Parlement européen a suivi sa commission « LIBE » qui deux jours auparavant avait adopté la recommandation rédigée par Alexander Alvaro (ADLE, DE) par 41 voix pour, 9 voix contre et 1 abstention. En plénière l’adoption s’est faite à une majorité écrasante comme il était prévu par484 voix pour, 109 contre et 12 abstentions. L’accord entrera donc en vigueur le 1er août. L‘accord est conclu pour une durée de cinq ans, et serait ensuite renouvelable année par année. Toutefois, la mise en place du TFTP Européen, sur lequel la Commission va initier les premiers travaux ce second semestre 2010, conditionne la durée de l’accord et européens et américains devront faire le point sur le fonctionnement des garde-fous et des systèmes de contrôle de l’accord, au plus tard six mois après son entrée en vigueur.
Point clé pour l’accord pour le Parlement européen, l’élimination, à terme, des transferts de données « en vrac »: en contrepartie d’un soutien à l’accord, les députés ont obtenu que les travaux débutent dans les douze mois sur la mise en place d’un équivalent européen au « Terrorism Finance Tracking Programme » (TFTP) nord-américain, qui mettrait fin aux transferts de données bancaires non-individualisées. L’Europe aurait en effet une structure permettant d’analyser les données sur son sol et ne transmettrait alors que les informations relatives à une piste terroriste précise.
Autre nouveauté de l’accord: il confère à Europol la capacité de bloquer les transferts de données vers les Etats-Unis: l’Agence basée à La Haye devra vérifier que chaque requête formulée par le Trésor américain est justifiée au regard de la lutte antiterroriste et que le volume de données demandé est aussi étroit que possible. Les données ne pourront être transférées qu’en « push » et non en « pull », c’est à dire qu’elles seront transmises par les Européens, et non collectées par les Américains eux mêmes. Ce dispositif a fait l’objet des critiques généralisées de la part des députés.
Un représentant de l’UE sera présent aux Etats-Unis pour surveiller l’utilisation des données. En effet la nouvelle version de l’accord prévoit que l’utilisation des données par les Américains, qui doit être exclusivement à caractère antiterroriste, soit supervisée par un groupe de contrôleurs indépendants, incluant une personne désignée par la Commission européenne. Cette personne aura la possibilité de demander justification avant toute utilisation des données et de bloquer les recherches qu’elle estimera illégitimes.
L’accord interdit au TFTP américain de procéder à la fouille complète (« data mining ») des données ou à tout type de recherche automatisée, de profilage algorithmique ou de filtrage électronique. Toutes les recherches conduites dans les données SWIFT devront être basées sur une information préexistante selon laquelle l’objet de la recherche est en lien avec le terrorisme ou son financement.
Un droit à la réparation pour les citoyens européens existe conformément aux exigences du Parlement : en février dernier, après avoir rejeté l’accord précédent, les députés avaient exigé que toute nouvelle proposition permette que soient garanties aux citoyens européens les « mêmes procédures judiciaires de réparation que celles qui s’appliquent aux données détenues sur le territoire de l’Union européenne, en particulier du versement d’une indemnisation en cas de traitement illégal de données à caractère personnel ». Les députés faisaient valoir que le « US Privacy Act », qui protège les citoyens américains contre de tels abus, ne s’applique pas aux citoyens européens qui en seraient victimes sur le sol américain. La nouvelle proposition indique cette fois que la loi américaine doit prévoir des droits de recours sans discrimination de nationalité et d’obtenir réparation. Toute personne a le droit de demander la rectification, l’effacement ou le verrouillage de ses données à caractère personnel traitées par le département du trésor américain lorsqu’elles sont erronées ou traitées de façon contraire à l’accord. Toute personne pourra envoyer une demande motivée à son autorité compétente dans l’UE et chargée de la protection des données, qui transmettra la demande au responsable de la vie privée au département du Trésor américain . Ce dernier procèdera à toutes les vérifications nécessaires et fera savoir à l’autorité compétente dans l’UE si les données ont été rectifiées, effacées ou verrouillées et si les droits de la personne ont été totalement respectées mise en cause. Le texte indique que les données extraites ne pourront être conservées que pendant la durée des procédures et investigations pour les quelles elles sont utilisées. ; L’accord indique que les citoyens disposent, sans discrimination de nationalité, de droits de recours administratif ou judiciaire devant leur permettre d’obtenir réparation, le cas échéant. Tout partage de l’information concernant un ressortissant de l’UE avec l’autorité d’un pays tiers est soumis est soumis à l’accord préalable de l’Etat membre concerné, sauf lorsque le partage des informations est essentiel pour prévenir une menace grave ou /et immédiate. Dans ce cas les autorités de l’Etat membre concerné seront informées dans les meilleurs délais. Est-ce suffisant ? Le Privacy act constitue-t-il en soi une garantie ? Toute la controverse réside pour une bonne part dans l’appréciation que les uns et les autres portent sur le Privacy act.
Rétention et effacement des données : le texte indique, rappelons- le à nouveau, que les données extraites ne pourront être conservées que pendant la durée des procédures et investigations spécifiques pour lesquelles elles sont utilisées. Chaque année, le Trésor américain devra faire le bilan des données non-extraites, c’est à dire non-individualisées, qui ne seront plus utiles à des fins antiterroristes, et les effacer. La durée de conservation continue à faire l’objet de perception différente selon les députés.
Enfin, l’accord introduit la possibilité à l’une des deux parties de suspendre l’accord, avec effet immédiat, en cas d’infraction à ses règles par l’autre partie.
Le consensus majoritaire s’est construit sur l’acceptation de ces points de vue mis en avant par les intervenants comme par le rapporteur. Cependant deux opinions minoritaires ont persisté jusqu’au vote. Le compromis a été soutenu par les groupes PPE, S&D et ADLE. Les groupes Verts/ALE, GUE/NGL et EFD s’y sont opposés. Deux opinions minoritaires ont été ajoutées en annexe du rapport. La première, signée par six députés des groupes GUE/NGL et Verts/ALE, déclare que « l’accord ne satisfait pas aux garanties demandées par le Parlement européen dans ses précédentes résolutions », notamment sur la question des transferts de données « en vrac ». En outre, « le rôle d’Europol n’est pas clair et impliquera une modification de son mandat (…) Europol n’est pas une autorité judiciaire ». « Cet accord représente une violation claire de la législation communautaire sur la protection des données », indiquent les députés, qui estiment également que la durée de conservation des données « est beaucoup trop longue » et que les dispositions sur les droits des personnes « ne répondent pas du tout aux critères européens ». La seconde, signée par Gerard Batten (EFD, UK) juge la législation proposée « illégitime d’un point de vue démocratique ». En outre, « le projet d’accord a été mis à la disposition d’un nombre restreint de députés le 27 mai » indique le député. Enfin, « ces données financières (…) appartiennent à des individus et non pas à l’Union européenne ou au Parlement ».
DANS SON EXPOSÉ DES MOTIFS, le Parlement a fait valoir les points suivants pour donner son avis conforme
Depuis le 11 février, date du rejet par le Parlement européen, les travaux se sont engagés et conclus à un rythme effréné. Trop rapide ? l’avenir le dira. C’est le 11 mai 2010, que le Conseil a autorisé la Commission à commencer les négociations, au nom de l’Union européenne, avec les États-Unis, afin de mettre à la disposition du département du Trésor des États-Unis des données de messagerie financière dans le cadre de la prévention du terrorisme et du financement du terrorisme ainsi que de la lutte contre ces phénomènes. La Commission a conclu les négociations le 11 juin, et le 28 juin, l’accord a été signé et le Conseil a en même temps demandé l’avis conforme du Parlement européen sur la proposition de décision du Conseil relative à la conclusion de l’accord susmentionné.
Le Parlement européen a exprimé son avis sur le mandat de négociation à plusieurs reprises dans des résolutions précédentes, et en dernier lieu le 5 mai , en indiquant un certain nombre d’améliorations que l’accord devrait inclure, notamment:
-. qu’une double approche peut être acceptée si des garanties rigoureuses sont inclues dans l’accord envisagé entre l’Union européenne et les États-Unis, et qu’à plus long terme, une solution durable, juridiquement solide et européenne au problème de l’extraction des données souhaitées sur le territoire européen devrait être envisagée;
-. qu’une autorité publique à caractère judiciaire devrait être envisagée au sein de l’Union européenne, à laquelle incomberait la responsabilité d’instruire les requêtes du Trésor des États-Unis;
-. que l’accord devrait également prévoir des évaluations et une révision des garanties par la Commission, à intervalles réguliers pendant sa durée d’application;
-. que les droits des citoyens européens et américains (notamment accès, rectification, suppression, dédommagement et recours) devraient être mis en place de manière non discriminatoire, quelle que soit la nationalité de la personne dont les données sont traitées en vertu de l’accord.
Dés lors la cause était entendue et pour son rapporteur le Parlement devait donner son avis conforme, l’accord soumis au Parlement pour avis conforme représente des améliorations substantielle et conformes aux demandes réitérées des parlementaires.
De tout cela que retient le rapporteur, Alexander Alvaro, comme améliorations par rapport à l’ancien accord ? Le nouvel accord contient, souligne-t-il, les améliorations suivantes:
-. L’accès aux données et leur extraction sur le sol américain par les agences américaines seront contrôlés et si nécessaire bloqués par un fonctionnaire européen (article 12, paragraphe 1). Cette procédure empêchera la possibilité de fouille de données et d’espionnage économique.
-. La procédure relative aux recours juridictionnels pour les citoyens européens est définie de façon plus détaillée (article 18).
-. Le droit de rectification, d’effacement ou de verrouillage est plus important (article 16).
-. La réglementation relative à la transparence du TFTP américain est devenue plus détaillée (article 14).
-. La procédure relative aux transferts de données vers des pays tiers est définie de façon plus précise (article 7).
-. La portée de la lutte contre le terrorisme est définie et clarifiée comme demandé par le Parlement (article 2).
-. Europol doit vérifier si les demandes américaines concernant des données financières répondent aux exigences de l’accord et si elles sont adaptées aussi strictement que possible, avant que le fournisseur de données ne soit autorisé à transférer les données (article 4).
-. Si des données financières qui n’étaient pas demandées sont transmises (par exemple pour des raisons techniques), le département du Trésor américain est tenu de supprimer ces données (article 6).
-. Les données SEPA (espace unique de paiements en euros) sont exclues des transferts. En plus des améliorations au sein de l’accord, le Conseil et la Commission se sont engagés de façon juridiquement contraignante à fixer le cadre juridique et technique permettant l’extraction de données sur le territoire de l’Union européenne. À moyen terme, cet engagement garantira la fin des transferts de données non individualisées aux autorités américaines. L’établissement d’un système d’extraction européen représente une amélioration très importante, étant donné que la poursuite des transferts de données en vrac déroge à la législation de l’UE et à ses pratiques. Par conséquent, l’approche en trois étapes qui est envisagée, est la bienvenue:
Autres améliorations le calendrier des mises en œuvre et des vérifications :
-. Étape 1: la Commission présentera après un an une proposition de cadre juridique et technique.
-. Étape 2: rapport d’exécution par la Commission sur le système d’extraction européen après trois ans. Ce rapport permettra non seulement au Parlement de vérifier si les engagements de la Commission et du Conseil ont bien été remplis mais aussi d’exiger des modifications à l’accord, conformément aux progrès du système d’extraction européen (l’accord prévoit des ajustements si l’Union européenne décide de fixer son propre système d’extraction (article 11)).
-. Étape 3: éventuelle résiliation de l’accord après 5 ans, si le système d’extraction européen n’a pas été mis en place.
De plus, la Commission déclare qu’une fois que le futur accord général entre l’Union européenne et les États-Unis sur la protection des données aura été conclu, cet accord (TFTP) sera évalué à la lumière de celui-ci.
Cependant il est souligné que certaines dispositions devront encore être clarifiées lorsque les modalités concrètes seront choisies. Parmi celles-ci : le rôle de Europol. Étant donné qu’Europol n’est pas l’autorité judiciaire envisagée par le Parlement, il convient de veiller à ce qu’il y ait un contrôle indépendant d’Europol dans son traitement des demandes américaines, ce qui pour la durée de l’accord pourrait par exemple être assuré par le détachement d’un contrôleur européen de la protection des données. Il convient également d’assurer la participation du Parlement européen au processus de sélection de la personne indépendante de l’Union européenne, comme mentionné à l’article 12, paragraphe 1. L’accord final, en liaison avec les engagements juridiquement contraignants contenus dans la décision du Conseil, répond à la plupart des exigences du Parlement. Il prend en charge à la fois les préoccupations en matière de sécurité et de protection de la vie privée des citoyens de l’Union européenne et assure des solutions juridiquement contraignantes aux problèmes connus.
Couronnant le tout, l’accord marque également une nouvelle étape dans les prérogatives du Parlement, assurant le contrôle démocratique des accords internationaux. Ce succès incontestable a amené le Parlement européen à faire preuve d’indulgence sur d’autres points et à fermer les yeux (provisoirement ?) sur certains détails.
Tout avait été dit et réitéré et le débat en plénière a manqué de ce fait de piments et pour tout dire d’intérêt. Le scepticisme n’a pas manqué à certains députés, y compris chez ceux qui ont voté en faveur de la résolution proposée. Un grand succès estime pour le PPE l’autrichien Ernst Strasser à qui le rapporteur garantissait la fin des transferts « en vrac », alors que son collègue portugais, PPE lui aussi, Carlos Coelho tenait à rappeler ses doutes sur le rôle d’Europol. C’est un accord amélioré, même s’il n’est pas parfait se bornait à constater le socialiste britannique Claude Moraes. Timothy Kirkhope (ECR britannique) se réjouissait des recours juridictionnels, des mécanismes de verrouillage, de vérification et de la perspective d’un TFTP européen. Plus significative fut la prise de parole de la très compétente députée libérale néerlandaise, Sophie In’t Veld (ALDE) : elle vote oui, mais avec beaucoup d’hésitations et s’interroge pour savoir si la décision finalement n’appartient pas aux juges.
Les opposants n’ont pas manqué de s’exprimer avec éclats et en tout premier lieu la française Hélène Flautre (Verts/Ale) qui ,comme son groupe, n’a pas voté la résolution. Pour elle, les deux grands groupes politiques (S&D,PPE) n’ont fait que jeter des « écrans de fumée sur cet accord (…)cet accord n’est pas absolument différent du précédent sur les principaux points : transferts en vrac,( ans de rétention, pas de recours pour les citoyens européens ». Elle est rejointe par le portugais Rui Tavares (GUE/NGL) pour qui on retrouve le transfert en vrac : un milliard de données par an. Il s’interroge sur la portée des garanties juridiques : Europol n’est pas l’agence responsable en matière de protection des données personnelles des citoyens. Pour Gerard Batten (EFD britannique) cet accord est illégal en vertu de la législation de son pays. Pour la présidence en exercice du Conseil (Stefaan De Clerck, ministre belge de la Justice) comme pour la Commission (Cecilia Malmström) il s’agit d’un bon résultat, équilibré avec beaucoup d’améliorations. Le ministre belge place tout son espoir dans le TFTP européen qui permettra de se libérer de la tutelle américaine et de ne plus s’en remettre exclusivement à eux.
Une étape décisive vient d’être franchie, un nouveau cycle s’amorce avec sa dynamique propre, son contexte tout nouveau et assez largement inconnu. La lutte contre le terrorisme entre lui aussi dans un nouveau cycle, presque une décennie s’est écoulée depuis l’attentat du 11 septembre. Une grande première avec cet accord, une tentative de définition de ce qu’est le terrorisme, définition très imparfaite que ne ratifierait pas la communauté internationale. Le Parlement l’avait exigée, mais il s’est laissé abusé par quelque chose qui reste inconsistant et peu opérationnel. Cependant c’est une première pierre, utile, qui complète, bien qu’imparfaitement, la récente déclaration UE-Etats-Unis sur la lutte contre le terrorisme. Au moment de faire le bilan, le sentiment dominant est, peut-être, celui de l’incrédulité : comment une chose pareille a-t-elle pu naître, se développer dans le secret pendant autant d’années? Connue, révélée par la presse américaine, comment une telle chose a-t-elle pu persister ? Un vague échange de lettres entre les autorités des deux bords de l’Atlantique, un rapport burlesque du juge Bruguière débouchant sur un accord bâclé, un affrontement diplomatique sévère n’empêchant pas le rejet par le Parlement européen et finalement un accord consensuel construit plus sur la lassitude, la fierté de sa propre audace triomphante que sur une conviction solide d’avoir obtenu un bon accord. Le mot de « améliorations » est revenu dans toutes les bouches, tous les argumentations s’y réfèrent. Les améliorations sont indiscutables, considérables mêmes vues sous un certain angle, mais disant cela on est saisi par le vertige rétrospectif en regardant le vide de ce qui avait précédé. L’Europe revient de loin.
Un sentiment d’inachevé, les prochains mots seront-ils ceux des juges, saisis par des citoyens estimant que ne sont pas respectés leurs droits constitutionnels, pour ne pas dire la législation européenne en matière de protection des données personnelles ? L’avis, tardif, du contrôleur européen à la protection des données et du G 29 (cf. Nea say n° 89) qui exprimèrent leurs préoccupations, voire leurs inquiétudes, laissent planer une ombre sur un accord qui reste un accord du moyen terme pour ne pas parler d’un accord intérimaire. Au bout du compte reste sans réponse la question lancinante : est-ce que tout cela sert à quelque chose ? La question a été posée par les parlementaires lors de la visite à la commission LIBE des secrétaires d’Etat Chertoff puis Mme Napolitano : ils reçurent des réponses très évasives, sans réel contenu. Lors de la signature le 28 juin dernier de l’accord, un journaliste a posé la question au représentant américain : au cours de ces derniers mois aucune donnée n’a été transférée, l’accord n’a pas fonctionné d’où les pressions américaines pour aller le plus vite possible, la lutte contre le terrorisme a-t-elle subi des dommages ? Le représentant américain, Michael Dodman, n’a pas répondu clairement et la présidence espagnole a assuré que l’on allait travailler beaucoup pour rattraper le temps perdu ,ce qui ne constituait pas une réponse à la question qui portait sur les dommages éventuels infligés à la lutte contre le terrorisme.
Texte de la Recommandation sur la conclusion de l’accord Etats-Unis/Union européenne
Texte de la Décision du Conseil relative à la conclusion de l’accord entre l’Union européenne et les Etats-Unis d’Amérique sur le traitement et le transfert des données de messagerie financière de l’Union européenne aux fins du programme de surveillance du financement du terrorisme (FR) http://register.consilium.europa.eu/pdf/fr/10/st11/st11222-re01.fr10.pdf
(EN) http://register.consilium.europa.eu/pdf/en/10/st11/st11222-re01.en10.pdf
