La CNIL souhaite profiter de ce contexte propice à une impulsion politique française pour attirer l’attention sur la protection des données et entretenir la vigilance des citoyens français comme européens. La gestion des données par les sites de réseaux sociaux (Facebook, MySpace…) et l’Affaire SWIFT font partie des sujets de préoccupation qui devraient être évoqués avec les partenaires européens, dans un contexte renouvelé : d’une part ce ne sont plus les fichiers étatiques qui font craindre les pires débordements mais bien les bases de données constituées par les entités privées, d’autre part ce glissement du risque du secteur public vers le secteur privé s’accompagne d’une extension géographique. Longtemps limitée au cadre national, l’action des autorités de protection des données s’est progressivement étendue à l’Union européenne. Cette extension est hautement souhaitable, tant les problématiques de protection des données à caractère personnel dépassent les frontières nationales. Toutefois, les récentes affaires - qui dépassent le cadre européen - ont démontré que seule des discussions au plan international permettraient de résoudre les difficultés tenant aux différences culturelles et juridiques en matière de protection des données.

Pour s’en convaincre, outre les inquiétudes de la CNIL quant au développement des réseaux sociaux tels Facebook et MySpace, il n’est que de constater dans quelles conditions chaotiques s’est dénouée l’Affaire SWIFT. Il convient de rappeler les éléments clés de cette polémique intervenue entre l’Union européenne et les Etats-Unis à propos du transfert secret de données bancaires.

Centre nerveux du secteur bancaire mondial, la société belge SWIFT (Society for Worldwide Interbank Financial Telecommunication) a été constituée par les banques en 1973 pour gérer leurs flux de messages financiers. Le réseau dit « SWIFT » permet à la société d'offrir un service de messagerie bancaire standardisé sur lequel transitent, par voie électronique, des messages d'information sur les transferts bancaires. Les messages échangés sur le réseau SWIFT contiennent la dénomination des parties à la transaction, c'est-à-dire une donnée à caractère personnel au sens du droit européen applicable. L'ensemble des données échangées sur le réseau sont stockées dans les deux centres opérationnels de la société, aux Pays-Bas mais aussi aux Etats-Unis, à Culpeper. Chacun des centres contient la totalité des données échangées. Or, l'administration américaine a secrètement accédé aux données stockées sur le serveur situé aux Etats-Unis entre 2001 et 2006 pour des motifs de lutte contre le terrorisme, ce qu’a révélé le New York Time le 23 juin 2006.

La société SWIFT, qui exerce ses activités dans le monde entier, se trouve soumise au droit belge et européen à raison du lieu de son siège social, mais aussi au droit américain du fait de la localisation de son serveur aux Etats-Unis. Pour obéir aux injonctions du Département du Trésor américain, elle a été contrainte de violer le droit européen. Le respect du droit européen des données personnelles aurait en effet conduit SWIFT à violer l'autorité légale attachée aux demandes américaines. Pour résoudre ce dilemme, la société a fait le choix d'obtempérer aux demandes américaines tout en conservant secrète les violations éventuelles du droit européen, ce jusqu'aux révélations de la presse. Le droit à la protection des données personnelles, composante du droit au respect de la vie privée, fait l'objet d'une protection spécifique, variable selon les différentes régions du monde. A cet égard, les différences sont grandes entre l'Union européenne et les Etats-Unis. Considéré comme « fondamental », le droit des données personnelles bénéficie à ce titre d'une protection particulière en Europe, incarnée par les autorités de protection des données personnelles. Ainsi, ce qui est devenue l'Affaire SWIFT repose autant sur une question de droit que sur une opposition de principe entre deux conceptions politiques. Le compromis bancal auquel sont parvenues les parties, au terme d’une négociation empreinte d’une certaine confusion, n’augure en rien d’un véritable changement d’attitude de la part des autorités américaines.

S’agissant plus précisément de l’action de la CNIL, force est de constater qu’elle n’a pas eu la vigueur que l’on aurait pu attendre comparée aux protestations européennes suscitées par cette affaire. Restée singulièrement en retrait par rapport à la Commission belge et les institutions de l’Union, la CNIL n’a su prendre l’initiative ni au stade de la dénonciation, ni à celui de la résolution. Reste qu’aujourd’hui, elle se trouve en position de formuler des propositions au nom de l’Union européenne et du Groupe de l’article 29. Cette opportunité lui permettrait d’apporter une vision sur le long terme de la coopération de l’UE avec les Etats non membres en matière de protection des données, afin d’éviter que de pareilles violations du droit européen se reproduisent. Reste à souhaiter que la CNIL saisisse cette occasion et soit soutenue dans sa démarche par les autorités politiques françaises et européennes.

Richard MONTBEYRE
Juriste spécialisé en droit des NTIC
Elève avocat à l’Ecole de Formation des Barreaux de la Cour d’appel de Paris