En réponse à la demande du Parlement européen et du Conseil de l'Union européenne, la Commission a adopté le 13 juillet 2011 une communication présentant les principales options envisageables en vue de la création d'un système de surveillance du financement du terrorisme (SSFT) propre à l'Union européenne. Cette communication constitue une première réponse à l'invitation à préparer un cadre juridique et technique afin de créer un système de ce type dans l'Union.

Le SSFT européen devrait avoir deux objectifs principaux: premièrement, contribuer à limiter le volume de données à caractère personnel qui sont transférées aux USA; deuxièmement, contribuer grandement aux efforts déployés pour couper l'accès des terroristes aux sources de financement et aux substances CBRN (chimiques, biologiques, radiologiques et nucléaires) et suivre leurs transactions. Le SSFT serait logé auprès d’Europol.

Selon la Commission, la communication contient des orientations claires au sujet des questions essentielles qui doivent être réglées avant qu'un système de ce type ne puisse être mis en place :

• la nécessité de respecter intégralement les droits fondamentaux des citoyens européens,
• les questions de protection des données et de sécurité des données,
• le champ d'application opérationnel du système,
• ainsi que ses coûts.

La communication d'aujourd'hui présente les différentes possibilités qui sont envisagées à ce stade, sans indiquer d'option privilégiée. La Commission va à présent examiner ces différentes options dans le détail avec le Conseil et le Parlement européen, avant de décider des suites à y donner en fonction des résultats d'une analyse d'impact approfondie.

Contexte

Le 28 juin 2010, l'Union européenne et les Etats Unis d'Amérique ont signé l'accord sur le traitement et le transfert de données de messagerie financière aux fins du programme de surveillance du financement du terrorisme (accord TFTP UE-USA. dit SWIFT)  qui est entré en vigueur le 1er août 2010. Il permet aux services secrets des USA de surveiller les mouvements de comptes suivis par le prestataire de services financiers SWIFT et d’autres opérateurs. Les services américains ont accès au nom de l’expéditeur et du destinataire, aux numéros de compte, à la somme transmise et à sa destination utile. Ces données sont actuellement libérées par paquets par Europol et un contrôleur de l’UE et ensuite transférées.

Cet accord est sujet à de nombreuses plaintes de la part des protecteurs de données personnelles dans l’UE et de membres du Parlement européen.

Lorsque l’accord avait été signé, le Conseil de l'Union européenne avait demandé à la Commission de proposer, le 1er août 2011 au plus tard, "un cadre légal et technique pour l’extraction des données sur le territoire européen". La communication présentée le 13 juillet 2011 marque la première étape vers des propositions concrètes.

Pour la commissaire en charge, Cecilia Malmström, la création d'un SSFT de l'UE s'inscrit dans le cadre d'un projet plus large visant à prévenir le terrorisme et à protéger les citoyens européens, comme prévu dans la stratégie de sécurité intérieure de l'UE présentée par la Commission en novembre 2010.

Accueil mitigé chez les parlementaires européens

Chez les députés européens, l’accueil est mitigé. Pour les conservateurs du PPE, l’UE a besoin d’un système de surveillance propre. Pour les libéraux, et notamment pour le rapporteur du compromis entre le Conseil et le Parlement européen en 2010, Alexander Alvaro, la Commission n’a pas livré la base pour un système d’analyse des données européen, comme elle s’était engagée. Jan Philipp Albrecht, des Verts, ne veut pas d’un système de surveillance de l’UE, le jugeant « disproportionné ».

Le 19 mai 2011, Jan Philipp Albrecht avait participé à Luxembourg à un débat lors des Journées des juristes européens, qui évoquait la protection des données dans l’UE et la confiance que l’on pouvait faire aux USA dans ce cadre. Le député européen vert allemand avait alors attaqué la Commission qu’il avait accusé de ne plus être toujours une gardienne des traités quand il s’agit de la protection des données personnelles, surtout quand elle affirme selon lui que dans ce domaine, ce ne sont que des minorités qui protestent, et que ce ne sont pas les Etats qui sont en cause, mais les privés qui collectent des données.

Pour Jan Philipp Albrecht, les Etats misent de plus en plus sur la sécurité préventive, ce qui affecte le droit pénal. En même temps, les droits fondamentaux ne s’imposent plus suffisamment sur le terrain en matière de techniques de l’information et de la communication. Dans quel type d’Etat vivre, s’était demandé le jeune député, « celui de la Convention européenne des droits de l’homme et de la Charte des droits fondamentaux de l’UE, ou bien dans celui du droit préventif ? Et dans quelle société vivre ? » Ce qui légal n’est pas forcément juste du point de vue sociétal selon lui. Une autre question s’était posée pour Albrecht : Faut-il investir dans la collecte de données personnelles ou dans le statut d’une police bien équipée ? Pour lui, c’est là la grande question politique du moment en matière de sécurité intérieure.

Un avis d’expert plus général

L’expert belge Paul de Hert, professeur à l’ULB, avait, dans un exposé présenté le 19 mai à Luxembourg lors de la 6e Journée des juristes européens, qualifié l’approche européenne de "très libérale" en ce qui concerne la protection des données à caractère personnel, une question liée à celle du droit à une vie privée. Mais cela ne voulait pas dire pour lui que l’Europe baigne dans une situation idéale.

Pour Paul de Hert, les données des citoyens vont partout, notamment aux USA, "où on a une vision différente des choses". Les USA ne connaissent pas de protection des données par un dispositif constitutionnel. Le droit sur les données à caractère personnelles découle de la jurisprudence. Et ici, des données obtenues de manière illégitime sont tout à fait utilisables devant la justice. Et s’il y a droit de protection, il ne concerne que les citoyens des USA. Finalement, il n’y a pas d’autorité indépendante de contrôle.

Cela explique pourquoi les discussions sur les transferts de données à caractère personnel de citoyens européens vers les USA  à chaque fois provoqué de vives discussions dans les processus de décision dans le domaine "Justice et Affaires intérieures" (JAI) de l’UE.

Les accords entre l’UE et les USA dans le domaine du transfert de données personnelles – parmi eux l’accord et le nouveau projet sur les données PNR, l’accord SWIFT et des accords avec Europol et Eurojust – sont négociés par un groupe de haut niveau qui a aussi rédigé un rapport sur des principes communs largement inspiré par les valeurs de l’UE. Pour lui, cela est "inattendu", car on y  retrouve des notions comme celle d’un contrôle indépendant, de la proportionnalité et de la nécessité du traitement de données. Mais il y a aussi des questions non résolues, comme celle de la transmission de ces données à des Etats tiers qui ne sont pas parties de l’accord.

Avec la victoire des Républicains et le changement de la majorité au Congrès américain, Paul De Hert doute cependant qu’un accord soit dorénavant possible.

Pour l’expert belge, quatre points juridiques se cachent généralement derrière la rhétorique politique dont tous ces dossiers sont empreints : l’indépendance de l’instance de contrôle, la minimisation de la transmission des données, le principe de proportionnalité et le profilage, légitime à titre préventif, mais dangereux, dans la mesure où l’on ne sait pas quels algorithmes risquent de lui être appliqués, une pratique enfin que l’on hésite en Europe à traiter de manière juridique.