Depuis le mois de juillet 2009, l’accès des USA aux données bancaires européennes de SWIFT et la décision du Conseil sur la négociation d’un accord permettant aux États-Unis de continuer à accéder aux informations bancaires du réseau SWIFT dans le cadre de la lutte antiterroriste, suscite de nombreuses craintes et polémiques en Europe.
Le 27 juillet 2009, le Conseil Affaires générales a approuvé en point A, c’est-à-dire sans discussion, sous la rubrique "UE/Etats-Unis" et sous le titre "Négociations concernant les données de messagerie financière", "des directives relatives aux négociations avec les Etats-Unis en vue d'un accord international destiné à mettre a la disposition du Département du Trésor des Etats-Unis des données de messagerie financière dans le cadre de la prévention du terrorisme et du financement du terrorisme ("système Swift")."
Le mandat de négociation donné à la présidence suédoise de l'UE et à la Commission vise à la conclusion d'un accord temporaire de la durée de quelques mois.
SWIFT (Society for Worldwide Interbank) est une société de droit belge, qui traite les flux financiers, à peu près 15 millions de transactions par jour, de plus de 8 000 banques dans le monde. Les systèmes informatiques de SWIFT sont situés aux Etats-Unis et aux Pays-Bas. Depuis les attentats du 11 septembre 2001, SWIFT avait donné accès à ses données aux autorités américaines dans le cadre de la lutte contre le terrorisme, sans se baser sur une base légale et sans en référer à ses clients européens et asiatiques.
En 2006, le journal New York Times avait révélé ces faits. La réaction du monde politique européen fut modérée. Le 28 septembre 2006, la commission belge de protection de la vie privée estima que SWIFT s'était mise en défaut par rapport à la loi belge en coopérant à l'insu de ses clients avec les autorités américaines dans le cadre de la lutte contre le terrorisme, mais elle n'exigea cependant pas l'arrêt de cette collaboration. Finalement, après deux ans d'enquête, en décembre 2008, la Commission belge de la protection de la vie privée déclara que SWIFT avait respecté la loi sur la vie privée et décida de clore les procédures ouvertes à l'encontre de la société.
Entretemps, les USA communiquèrent unilatéralement à l’UE leur façon de procéder, ce dont le Conseil prit note en juin 2007, de sorte et l’on arriva à un premier accord par échange de lettres. En février 2009, le Conseil "prit note des informations communiquées par la Commission concernant le réexamen des procédures régissant le traitement, l'utilisation et la diffusion de données relatives à des transactions financières et originaires de l'UE, qui sont acheminées via le réseau SWIFT et obtenues par le département du Trésor des Etats-Unis dans le cadre du programme américain de surveillance du financement du terrorisme (TFTP). La Commission a confirmé que le département du Trésor des Etats-Unis avait fait preuve de vigilance dès le départ pour respecter les garanties prévues pour le traitement des données à caractère personnel soumises au TFTP et pour limiter strictement ce programme a des objectifs de lutte contre le terrorisme. La Commission a désigné le juge Jean-Louis Bruguière pour être la "personnalité européenne éminente" chargée d'établir un premier rapport destiné à vérifier la protection des donnés à caractère personnel originaires de l'UE."
Une nouvelle donne est maintenant la décision de SWIFT, prise fin 2008, de construire un nouveau centre de stockage de données en Suisse. Ce centre de stockage remplacera le centre actuel qui est situé aux Etats-Unis. Il hébergera une copie de sécurité des transactions bancaires effectuées dans la zone européenne, dont l'original est stocké aux Pays-Bas. C’est donc par une délocalisation vers l'Europe du stockage des copies de sécurité de ses données que SWIFT a réagi aux controverses que les prises de connaissance régulières de ces transactions par le Gouvernement américain avaient déclenché en Europe. Le nouveau centre suisse de SWIFT devrait être opérationnel dès 2012.
Du côté américain, la crainte est grande que les données sur les transactions européennes puissent échapper au contrôle du gouvernement des Etats-Unis dans le cadre de leur lutte contre le terrorisme. D’où la nécessité de renégocier les accords entre l’UE et les Etats-Unis et le mandat approuvé le 27 juillet 2009.
"Il ne s'agit en aucune façon de donner un chèque en blanc aux États-Unis", a souligné le commissaire à la Justice, Jacques Barrot, répondant ainsi directement ou indirectement aux virulentes critiques qui proviennent des Verts au Parlement européen – un PE exclu du processus de décision dans cette affaire - mais aussi des libéraux et de la CSU allemands, des milieux bancaires dans certains pays, dont le Luxembourg, où les jeunes socialistes et les jeunes libéraux se sont manifestés par des communiqués au ton très vif.
Le porte-parole de Barrot a ajouté : "Sans accord, nous aurons une faille dans notre sécurité." Il existe en effet un gentlemen’s agreement selon lequel les Etats-Unis transmettraient aux Etats membres de l’UE leurs informations concernant des terroristes repérés à travers leur prise de connaissance des données de SWIFT. Faute d’accord, l’UE se priverait de cet échange d’informations.
Le ministre des Affaires étrangères luxembourgeois, Jean Asselborn, qui a participé au Conseil du 27 juillet et qui a approuvé la décision sur le mandat de négociations avec les Etats-Unis, s'est, selon la journaliste de l’hebdomadaire "Le Jeudi" (30 juillet 2009) "montré tiraillé entre sa fonction de ministre et son état de citoyen". Elle le cite : "Politiquement, on ne (pouvait) pas faire prédominer le secret bancaire par rapport à la lutte antiterroriste". Mais, "en tant que citoyen, j'ai des doutes". Selon Ozolins, Asselborn a fustigé "la disproportion des moyens mis en place sous la banderole de la lutte antiterroriste". Jean Asselborn plaide donc pour que l’on négocie des garanties supplémentaires pour la protection des données, afin de"ne pas considérer toute personne qui fait un transfert d'argent comme un terroriste".
Le quotidien "La Voix" du 28 juillet cite aussi Jean Asselborn : "Mais il reste que c'est une question d'ingérence dans la vie privée. D'autre part, le Grand-Duché ne pense pas qu'il soit opportun de s'opposer au projet, à cause de la sensibilité luxembourgeoise sur sa place financière."
Dans une interview donnée au Deutschlandfunk le 29 juillet 2009, Jean Asselborn a formulé les quatre garanties sur lesquelles il faudrait négocier avec les USA.
La première serait une possibilité de recours judicaire des personnes qui se sentiraient traitées de manière erronée.
La deuxième serait d’appliquer les règles communautaires de la protection des données aux prises de connaissance américaines.
Troisièmement, l’UE créera une autorité qui surveillera les transferts de données.
Finalement, les données scrutées ne pourront être utilisées que dans la lutte contre le terrorisme.
Asselborn ajoute : "Croyez-moi, si nous ne faisons rien et détournons notre regard et n’élaborons et ne négocions pas de garanties, alors le système actuel persistera, et dans quelques années nous saurons de nouveau que les Américains ont eu accès sur ces données."
Aux revendications de Jean Asselborn s’ajoute depuis le 30 juillet l’exigence, formulée par le commissaire européen à la Justice, Jacques Barrot, de "la complète et parfaite réciprocité" dans l’échange d’informations et la prise de connaissance de données avec les USA. "Nous voulons également surveiller et avoir le droit d’utiliser des données qui sont stockées aux USA."
Le 30 juillet 2009, le contrôleur européen de la protection des données, Peter Hustinx, a, de son côté, déclaré que le mandat de négociation approuvé par le Conseil le 27 juillet 2009 sur le transfert de données bancaires aux USA pourrait être soumis à la CJCE à Luxembourg. Il pense que le Parlement européen ira contester l’accord devant la CJCE, comme il l’avait déjà fait en 2006 dans l’affaire du transfert des données de passagers aux USA. La CJCE avait à l’époque donné raison au Parlement européen, en invoquant le fait qu’il n’y avait pas de base légale communautaire permettant le transfert de données pour des raisons de sécurité publique. Les transferts de données furent ensuite réglés par un accord intervenu en 2007. Pour Hustinx, qui est cité par le Handelsblatt du 30 juillet 2009, l’affaire SWIFT est beaucoup plus grave, dans la mesure où la prise de connaissance de données de SWIFT par les USA concerne des données européennes sans relation apparente avec les Etats-Unis. L’accord qui doit être négocié semble pour Hustinx avoir pour objectif de "permettre à des Etats tiers d’avoir accès à nos données." Hustinx conteste un tel précédent.