Transmission, par SWIFT, de données relatives à des transactions financières internationales: évaluation du point de vue de la Suisse Rapport de la Commission de gestion du Conseil national du 17 avril 2007
2007-1004
7883
Liste des abréviations al.
art.
BNS CdG-N CFB DFF GAFI let.
p.
PFPDT RS s.
SIC SWIFT UE
7884
Alinéa Article Banque nationale suisse Commission de gestion du Conseil national Commission fédérale des banques Département fédéral des finances Groupe d'action financière Lettre page Préposé fédéral à la protection des données et à la transparence Recueil systématique du droit fédéral suivante Swiss Interbank Clearing Society for Worldwide Interbank Financial Telecommunication Union européenne
Rapport 1
Introduction
1.1
Les faits
Le 23 juin 2006, le New York Times a révélé que, dans le cadre d'un programme secret de lutte contre le terrorisme, les autorités américaines ont accès depuis 2001 aux données de la Society for Worldwide Interbank Financial Telecommunication (SWIFT)1. SWIFT est une société coopérative belge qui contribue à la réalisation de transactions financières internationales en standardisant les données reçues des instituts émettant les paiements et en les transmettant aux instituts récepteurs. Les membres de SWIFT sont des instituts financiers qui recourent aux prestations de la coopérative. Leader mondial, SWIFT domine le marché de la télécommunication de services financiers. Chaque jour, elle effectue en moyenne quelque 11 millions de transactions partout dans le monde. Les données transmises contiennent au moins le montant, la devise, la date de valeur, le nom du destinataire et de son institut financier ainsi que le nom de l'émetteur et de son institut financier2. Il s'agit donc de données personnelles.
SWIFT est d'une importance capitale pour les transactions internationales d'une grande majorité des instituts financiers suisses. Ces derniers détiennent d'ailleurs souvent des participations au capital de la coopérative. La Suisse occupe la sixième place pour le flux de données transitant par SWIFT.
Selon le New York Times, le programme secret profiterait avant tout à la «Central Intelligence Agency» (CIA), au «Federal Bureau of Investigations» (FBI) ainsi qu'à d'autres autorités américaines, le ministère des Finances («Treasury Department») étant chargé de la surveillance.
Aux Etats-Unis, la transmission de données trouve son fondement dans les pouvoirs spéciaux conférés au Président des Etats-Unis d'Amérique à la suite des attentats terroristes du 11 septembre 2001; elle concerne entre autres les données disponibles au centre d'opérations de SWIFT aux Etats-Unis. Cette dernière exploite deux centres d'opérations dans le monde, l'un aux Etats-Unis, l'autre aux Pays-Bas, chacun d'eux stockant la totalité de ses données durant 124 jours.
1 2
Voir Eric Lichtblau et James Risen, Bank Data Is Sifted by U.S. in Secret to Block Terror, New York Times, 23.6.2006.
Commission de la protection de la vie privée, Royaume de Belgique, Avis N° 37 du 27 septembre 2006 relatif à la transmission de données à caractère personnel par la SCRL SWIFT suite aux sommations de l'UST (OFAC) (ci-après «Rapport belge sur la protection des données»), p. 4 (http://www.privacycommission.be/publications.htm).
7885
Illustration 1
Les informations publiées par le New York Times ont été reprises dans le détail et débattues dans les médias européens et suisses qui se sont interrogés notamment sur la relation entre cette divulgation de données aux autorités américaines et le secret bancaire, sur la sphère privée des clients des banques concernés, sur le danger de détourner les données de leur utilisation ainsi que sur les instruments intergouvernementaux de lutte contre le terrorisme, etc.
Autre sujet prêtant à la controverse: il s'est agi de savoir qui, en Suisse, était informé du programme secret des Etats-Unis et depuis quand.
Les liens avec les acteurs suisses sont multiples: la Banque nationale suisse (BNS) détient elle aussi des participations au capital de la coopérative et forme, avec les banques centrales des pays du G-10, un groupe de surveillance chargé de surveiller les activités de SWIFT sans pouvoir toutefois lui donner des instructions. En raison de la domiciliation de la coopérative, ce groupe est placé sous la houlette de la Banque nationale de Belgique. Les deux principales banques suisses disposent chacune d'un siège sur les 25 que compte le conseil d'administration de SWIFT.
Comme il l'a été mentionné plus haut, de nombreux instituts financiers suisses sont en outre membres de SWIFT.
Les révélations des médias ont également soulevé des questions portant sur la quantité de données de transactions détenues par les autorités américaines, sur leur traitement et sur la durée de conservation par les autorités américaines. Une possible violation des dispositions relatives à la protection des données due à la transmission des données de SWIFT étant évoquée, les autorités suisses et européennes en charge de cet aspect ont mené des investigations. C'est ainsi que, le 13 octobre 2006, le Préposé fédéral à la protection des données et à la transparence a rendu un avis, sur lequel nous reviendrons au point 4.1. L'autorité belge de protection des données a examiné la légalité du traitement des données par SWIFT en se basant sur les légi7886
slations belge et européenne. Dans son avis du 27 septembre 2006, elle constate que la transmission de données à caractère personnel par SWIFT à son centre d'opérations aux Etats-Unis enfreint la loi belge sur la protection des données et que SWIFT a violé de façon opaque, systématique, massive et durable les principes européens fondamentaux en matière de protection des données.3 Le gouvernement belge étudie actuellement des mesures susceptibles de mettre un terme à ces violations4. De leur côté, les autorités indépendantes de surveillance en charge de la protection des données au sein de l'Union européenne (UE; groupe dit de l'art. 29) ont cherché à savoir si SWIFT avait respecté les principes de protection des données qui sont formulés dans la directive européenne correspondante et appliqués dans les pays européens. Ce groupe est lui aussi parvenu à la conclusion que SWIFT et les instituts financiers impliqués n'ont pas respecté la directive et qu'il est nécessaire d'agir sans délai dans différents domaines.5 Enfin, le 1er février 2007, le Contrôleur européen de la protection des données s'est prononcé de manière critique sur ces événements et sur le rôle de la Banque centrale européenne6.
Le Parlement européen et sa commission compétente se sont eux aussi penchés à plusieurs reprises sur SWIFT. La commission a organisé des auditions après que le Parlement ait fait part de ses inquiétudes, et le Parlement a adopté plusieurs résolutions7.
En décembre 2006, Franco Frattini, vice-président de la Commission européenne en charge de la justice, de la liberté et de la sécurité, a fait part de son intention de rechercher le dialogue avec les Etats-Unis, début 2007, pour discuter avec eux de la problématique SWIFT.
D'après ce que l'on sait, SWIFT continue de transmettre des données de transactions aux autorités américaines8.
1.2
Démarche
Trois jours après la publication dans le New York Times de l'article mentionné plus haut, la Commission de gestion du Conseil national (CdG-N) a décidé d'examiner la portée de ces révélations du point de vue de la Suisse. Elle a demandé au Conseil fédéral de s'exprimer sur l'affirmation selon laquelle certains services de l'administration fédérale suisse, d'autres autorités suisses et même la Banque nationale suisse ont eu connaissance dès le début du programme américain d'acquisition de 3 4
5
6
7
8
Voir note de bas de page 1.
Commission de la protection de la vie privée, Royaume de Belgique, Avis N 47 du 20.12.2006 relatif à la préparation d'une convention concernant la transmission de données à caractère personnel par SWIFT à l'US Department of the Treasury (UST), p. 2; (http://www.privacycommission.be/actualites.htm).
Voir le groupe de l'art. 29 sur la protection des données, avis 10/2006 sur le traitement des données à caractère personnel par SWIFT, adopté le 22 novembre 2006 (http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2006_fr.htm).
Voir European Data Protection Supervisor (EDPS) opinion on the role of the European Central Bank in the SWIFT case (Avis du Contrôleur européen de la protection des données), (http://www.edps.europa.eu/EDPSWEB/edps/site/mySite/lang/en/pid/38).
Pour un aperçu sur les activités des institutions de l'Union européenne au sujet de SWIFT voir l'avis du Contrôleur Européen de la protection des données du 1.2.2007, pages 13 (note de bas de page 6).
Voir l'entretien avec le directeur commercial de SWIFT, Francis Vanbever, dans la Frankfurter Allgemeine Zeitung du 4.12.2006, p. 11.
7887
données. La CdG-N attendait en outre du Conseil fédéral qu'il l'informe sur l'impact de ce programme sur le secret bancaire suisse et sur la place financière suisse.
Le 23 août 2006, le Conseil fédéral a adopté un avis à l'attention de la CdG-N, publié le jour même sur Internet9. Le 25 août, la CdG-N a pris acte de cet avis et chargé sa sous-commission compétente pour le Département fédéral des finances (DFF) de procéder à des investigations supplémentaires10.
La sous-commission DFF/DFE de la CdG-N a consacré quatre séances à cette enquête, entre octobre 2006 et mars 2007. La sous-commission a auditionné le chef du DFF, des représentants de la BNS, du secrétariat de la Commission fédérale des banques (CFB), du Préposé fédéral à la protection des données et à la transparence (PFPDT) ainsi qu'un expert bancaire de l'Université de Saint-Gall. Les résultats de ses investigations sont repris dans le présent rapport de la CdG-N, approuvé par la commission le 17 avril 2007.
2
Objet de l'étude sous l'angle de la haute surveillance parlementaire
Les instituts financiers suisses recourent aux services de SWIFT lorsque eux-mêmes ou leurs clients procèdent à une transaction financière au profit d'un institut financier établi à l'étranger (et inversement). En Suisse, le trafic des paiements en francs suisses ne fait pas appel au système de SWIFT, mais à celui de Swiss Interbank Clearing (SIC); il n'est donc pas concerné par le programme américain. Le système de SWIFT peut en revanche être utilisé pour les transactions effectuées en Suisse dans une devise étrangère. Les autorités américaines, sur la base d'un décret qui définit plus largement la notion de terrorisme11, ont sans doute reçu, du moins dans une première phase, des informations sur des transactions effectuées depuis et vers la Suisse12.
Conformément à l'art. 52 de la loi sur le Parlement13, les Commissions de gestion exercent la haute surveillance sur la gestion du Conseil fédéral et de l'administration fédérale, des tribunaux fédéraux et d'autres organes ou personnes auxquels sont confiées des tâches de la Confédération. Aux termes de l'al. 2 dudit article, leur activité de contrôle met l'accent sur les critères de légalité, d'opportunité et d'efficacité. Par conséquent, les commissions ne doivent évaluer que les activités des organes ou personnes auxquels sont confiées des tâches de la Confédération, lesquelles activités reposent pour l'essentiel sur le droit suisse voire sur des obligations de la Suisse en matière de droit international. La CdG-N doit donc se poser la question de savoir si des domaines de la législation suisse ont été éventuellement entravés par la transmission de données relatives à des transactions financières vers et depuis la Suisse et, le cas échéant, de quels domaines il s'agit. Il n'est ainsi pas de 9 10 11 12
13
http://www.news-service.admin.ch/NSBSubscriber/message/attachments/3568.pdf.
Voir le communiqué de presse de la CdG-N du 28.8.2006 (www.parlament.ch).
Voir le rapport belge sur la protection des données, p. 5 s.
Selon SWIFT, toutes les données de transaction sont susceptibles d'être consultées par le département du Trésor. Voir le groupe de l'article 29 sur la protection des données, avis 10/2006 sur le traitement des données à caractère personnel par SWIFT, adopté le 22.11.2006, p. 19 s.
Voir loi fédérale du 13 décembre 2002 sur l'Assemblée fédérale (loi sur le Parlement, LParl; RS 171.10).
7888
ses compétences d'évaluer la légalité de la transmission de données selon le droit américain ou européen.
2.1
Domaines juridiques et organes ou personnes éventuellement concernés
La CdG-N a identifié les domaines ci-après pour lesquels elle considérait que la possibilité d'une entorse au droit devait être examinée: secret bancaire, protection des données, surveillance par la BNS et la CFB. Tandis que, dans le cas des deux derniers domaines cités, il n'existait aucune incertitude quant aux acteurs de la Confédération impliqués et aux actes législatifs les concernant, la question s'est posée pour la CdG-N de savoir jusqu'où, en l'occurrence, la protection de la sphère privée devait être assurée par le Conseil fédéral et l'administration fédérale et si elle relevait donc de sa compétence d'évaluation.
2.2
Aspects fondamentaux
Soulignons toutefois que la transmission aux autorités américaines de données relatives à des transactions financières internationales depuis et vers la Suisse est en lien direct avec la place financière suisse et, partant, avec les intérêts économiques du pays. Par ailleurs, la protection de la sphère privée est d'importance fondamentale pour la Suisse, puisqu'elle est stipulée dans les art. 13 et 94 de la Constitution fédérale14. La conduite, en particulier du Conseil fédéral et du chef du département concerné, doit donc être étudiée par la haute surveillance parlementaire sous l'angle de ces aspects fondamentaux.
Il convient cependant d'ajouter que la lutte contre le terrorisme et son financement relèvent eux aussi des intérêts de la Suisse, qui les soutient largement. Dans ce contexte, l'action ou l'inaction ne peuvent donc être jugées que dans le cadre d'une pondération des intérêts en présence.
3
Les banques et le secret bancaire
Souvent, la notion de secret bancaire n'est pas comprise par tous de la même façon, notamment dans les débats politiques, et elle n'est pas non plus utilisée uniformément. C'est la raison pour laquelle il était important aux yeux de la CdG-N de clarifier la signification de ce terme afin de disposer, lors de son évaluation, d'une définition uniforme et claire du secret bancaire.
La notion de secret bancaire est notamment basée sur les art. 27 ss. du Code civil suisse15 et sur l'art. 47 de la loi sur les banques16. Conformément à l'al. 1 de l'art. 47, celui qui en sa qualité de membre d'un organe, d'employé, de mandataire ou de liquidateur de la banque, de chargé d'enquête ou de délégué à l'assainissement nommé par la CFB, ou encore de membre d'un organe ou d'employé d'une institu14 15 16
Voir la Constitution fédérale de la Confédération suisse du 18.4.1999 (Cst; RS 101).
Code civile suisse du 10.12.1907 (RS 210).
Loi fédérale du 8 novembre 1934 sur les banques et les caisses d'épargne (RS 952.0; LB).
7889
tion de révision agréée, est en possession d'informations confidentielles ne doit pas les transmettre. Cette protection visant les clients des banques ne s'applique cependant pas de manière absolue. Ainsi, les banques peuvent, sous certaines conditions, être tenues de divulguer des informations relatives à leurs clients: c'est le cas dans le cadre de procès civils, de procédures de poursuite pour dettes et de réalisation forcée, de procédures pénales ainsi que de procédures d'entraide et d'assistance administratives internationales. Dans ce dernier domaine, la communication d'informations est restreinte par le législateur suisse et strictement encadrée. Selon la littérature juridique, la protection du secret bancaire est aussi définie par la loi sur la protection des données. Celle-ci doit être considérée comme lex specialis par rapport aux dispositions du code civil17.
Le secret bancaire garantit en premier lieu la protection de la sphère privée du client.
C'est la raison pour laquelle le client d'une banque peut habiliter cette dernière à limiter la protection légale et transmettre certaines données, par exemple en approuvant des passages correspondants dans les conditions générales.
Le secret bancaire ne peut être garanti pour les transactions financières depuis et vers la Suisse. Une fois à l'étranger, les données transmises ne sont plus soumises au droit suisse18. Il existe cependant certaines données que la Suisse s'est engagée à transmettre en raison d'intérêts supérieurs. Ainsi, le Groupe d'action financière (GAFI) a exigé, après les attentats du 11 septembre 2001, que chaque transaction contienne des informations sur le donneur d'ordre et le destinataire. La Suisse a rempli cette exigence en l'ancrant dans l'art. 15 de l'ordonnance de la CFB du 18 décembre 2002 en matière de lutte contre le blanchiment d'argent (ordonnance de la CFB sur le blanchiment d'argent; RS 955.022). Aux termes de cette ordonnance, l'institut financier doit, pour tous les virements effectués vers l'étranger, indiquer le nom, le numéro de compte et le domicile du cocontractant donneur d'ordre ou le nom et un numéro d'identification de celui-ci19.
En résumé, on peut donc dire que le secret bancaire, ancré dans la loi, protège les données des clients des banques conformément à la législation suisse, tant que ces
données se trouvent en Suisse. Si les données d'instituts financiers suisses concernant leurs clients sont dans un autre pays, elles sont soumises à la législation de ce dernier.
17 18
19
Voir Annette Althaus Stämpfli, Personendaten von Bankkunden ihre Weiterleitung im Finanzkonzern und an dritte Dienstleister, thèse Berne, Berne, 2004. p. 35.
Le conseiller fédéral Hans-Rudolf Merz a très justement exprimé cette notion dans son exposé du 14.9.2006, à Berne, lors de la journée des banquiers, déclarant en substance: «Les frontières nationales constituent également les frontières d'application du droit. En raison du principe international de territorialité, le secret bancaire suisse est limité au territoire de la Suisse. C'est la raison pour laquelle notre pays ne peut empêcher des autorités étrangères d'accéder à l'étranger à des données qui, chez nous, sont soumises au secret bancaire.» (http://www.efd.admin.ch/aktuell/reden/00465/index.html?lang=de&msg-id=7371).
Selon le directeur de la CFB, la disposition d'exception de l'art. 15 al. 2 de l'ordonnance de la CFB sur le blanchiment d'argent n'est appliquée que très rarement, les banques réceptrices n'acceptant généralement pas les ordres de virement correspondants.
7890
Il s'agit en outre de savoir si les acteurs en Suisse qui ont transmis ces données à l'étranger ont, en l'occurrence, agi légalement et dans quelle mesure la transmission de données de transactions par SWIFT aux autorités américaines a constitué une entorse au secret bancaire suisse. Ni SWIFT ni les autorités américaines n'ont agi sur le territoire helvétique. Les données de transactions internationales effectuées depuis la Suisse sont parvenues à SWIFT, sur ordre du client concerné, par le biais des instituts financiers établis en Suisse. Par conséquent, seuls ces instituts financiers peuvent être considérés comme éventuellement à l'origine d'une possible violation du secret bancaire. Dans la mesure où la transmission de ces données par les instituts financiers s'appuie sur une base légale (dans le cas qui nous préoccupe, cela est vrai au moins pour les informations formulées dans l'art. 15 de l'ordonnance de la CFB sur le blanchiment d'argent) ou a été effectuée avec l'accord du client, il n'y a pas violation du secret bancaire.
4
Comportement des différents organes ou personnes chargés de tâches de la Confédération à la lumière de leur mandat légal
4.1
Préposé fédéral à la protection des données et à la transparence
4.1.1
Mission du PFPDT
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) et son secrétariat surveillent l'application, par les organes fédéraux, de la loi sur la protection des données (LPD)20. En vertu de l'art 29 LPD, le Préposé peut établir des faits et recommandations dans le secteur privé.
Le PFPDT a eu connaissance des faits par les médias et par une lettre du DFF, qui lui a été adressée peu de temps après les révélations du New York Times. SWIFT ayant transmis des données de transactions, il a estimé nécessaire d'intervenir et a donc mené des investigations dont il a rendu compte dans son avis du 13 octobre 200621. Cet avis est fondé sur les informations recueillies auprès des principaux acteurs du secteur bancaire suisse, sur le rapport de la Commission belge de la protection de la vie privée22 et sur l'avis exprimé le 23 août 2006 par le Conseil fédéral à l'attention de la CdG-N23. Dans son avis, le PFPDT constate que SWIFT ne traite aucune donnée personnelle en Suisse; par conséquent, elle tombe sous le coup de la législation belge, et non suisse, sur la protection des données. En revanche, le PFPDT soulève en premier lieu la question de la responsabilité, sous l'angle de la protection des données, des prestataires de services financiers en Suisse.
20 21
22 23
Loi fédérale du 19.6.1992 sur la protection des données (LPD; RS 235.1).
L'accès aux données des transactions bancaires du réseau mondial SWIFT Avis du Préposé fédéral à la protection des données et à la transparence du 13 octobre 2006 (http://www.edoeb.admin.ch/themen/00794/01066/index.html?lang=fr).
Voir note de bas de page 1.
Voir note de bas de page 3.
7891
4.1.2
Responsabilité des instituts financiers en termes de protection des données
Le PFPDT souligne que, en Suisse, lorsque des prestataires de services financiers interviennent dans la transaction, il y a nécessairement traitement de données personnelles au sens de l'art. 3 let. a et e LPD. La législation sur la protection des données est donc applicable dans la mesure où elle prévoit des obligations à l'égard des particuliers24.
Le PFPDT en conclut que la LPD a été violée par les instituts financiers établis en Suisse, car ceux-ci n'ont pas rempli leur devoir d'information à l'égard de leurs clients et ne les ont pas informés de la transmission de données par SWIFT ou de la possibilité d'une telle transmission (art. 4 LPD). Le PFPDT est par ailleurs d'avis qu'une deuxième entorse à la LPD réside dans la transmission des données aux Etats-Unis, où elles ont été traitées, alors que la législation de ce pays ne prévoit aucune protection des données équivalant à celle garantie par le droit suisse (art. 6 LPD).
Au regard des constatations du PFPDT, la CdG-N se pose la question de savoir pourquoi celui-ci n'a jusque-là adressé aucune recommandation aux instituts financiers en vue de mieux combattre ces entorses incessantes à la législation. Même si la problématique revêt une dimension internationale, les instituts financiers disposent, au sein de leur champ de compétences, d'une certaine latitude qui leur permettrait de tenir compte des constatations ou des éventuelles recommandations du PFPDT.
4.1.3
Digression: violation de la législation européenne en matière de protection des données
Il faut aussi considérer les constatations du PFPDT dans le contexte des investigations menées par les autorités européennes en charge de la protection des données et portant sur la situation juridique au sein de l'UE.
De son côté, la Commission belge de la protection de la vie privée a constaté que SWIFT avait enfreint à plusieurs reprises les législations belge et européenne en matière de protection des données25. Ainsi, SWIFT n'a pas rempli son devoir d'information des instituts financiers qui lui sont rattachés et des autorités européennes compétentes en matière de protection des données puisqu'elle ne les a pas informés des exigences émises par le département du Trésor américain; elle aurait également dû informer la Commission belge sur l'utilisation de ces données. Enfin, la Commission belge constate une violation du devoir de ne pas transmettre des données à des pays qui ne sont pas dotés d'une législation équivalente en matière de protection des données. Elle remarque cependant que SWIFT était confrontée à des exigences parfois contradictoires imposées par les législations américaine et belge ou européenne. Et d'ajouter que ces contradictions auraient dû être levées en amont et à l'échelon supérieur.
24 25
La sphère privée du client bancaire est également protégée par les dispositions générales du Code civil suisse relatives à la protection de la personnalité (art. 27 s. CC).
Rapport belge sur la protection des données, p. 27.
7892
Le 22 novembre 2006, le groupe de l'art. 29 sur la protection des données a adopté son avis sur le traitement des données à caractère personnel par SWIFT26. Il relève tout d'abord la responsabilité commune de SWIFT et des instituts financiers émetteurs concernant le traitement de données à caractère personnel. Selon lui, ni SWIFT ni les instituts financiers au sein de l'UE n'ont informé les personnes concernées du traitement de leurs données à caractère personnel. Par conséquent, ils ont enfreint le devoir d'information de la directive européenne 95/46/CE relative à la protection des données. Autre constatation essentielle: il n'existe pas, aux Etats-Unis, de niveau de protection adéquat pour la transmission de données depuis l'UE vers des organisations américaines et les dérogations de la directive en la matière ne sont pas applicables. Par conséquent, la directive de l'UE a été violée également sur ce point. Le groupe de l'art. 29 constate par ailleurs que le traitement de données à caractère personnel par les autorités américaines dépasse leur utilisation initiale, commerciale, ce qui n'est pas autorisé. Il a par conséquent appelé SWIFT et les instituts financiers à prendre immédiatement des mesures visant à mettre un terme à la situation actuelle, illégale.
En dépit de bases légales différentes, les constatations des autorités européennes de protection des données coïncident donc avec celles du PFPDT sur les principaux points.
4.2
La Banque nationale suisse
4.2.1
Les missions de la BNS
La Banque nationale suisse (BNS) conduit la politique financière et monétaire de la Suisse. Elle protège la stabilité du système financier27. Aux termes de l'art. 19, al. 2 de la loi sur la Banque nationale, elle le protège en surveillant entre autres les systèmes de paiement et les systèmes de règlement des opérations sur titres dont les exploitants ont leur siège à l'étranger, lorsque des parties importantes de l'exploitation ou des participants déterminants se trouvent en Suisse.
4.2.2
Surveillance exercée sur SWIFT
Conformément à la Banque nationale de Belgique, SWIFT n'exploite pas un véritable système de paiement et n'est donc pas soumise à la surveillance des banques nationales28. En raison de l'importance de celle-ci pour la stabilité du système financier, les banques centrales ont cependant des intérêts justifiés pour exercer une certaine surveillance sur la coopérative.
26 27 28
Voir note de bas de page 4.
Art. 5 al. 2 let. e et art. 19 de la loi fédérale du 3.10.2003 sur la Banque nationale suisse (loi sur la Banque nationale, LBN; RS 951.11).
Voir Banque nationale de Belgique, Financial Stability Review 2005, p. 102 (http://www.nbb.be/pub/06_00_00_00_00/06_03_00_00_00/06_03_02_ 00_00.htm?l=fr&t=ho).
7893
C'est la raison pour laquelle les banques centrales des pays du G-1029 ainsi que la BNS30 ont formé un groupe de surveillance et ont conclu avec SWIFT un accord qui porte notamment sur l'accès aux informations de SWIFT. Ni le groupe de surveillance ni la Banque nationale de Belgique n'ont cependant le droit de donner des instructions à SWIFT. Toutefois, les prises de position du premier devraient avoir du poids et SWIFT en tiendrait compte sous une forme ou une autre31.
Suite aux informations parues dans la presse, la Banque nationale de Belgique s'est exprimée dans un communiqué de presse, le 26 juin 2006, sur le rôle des banques centrales en matière de surveillance exercée sur SWIFT32. Elle y explique, en qualité d'autorité assurant la direction du groupe de surveillance, que les exigences des autorités américaines en termes de transmission de données de transactions de SWIFT n'entravent pas la stabilité du système financier et que, par conséquent, ces faits ne relèvent pas du domaine de compétence du groupe de surveillance. Devant la CdG-N, la BNS a déclaré partager cet avis. Le représentant de la BNS auditionné a également informé la CdG-N que, lors de sa réunion de la mi-juillet 2006, le groupe de surveillance avait évoqué les réactions internationales suite aux révélations sur la transmission de données de transactions, et il a précisé qu'aucun pays n'avait enregistré de la part de clients des banques des protestations ou des plaintes.33 Il faut néanmoins souligner que le Contrôleur européen de la protection des données parle dans son avis de plusieurs plaintes déposées auprès d'autorités européennes et non européennes de protection des données34.
Or, le groupe de l'art. 29 a exigé, de son côté, que les structures de surveillance concernant SWIFT soient clarifiées et que la mise en oeuvre de dispositions relatives à la protection des données relève du devoir de surveillance. Le groupe pense que le non-respect de lois sur la protection des données peut ébranler la confiance des clients en leurs instituts financiers et porter atteinte à la stabilité financière des systèmes de paiement.35 Le Contrôleur européen de la protection des données partage cette appréciation. En plus, il estime que la stabilité financière des systèmes de paiement pourrait être perturbée si les autorités de la protection des données devaient appliquer des mesures de contrainte pour assurer la protection des données.36
29 30
31 32 33
34 35 36
Etats-Unis, Canada, Grande-Bretagne, France, Allemagne, Italie, Belgique, Pays-Bas, Suède et Japon En raison de son rôle dans les transactions financières internationales, SWIFT est très importante pour la place financière suisse. Si, subitement, elle était dans l'incapacité de fournir ses prestations, cela entraverait considérablement le système financier dans le monde entier, y compris en Suisse.
Ce concept est basé sur le principe de l'appel à la conscience (moral suasion). Voir note de bas de page 28.
Voir http://www.nbb.be/pub/01_00_00_00_00/01_06_00_00_00/01_06_01_00_ 00/20060626_swift.htm?l=fr&t=pe.
La BNS possède une autre interface avec SWIFT, détenant une participation, même faible, au capital de la coopérative SWIFT (moins d'un pour mille). Elle recourt à SWIFT pour des transactions à l'étranger liées à l'état de ses réserves monétaires et pour le trafic des paiements à l'étranger de la Confédération.
Voir l'avis du Contrôleur européen de la protection des données, p. 1.
Voir le rapport du groupe de l'art. 29, p. 34.
Voir l'avis du Contrôleur européen de la protection des données, p. 8.
7894
4.2.3
Mesures prises par la BNS
Le 7 juillet 2002, à la réunion des représentants des banques centrales du G-10, le président de la direction générale de la BNS a été informé pour la première fois, par le président de la Banque fédérale de réserve de New York, de la transmission de données de transactions de SWIFT aux autorités américaines. Il a fait part de cette information au chef du DFF d'alors, tout d'abord par oral puis dans un courrier en date du 16 juillet 2002. Il a également informé le président et le directeur de la CFB le 11 juillet 2002. Sur demande du DFF, il a informé le chef du DFF directement après les révélations du New York Times.
Etant donné que, pour la BNS, ces événements ne constituaient pas une menace pour la stabilité du système financier, celle-ci ne s'est pas considérée compétente et n'a pris aucune autre mesure.
4.3
La Commission fédérale des banques
4.3.1
Les missions de la CFB
En vertu de l'art. 23 LB, la CFB surveille les banques. Les dispositions que les banques doivent respecter sont ancrées notamment dans la LB et dans l'ordonnance sur les banques37 ainsi que dans l'ordonnance de la CFB sur le blanchiment d'argent. Lorsqu'elle apprend que des infractions à la LB ou d'autres irrégularités ont été commises, elle prend les mesures nécessaires au rétablissement de l'ordre légal et à la suppression des irrégularités38. Elle surveille donc la gestion irréprochable des banques.
La CFB n'a en revanche pas pour mission de mener des investigations sur des cas de suspicion d'infraction au secret bancaire, cette responsabilité revenant aux autorités judiciaires pénales des cantons39. Cependant, une violation systématique du secret bancaire relèverait de la surveillance exercée par la CFB sur les banques. En effet, dans ce cas de figure, une gestion irréprochable, telle qu'elle est stipulée dans la LB, ne serait plus garantie.
Comme il a été indiqué dans le troisième chapitre, l'obligation légale, pour l'intermédiaire financier, de mentionner, pour tous les virements effectués vers l'étranger, le nom, le numéro de compte et le domicile du cocontractant donneur d'ordre restreint le secret bancaire tel qu'il est défini à l'art. 47 LB40. Il ne faudrait donc examiner une éventuelle violation systématique du secret bancaire que si les banques avaient transmis d'autres données personnelles par le biais de SWIFT sans l'accord du client.
C'est pourquoi la CFB ainsi que l'Association suisse des banquiers sont parvenues à la conclusion qu'il n'y a pas en l'occurrence violation du secret bancaire suisse par les instituts financiers suisses.
37 38 39 40
Ordonnance du 17.5.1972 sur les banques et les caisses d'épargne (ordonnance sur les banques, OB; RS 952.02).
Voir art. 23ter LB.
Voir art. 51bis LB.
Voir art. 15 de l'ordonnance de la CFB sur le blanchiment d'argent.
7895
4.3.2
Gestion irréprochable des banques, protection des données et transmission de données à des tiers
Il s'agit maintenant de savoir si, dans le cadre de la transmission de données de transactions par SWIFT, sont apparues au niveau des instituts financiers d'autres lacunes, qui relèvent du champ de surveillance de la CFB ou concernent la gestion irréprochable des banques. Le PFPDT constate que les instituts financiers auraient dû prévenir leurs clients de la transmission de leurs données de transactions par SWIFT aux autorités américaines, en vertu de l'art. 4, al. 2 LPD, qui stipule que le traitement des données doit être effectué conformément au principe de la bonne foi, à condition, bien entendu, que les instituts financiers aient eu connaissance de cette transmission d'informations ou de la possibilité d'accéder aux données de SWIFT, ce qui n'est pas le cas jusqu'à présent. Par conséquent, le PFPDT est d'avis que les banques restent soumises à ce devoir d'information.
A ce stade, se pose la question de savoir si les banques peuvent arguer que l'entrée en vigueur de l'art. 15 de l'ordonnance de la CFB sur le blanchiment d'argent a signifié la création d'une base légale accessible à tous portant sur la transmission de certaines données pour des virements effectués vers l'étranger et que, par conséquent, elles ne sont pas tenues de prévenir leurs clients de la transmission des données de transactions aux autorités américaines41. Selon le PFPDT, l'ordonnance contraint les instituts financiers à communiquer certaines données pour des transactions vers l'étranger, mais elle ne constitue pas une base légale pour la transmission de données de transactions à des tiers. Et le préposé d'ajouter qu'elle n'exonère pas l'institut financier de l'obligation, conformément à l'art. 4, al. 2 LPD, d'informer ses clients de la transmission de données à des tiers. Le fait que l'opinion publique a été informée, en particulier par les médias, de la transmission de données aux autorités américaines ne joue aucun rôle, car on ne peut pas affirmer qu'il est de notoriété publique que SWIFT continue de transmettre des données42.
Outre la violation du devoir d'information par les instituts financiers, le PFPDT constate une autre entorse de la LPD. Conformément à l'art. 6, al. 1 LPD, aucune donnée personnelle ne peut être communiquée à un pays dont la législation ne confère pas de protection des données équivalente à celle
de la Suisse si la personnalité des personnes concernées devait s'en trouver gravement menacée. Or, les EtatsUnis ne possèdent pas de protection des données équivalant à celle de la Suisse43.
41
42 43
L'art. 15 de l'ordonnance de la CFB sur le blanchiment d'argent a été édicté en application de la recommandation spéciale VII du GAFI. Des explications du GAFI relatives à ladite recommandation, il ressort que ces informations doivent être mises à la disposition des autorités de poursuite pénale mais aussi, entre autres, des unités des services du renseignement chargées de la lutte contre le financement du terrorisme; voir http://www.fatf-gafi.org/document/53/0,2340,fr_32250379_32236947_35281250_ 1_1_1_1,00.html#srVIIin Voir l'avis du PFPDT, p. 3.
Voir la liste publiée par le PFPDT sur la protection des données dans le monde entier (état au 8.1.2007), p. 11; http://www.edoeb.admin.ch/themen/00794/00827/index.html?lang=fr.
7896
4.3.3
Mesures prises par la CFB
En juillet 2002, la CFB a été informée par le président de la direction générale de la BNS de la transmission des données de transactions par SWIFT aux autorités américaines. Cette information était ultra-confidentielle, étant donné que les autorités américaines tenaient secret leur programme afin de ne pas éveiller les soupçons des personnes et instituts financiers impliqués dans le financement du terrorisme. C'est pour cette raison que, d'un commun accord avec la BNS, la CFB n'a pas transmis cette information. Le directeur de son secrétariat a expliqué à la sous-commission DFF/DFE de la CdG-N qu'en cas d'information par la CFB, il aurait fallu prévenir tous les instituts financiers suisses, ce qui serait revenu à publier l'information.
Après avoir pesé les intérêts en présence, la CFB est parvenue à la conclusion que la lutte contre le financement du terrorisme primait l'intérêt des clients d'être informés sur une éventuelle surveillance de leurs transactions internationales. Rappelons que, de son côté, la CFB doit veiller au respect, par les banques, de l'ordonnance de la CFB sur le blanchiment d'argent et qu'elle est donc tenue à cet objectif.
Par conséquent, la CFB n'a pris aucune mesure contre la transmission de données de transactions.
5
Département fédéral des finances/Conseil fédéral
5.1
Les missions du DFF et du Conseil fédéral
Sous l'angle de la haute surveillance parlementaire, s'est posée la question des obligations qui incombaient au DFF et au Conseil fédéral après que le président de la direction générale de la BNS eût informé le chef du DFF de l'époque, le 16 juillet 2002, de la transmission de données de transactions par SWIFT aux autorités américaines.
Le Conseil fédéral est tenu de veiller au respect de la sphère privée (art. 13 Cst.), à la sécurité du pays (art. 57 Cst.) et à la sauvegarde des intérêts de l'économie nationale (art. 94 Cst.). Par conséquent, le Conseil fédéral et les services administratifs qui lui sont subordonnés doivent procéder à une pondération des intérêts en présence en cas de conflit d'intérêts tel que la transmission de données de transactions par SWIFT aux autorités américaines, et rechercher une solution équilibrée. Conformément à l'ordonnance du 11 décembre 2000 sur l'organisation du Département fédéral des finances (Org DFF)44, le DFF défend, «en collaboration avec le Département fédéral des affaires étrangères (DFAE), le Département fédéral de l'économie (DFE; affaires économiques extérieures) et, si nécessaire, d'autres départements, les intérêts de la Suisse dans les questions financières, fiscales et monétaires internationales.»
44
RS 172.215.1
7897
5.2
Evaluation de la situation par le Conseil fédéral et le DFF
Dans son avis du 23 août 2006 à l'attention de la CdG-N, le Conseil fédéral présente tout d'abord les faits de son point de vue. Il constate ensuite que le trafic intérieur des paiements, qui fait appel au système SIC, n'est pas affecté par la transmission de données de transactions de SWIFT et que les Etats-Unis ne violent pas la souveraineté suisse. Et de préciser qu'en vertu du principe de territorialité, la protection qu'offre le secret bancaire est limitée au territoire suisse. Concernant le comportement des banques commerciales, il indique que la question se pose de savoir si, dans l'optique du droit civil ou de la législation sur la protection des données, les banques commerciales auraient dû prévenir leurs clients de la possibilité que les autorités américaines accèdent à leurs données ou, au moins de façon générale, attirer leur attention sur les risques d'accès aux données par des autorités étrangères. Le Conseil fédéral ajoute ensuite qu'il appartient aux tribunaux civils ou au PFPDT de répondre à cette question.
Le Conseil fédéral indique cependant qu'il aurait craint des conséquences pour la réputation de la place financière suisse si les autorités suisses et les acteurs impliqués de la place financière s'étaient opposés à ce que les autorités américaines accèdent aux données de SWIFT. Si la Suisse s'était soustraite aux efforts de lutte contre le terrorisme et son financement, le Conseil fédéral est d'avis que cela aurait été en contradiction avec les intérêts de la Suisse et aurait affaibli la position de celle-ci sur la scène internationale. Il en conclut donc que rien ne justifiait d'intervenir auprès des autorités américaines.
Début 2007, le chef du DFF a présenté à la sous-commission DFF/DFE de la CdG-N la position du Conseil fédéral et celle du DFF, compétent en la matière. Il a tout d'abord expliqué qu'il avait été informé de la transmission de données par SWIFT aux autorités américaines en lisant la presse fin juin 2006.
Le chef du DFF a indiqué qu'il continuait de considérer qu'il n'était pas nécessaire que le Conseil fédéral intervienne étant donné que la souveraineté de la Suisse n'était pas en cause. Et d'expliquer que, aux yeux du Conseil fédéral, il n'y avait pas violation du secret bancaire car ce dernier ne s'applique que sur le territoire suisse; il appartient
cependant aux autorités pénales d'apporter une éventuelle réponse à cette question. Il a ensuite ajouté que les violations de la protection des données, voire du secret bancaire, ne relèvent pas du domaine de compétence du DFF et que, par conséquent, les autorités gouvernementales ne sont soumises à aucun devoir d'intervention ni d'information en la matière. Il n'est donc pas étonnant que, lors de leur rencontre avec le sous-secrétaire d'Etat du ministère américain des Finances, en septembre 2006, les secrétaires d'Etat du DFAE et du DFE n'aient pas évoqué le sujet de la transmission de données de transactions aux autorités américaines. Lors de son audition par la sous-commission, début 2007, le chef du DFF a par ailleurs expliqué qu'il fallait attendre les réactions des instituts financiers, de SWIFT et des Etats-Unis aux constatations et recommandations du groupe de l'art. 29.
En résumé, on peut donc dire que le chef du DFF de l'époque a été informé par la BNS en 2002 et que le DFF n'a cependant pas réagi. Suite aux révélations dans la presse évoquées plus haut, le DFF, compétent en la matière, et le Conseil fédéral ont donné une nouvelle évaluation de la situation à l'été 2006, précisant que ni le Conseil fédéral ni l'administration fédérale n'avaient à intervenir. L'avis du PFPDT, publié au cours du second semestre de l'année, et les recommandations des autorités 7898
européennes en charge de la protection des données n'ont eu jusque-là aucune incidence sur cette évaluation de la situation, laquelle a encore été confirmée par le chef du DFF début 2007. Actuellement, le département compétent s'en tient à l'observation de l'évolution de la situation.
6
Evaluation par la CdG-N et conclusions
La CdG-N retient que le Conseil fédéral, le DFF et la CFB ne peuvent constater aucune violation du secret bancaire dans la transmission de données de transactions aux autorités américaines. Cela montre, de l'avis de la commission, que l'impact du secret bancaire suisse est somme toute faible.
On remarque que, hormis le PFPDT, les acteurs étatiques suisses n'identifient aucun besoin d'action direct dans le cadre de la transmission de données aux autorités américaines et se contentent de mentionner les possibilités de porter plainte dont disposent les clients des instituts financiers. Cependant, en raison de l'absence d'information des clients des banques et de l'implication seulement relative des différents clients, sans oublier le risque de procès, qui serait à supporter par le plaignant, l'intérêt de chaque client à exiger le respect de ses droits en matière de protection des données devrait être minime. Cette situation n'est pas satisfaisante étant donné que les violations de la LPD constatées par le PFPDT et confirmées par analogie par les constatations du groupe de l'art. 29 et la Commission belge de la protection de la vie privée ne feront pas l'objet d'une action en justice et ne pourront par conséquent pas être vérifiées dans un cadre judiciaire. La transmission de données de transactions se poursuivant, ces violations du droit persistent.
Dans ce contexte, la CdG-N considère l'attitude du Conseil fédéral et du DFF comme trop passive. Elle est d'avis que le Conseil fédéral devrait donner une nouvelle évaluation de la situation après que le PFPDT a constaté des violations de la LPD et que, de leur côté, les autorités européennes en charge de la protection des données ont elles aussi relevé des violations du droit européen. La seule mention des possibilités dont dispose le PFPDT et du droit d'intenter une action dont jouissent les clients concernés des banques est insuffisante et ne répond pas à l'esprit de la protection de la sphère privée ancré dans la Constitution (art. 13 Cst.). Selon la doctrine et la jurisprudence, l'art. 35 de la Constitution fédérale implique également de la part de l'exécutif un devoir de protection à l'égard des personnes titulaires de droits fondamentaux, même lorsqu'une atteinte à l'un de ces droits fondamentaux n'est pas due à une intervention de l'Etat.45 La
CdG-N partage l'avis du PFPDT et des autorités européennes de protection des données, selon lequel le problème ne peut être résolu que s'il y a une action au niveau intergouvernemental; c'est pourquoi le Conseil fédéral, plus précisément le DFAE, compétent pour ce qui est des relations extérieures de la Suisse, doivent, en collaboration avec le DFF, chercher à établir un contact avec les autorités européen45
Schweizer Rainer J., St. Galler Kommentar, art. 35 Cst., ch. marg. 12, in: Bernhard Ehrenzeller et al. (éditeur.), Die schweizerische Bundesverfassung, Kommentar, Zurich/Bâle/Genève, 2002. Selon Jörg Paul Müller, l'Etat «est tenu, avec le concours de tous ses organes, de veiller à l'intégrité des biens qui participent des droits fondamentaux» («hat der Staat mit all seinen Organen für die Integrität der von den Grundrechten angesprochenen Gütern zu sorgen»); cf. Müller Jörg Paul, Allgemeine Bemerkungen zu den Grundrechten, cf. marg. 37, in: Thürer et al., Verfassungsrecht der Schweiz.
7899
nes et américaines en vue de trouver une solution conforme avec le droit suisse. Fin décembre 2006, la Commission belge de la protection de la vie privée a présenté à l'attention du gouvernement belge des options permettant de concilier la lutte contre le financement du terrorisme et les exigences légales à l'échelle internationale46. Le Parlement européen exige également qu'un tel traité international soit conclu.47 Recommandation La CdG-N demande au Conseil fédéral de trouver avec les autorités européennes compétentes activement une solution au problème de la transmission de données de transactions de SWIFT, laquelle solution devra préserver les principes suisses de la protection des données.
La CdG-N est d'avis que la BNS a agi correctement lorsque le président de sa direction générale, aussitôt après avoir été informé de la transmission de données de transactions, en a fait part au chef du DFF de l'époque et à la CFB. La CdG-N partage ensuite l'avis du groupe de l'art. 29, selon lequel la transmission de données de transactions aurait pu avoir une incidence sur la stabilité des systèmes financiers; c'est pourquoi elle considère souhaitable qu'à l'avenir, l'évaluation de la stabilité des systèmes financiers tienne compte d'aspects relevant du droit sur la protection des données.
C'est avec stupeur que la CdG-N a pris note du fait que ni le chef du département en exercice ni le Conseil fédéral n'ont eu connaissance, avant la fin juin 2006, de la transmission de données par SWIFT, bien que le président de la direction générale de la BNS en ait informé le chef du DFF d'alors et la CFB en 2002. La Commission pense qu'aussitôt après avoir été reçue, une information de ce type aurait dû être soumise aux membres du Conseil fédéral et ne peut être égarée en cas de changement à la tête du département.
Entre 2002 et mi-2006, la CFB était prise en étau entre, d'une part la lutte contre le financement du terrorisme et, d'autre part, la surveillance de l'activité, conforme à la loi, des instituts financiers. Depuis la mi-2006, le programme américain de lutte contre le financement du terrorisme n'est plus secret et, dans son avis, le PFPDT s'est exprimé sur la responsabilité des banques en matière de droit sur la protection des données. Dans ce contexte se pose la question, aux yeux de la CdG-N, de savoir
si, considéré sous l'angle de la gestion irréprochable des banques, le respect du devoir d'information stipulé dans la LPD ne devrait pas tomber sous le coup de la législation en matière de surveillance des banques. Selon les constatations du PFPDT, les instituts financiers enfreignent en effet les art. 4 et 6 LPD lorsqu'ils transmettent des données. Vu la relation étroite entre le secret bancaire et la LPD48, la CdG-N est d'avis qu'il faut clarifier la question de savoir si les banques présentent toujours toutes les garanties d'une activité irréprochable.
46
47 48
Commission de la protection de la vie privée, Royaume de Belgique, Avis N° 47 du 20.12.2006 relatif à la préparation d'une convention concernant la transmission de données à caractère personnel par SWIFT à l'US Department of the Treasury (UST), (http://www.privacycommission.be/actualites.htm).
Voir la résolution du Parlement européen sur SWIFT, l'accord PNR et le dialogue transatlantique sur ces questions du 14 février 2007, ch. 7 ss.
Voir ch. 3.
7900
La CdG-N pense qu'il était correct que le PFPDT intervienne à la suite des révélations du New York Times. Ainsi, celui-ci a rempli son mandat légal et a contribué à la bonne réputation de notre pays en Suisse et à l'étranger.
La CdG-N demande au Conseil fédéral de prendre position, d'ici à fin septembre 2007, sur le présent rapport et les conclusions qu'il contient.
17 avril 2007
Pour la Commission de gestion du Conseil national: Le vice-président, Pierre-François Veillon Le secrétaire, Philippe Schwab La présidente de la sous-commission DFF/DFE: Brigitta M. Gadient, conseillère nationale Le secrétaire de la sous-commission DFF/DFE: Christoph Albrecht
7901
7902