Informations bancaires aux services de renseignements US

En attendant 2010

d'Lëtzebuerger Land du 29.11.2007

Faut-il croire sur parole le ministre CSV du Trésor et du Budget et de la Justice lorsqu’il assure que le secret bancaire, auxquels ont droit autant les petites gens que les personnes fortunées, n’est pas menacé par les nouvelles dispositions du droit qui autorisent désormais officiellement la transmission d’informations, via le système Swift, aux autorités américaines ? La
banalisation que Luc Frieden fait, et a toujours fait, du tourisme des données personnelles des clients de banques aux États-Unis est navrante, tout comme est affligeante l’absence de débat public, au plan national, qui a suivi l’accord européen de fin 2006
légalisant de manière implicite une pratique que Swift et les services secrets américains s’étaient autorisés pendant des années sans demander leur reste aux principaux intéressés, au nom de la lutte contre le terrorisme.

Tout ça se ferait désormais, dans « le respect des dispositions légales en matière de protection des données en vigueur dans l’Union européenne ». C’est du moins ce qu’assurent les promoteurs de l’accord politique négocié l’année dernière entre l’UE
et les États-Unis. Il y a toutefois matière à douter de leur bonne foi après la lecture des rapports récents des gardiens de la protection de la vie privée, en Belgique, en Suisse et au niveau de l’UE.

La communauté bancaire a tenté à son tour cette semaine de dédramatiser la situation. Dans un communiqué de presse, l’ABBL signale que le sujet, relancé par une lettre ouverte de l’ancien ministre des Finances Jacques Poos, « n’est ni nouveau, nispécifiquement luxembourgeois ». Ceci dit, le sujet a beau être « vieux » aux yeux des financiers qui fonctionnent au rythme fou des marchés, il ne fit l’objet d’aucun débat public.

Les négociations entre les représentants du monde financier et les responsables de la Commission nationale de la protection des données, qui ont accouché d’une recommandation de l’ABBL à ses membres, désormais tenus de renseigner leurs clients sur les risques de déperdition outre-Atlantique de leurs données confidentielles, n’ont jamais été médiatisées non plus.

Quoi qu’il en soit, dire, ou plutôt avouer, aux clients qu’ils risquent de voir leurs données se balader sur le nouveau continent, n’enlève pas pour autant le caractère suspect de cemouchardage au regard du droit. En juin dernier, un rapport de la commission
belge de protection des données (Swift est une société de droit belge avec une succursale aux États-Unis) évoquait le niveau d’information « insatisfaisant » des clients des banques participant au système Swift.

Il a quand même fallu attendre le « coup de gueule » d’un ancien ministre LSAP, Jaqcues Poos, dans le Wort, le 21 novembre dernier, pour que les banquiers luxembourgeois sortent de leur mutisme et publient une « mise au point ». Beaucoup de
clients des banques, comme l’ancien numéro deux du gouvernement, ont été surpris de savoir, qu’ils donnaient à leurs établissements de crédit leur « consentement implicite » à ce que leurs données puissent être « potentiellement » exploitées par les barbouzes américains dans le cadre de la lutte antiterroriste. Or, c’est leur consentement « éclairé » qui serait nécessaire dans ce cas de figure plutôt que leur accord implicite.

La Commission de surveillance du secteur financier (CSSF) a beaucoup glosé dans le passé, notamment au moment de la mise en place des règles sur les intermédiaires qualifiés aux États-Unis (les résidents fiscaux américains demandaient à leurs banquiers luxembourgeois d’informer le fisc US des revenus perçus sur des titres américains), sur la portée du secret bancaire, qui appartient au client, et les conditions dans lesquelles ce dernier pouvait autoriser sa banque à révéler des informations le
concernant. En mars 2004, l’autorité de surveillance avait publié dans son rapport annuel (2003) une sorte d’exégèse sur La nature et la portée du secret bancaire, où il était clairement indiqué que l’absence de consentement du client à la révélation de données était constitutif d’une violation du secret professionnel. Le gendarme de la place financière y relevait ainsi que le professionnel ne pouvait négocier la communication d’informations dans son intérêt exclusif et qu’il apparaissait « logique » de donner à l’intérêt de la personne protégée une priorité dans toutes les considérations relatives à la limite du secret. « Il est
essentiel de retenir que l’injonction vient toujours de la personne protégée elle-même », soulignait la CSSF dont les textes font autorité. Sauf que la réglementation communautaire prime le droit national.

Le consentement du client doit prendre en compte plusieurs critères, sur le plan national. La « victime », comme la nomme la CSSF, doit d’abord être consciente du contenu de l’information révélée : « Ce qui rend impossible toute renonciation au secret
qui porterait sur « toutes informations généralement quelconques », précise le texte. Ensuite, le destinataire de l’information doit être soit connu, soit accepté sans ambiguïté par la personne protégée. À lire la lettre ouverte de Jacques Poos, on a quand même des doutes sur son consentement à voir ses virements bancaires déshabillés par les Américains de la CIA. Il faut y ajouter que
la finalité recherchée doit être connue. La lutte contre le terrorisme est la réponse que l’on donnera ici à ceux qui effectuent des virements bancaires. La surveillance, via Swift aurait permis, selon les autorités américaines citées par la Commission belge de protection de la vie privée, l’arrestation du cerveau des attentats de Bali en 2002. L’épluchage des transactions financières a permis aux enquêteurs de remonter jusqu’à un compte bancaire saoudien d’un suspect puis à la mosquée qu’il fréquentait
à New York.

Ceci dit, un client ne peut accepter, selon la CSSF, la divulgation d’informations bancaires, « pour un futur indéterminé, puisqu’il ne peut, aujourd’hui, pleinement apprécier ses intérêts à long terme ». La recommandation de l’ABBL ne mentionne aucun délai. La mise au point du patronat bancaire relève que les données pourront être potentiellement exploitées jusqu’à ce que Swift inaugure son centre de back-up sur le vieux continent, c’est-à-dire au plus tôt en 2010.

Enattendant, lesclientsn’ont d’autres choix que de donner un « chèque en blanc », comme le résume le député vert Jean Huss dans une question au ministre CSV des Communications en s’interrogeant, au passage, sur la constitutionnalité et la légalité de la démarche des banques. Jacques Poos estime lui que les banques « restent responsables d’un possible usage abusif des données personnelles que leurs clients leur confient ». D’autant que la législation américaine ne prévoit aucune protection des données équivalente à celle garantie par le droit luxembourgeois.

Vu que toutes les banques luxembourgeoises se plient aux conditions de Swift, règles elles-mêmes dictées par l’administration Bush, du moins pour les établissements qui sont affiliées à l’ABBL, et que, de plus, le problème n’est pas « spécifiquement
luxembourgeois », mais bien planétaire, les pratiques incriminées seraient-elles déjà à moitié pardonnées ? Sur le plan du droit, les citoyens semblent bien démunis pour faire appliquer la législation sur la protection de la vie privée et celle sur le secret
bancaire. « Les gens semblent résignés », déplore Gérard Lommel, le président de la Commission nationale de protection des données.

Le règlement européen au coeur du débat, qui est d’effet direct, c’est-à-dire qu’il s’applique dans tous les États membres sans la bénédiction du législatif, impose depuis le 1er novembre que les virements bancaires, nationaux ou internationaux, soient assortis d’informations précises renseignant sur l’identité du donneur d’ordre et sur celle du récipiendaire. Comme le signalait en juin dernier la Commission belge de la protection de la vie privée, les messages envoyés électroniquement par le système Swift,
plus particulièrement le SwiftNet FIN, peuvent être comparés à une enveloppe et à une lettre. L’enveloppe renseigne sur le code BIC de l’expéditeur du virement, l’identification de la banque réceptrice et la date et l’heure du message. La lettre fournit,
lorsqu’il s’agit d’un paiement, le montant de la transaction, la devise, la date de valeur, le nom du bénéficiaire, l’institution financière de son bénéficiaire, le client qui a demandé la transaction financière et l’institution financière de ce client. En option,
les messages peuvent aussi contenir des numéros de référence pour les paiements. Les messages sont conservés dans les centres de traitement de Swift en Europe et aux États-Unis pendant une période de 124 jours. « Les autorités américaines ont mis en place un accès au centre opérationnel américain, site miroir du centre européen », note d’ailleurs l’autorité belge.

En attendant la « ré-architecture » de son réseau informatique – qui n’est pas attendue avant 2010 et qui lui permettra de faire l’économie d’un passage aux USA pour les virements intra-européens – Swift continuera d’envoyer en copie ses messages outre-Atlantique. Comme la coopérative le fait depuis 2001 en vertu d’un programme secret qui n’avait pas reçu l’accord du Congrès américain.

Les avis divergent sur le degré de connaissanceque les banquiers européens avaient des accords secrets. Le commissaire européen chargé des questions de justice, Franco Frattini, assurait que les établissements financiers, pourtant membres de la communauté des swifties s’ils ne sont pas dans le conseil d’administration de la multinationale, n’en avaient pas connaissance. À Luxembourg, personne n’a pris la peine de le vérifier. Pas plus qu’au niveau européen, la confirmation a été donnée, comme l’a affirmé le Trésor US, que seules les communications Swift des entités suspectées d’être liées au terrorisme ont été et seraient étudiées.

Neuvième utilisateur mondial de Swift, la place financière de Luxembourg dispose d’un siège dans le conseil d’administration. Il est occupé par le directeur général de Clearstream. Il s’agissait d’André Roelants à l’époque de l’accord secret de 2001. « Le conseil d’administration de Swift et les banques centrales membres du conseil de supervision n’auraient été informés de ces exigences américaines qu’une fois le programme de surveillance mis en place. Seules certaines d’entre elles ont informé à leur
tour leurs gouvernements », note un rapport belge.

Le patron de Clearstream a-t-il prévenu le ministre du Trésor et du Budget Luc Frieden ? Un débat public aurait peut-être permis de le déterminer. Gérard Lommel, le président de la Commission nationale de protection des données, juge que certains banquiers luxembourgeois savaient. Il dit toutefois ignorer si le dirigeant de Clearstream, qui est aussi le représentant du Luxembourg, a informé ou non Luc Frieden.

Interpellé en 2006 par des députés de l’opposition, le ministre a toujours minimisé la portée des accords secrets entre Swift et les autorités américaines, affirmant que ce qui était demandé aux banques n’excédaient pas les obligations de transparence
auxquelles elles étaient soumises par la réglementation européenne. Sauf qu’en Europe, il existe des gardes fous à la protection de la vie privée, inexistantes aux États-Unis. Et qu’il faut sans doute s’inquiéter de ce que les autorités américaines font des données qu’elles piochent légalement dans les serveurs de Swift sur son territoire. Au-delà de la quête sécuritaire, les enjeux se présentent aussi sous le volet de la souveraineté économique. La CIA et le Trésor US ont surveillé des millions de données
depuis six ans, certaines d’une très grande sensibilité économique et commerciale. Des risques que les gardiens européens des libertés privées prennent d’autant plus au sérieux que Swift est appelé à devenir le « centre nerveux » du futur marché
européen des systèmes de paiement, le fameux SEPA.

La CSSF a indiqué pour sa part qu’aucune sanction pour violation du secret bancaire n’avait été prise jusqu’à présent dans le cadre de l’affaire Swift. Mais d’un autre côté, les banquiers disent être dans l’attente d’une circulaire fixant les sanctions en cas de violation des dispositions du règlement européen. Ils ont d’ailleurs rendez-vous la semaine prochaine avec les responsables de
la surveillance financière. Une « vieille » histoire ?

Véronique Poujol
© 2019 d’Lëtzebuerger Land