EXPOSÉ GÉNÉRAL
Mesdames, Messieurs,
Le Sénat a été saisi, le 21 novembre 2007, au titre de l'article 88-4 de la Constitution, d'un projet d'accord entre l'Union européenne et les États-Unis sur le transfert de données détenues par la société de messagerie financière internationale SWIFT. Cet accord a pour but d'encadrer l'accès du département du Trésor américain à certaines données concernant les flux financiers ayant pour origine des donneurs d'ordre qui peuvent être européens, dans le cadre de la lutte contre le terrorisme.
L'adoption de cet accord, qui est en cours de négociation et est susceptible de recevoir encore des modifications ou des changements substantiels, aura probablement lieu lors du Conseil JAI des 30 novembre et 1er décembre 2009.
La commission des affaires européennes a examiné le 28 octobre 2009 ce projet d'accord et le président Hubert Haenel a présenté, en application de l'article 73 quater du règlement du Sénat, une proposition de résolution dont votre commission des lois est désormais saisie.
Cette proposition offre en l'état une rédaction satisfaisante.
Toutefois, une question de procédure a conduit la commission des lois à l'examiner rapidement ainsi qu'à déposer un rapport.
En effet, il est nécessaire que ce texte devienne résolution du Sénat avant le 30 novembre , date de l'adoption probable de l'accord par le Conseil JAI européen.
Or, si votre commission ne s'en était pas saisie et si, comme il est probable, cette PPRE n'avait pu être inscrite à l'ordre du jour du Sénat dans un délai très court, elle ne serait devenue résolution du Sénat que passé un délai d'un mois et trois jours francs suivant sa transmission à votre commission, conformément à l'article 73 quinquiès du règlement du Sénat, soit le 3 décembre, donc après le Conseil JAI.
En revanche, l'examen de cette proposition de résolution par votre commission des lois ce 16 novembre 2009 lui permet de devenir résolution du Sénat dans les trois jours si aucune demande tendant à son examen en séance publique n'est effectuée. Elle pourra ainsi être prise en compte lors des négociations en cours.
De quoi s'agit-il dans cette affaire ?
La société SWIFT, société coopérative de droit belge, est un prestataire international de services informatiques qui facilite les opérations financières grâce à un système de messagerie. C'est une entreprise dominante dans son secteur et une grande partie des paiements de masse internationaux effectués par les institutions financières passe par elle.
Si la base de données de SWIFT est située aux Pays-Bas, il existe une duplication de sauvegarde en Virginie. Cette localisation a permis aux autorités américaines, en 2006, d'adresser des injonctions à SWIFT pour avoir accès à des données à caractère personnel contenues dans la base, au nom de la lutte contre le terrorisme. Ces données concernaient notamment des personnes et des entreprises européennes.
En novembre 2006, le groupe dit « de l'article 29 » (qui réunit les «CNIL» européennes) a émis un avis, selon lequel SWIFT, en répondant aux injonctions du Trésor américain, violait la législation communautaire en matière de protection des données.
Des négociations ont alors été engagées entre la Commission européenne et le département du Trésor, et ont abouti à des engagements unilatéraux américains, offrant des garanties telles que la limitation de l'utilisation des données à la seule finalité de lutte contre le terrorisme et un effacement des données transmises mais non utilisées dans le cadre d'une enquête.
En mars 2008, l'Union européenne a désigné M. Jean-Louis Bruguière pour évaluer le respect des engagements américains. Il a rendu un rapport concluant de manière positive sur ce respect.
Un nouvel élément a toutefois modifié l'équilibre ainsi trouvé et a rendu nécessaire la négociation d'un nouvel accord.
En effet, SWIFT est en passe de réorganiser ses activités en distinguant deux zones de traitement : la zone européenne et la zone transatlantique. En conséquence, les messages internes à l'espace européen seront traités et stockés exclusivement en Europe et ne seront plus accessibles aux Américains.
Or, le programme américain a permis aux États membres de l'Union de bénéficier d'informations qu'ils ont jugées utiles pour lutter contre le terrorisme . La Commission européenne a donc proposé l'ouverture de négociations avec les États-Unis en vue de conclure un nouvel accord qui assure la continuité du transfert de données malgré la nouvelle architecture de SWIFT.
En l'état actuel, le projet d'accord contient un certain nombre de garanties. En particulier, les transmissions de données en faveur des autorités américaines ne pourront avoir pour but que la lutte anti-terroriste. Surtout, les autorités américaines devront faire des demandes motivées et l'Etat européen concerné vérifiera la conformité de ces demandes avec l'accord bilatéral en matière d'entraide judiciaire signé en 2003 .
Le projet d'accord contient néanmoins également quelques points qui appellent une certaine vigilance. C'est pourquoi la proposition de résolution de M. Hubert Haenel, qui a bénéficié de l'expertise en la matière de notre collègue Alex Türk, demande fermement que des garanties soient apportées concernant la finalité de la transmission des données, leur délai de conservation, l'existence d'une possibilité effective de recours pour les personnes concernées, enfin le caractère provisoire de l'accord en attendant le traité de Lisbonne 1 ( * ) .
En conséquence, la commission des lois a constaté que l'adoption rapide de cette proposition de résolution, dont elle a approuvé la rédaction sans modifications, était particulièrement souhaitable. Elle propose qu'elle devienne la résolution du Sénat à l'issu du délai de trois jours suivant le présent examen.
*
* *
Au bénéfice de l'ensemble de ces observations, votre commission a adopté la proposition de résolution, dont le texte est reproduit ci-après .
* 1 Cf l'exposé des motifs de la PPRE n°72 déposée par Hubert Haenel, lequel justifie point par point le rappel nécessaire, au cours de ce processus de négociation, des règles à respecter pour le traitement de ces données à caractère personnel.