En vertu d'un nouvel accord sur la surveillance du financement du terrorisme conclu entre l’Union européenne et les Etats-Unis d’Amérique, et entré en vigueur en août 2010, EUROPOL est chargée de vérifier le caractère proportionné et nécessaire des demandes de transmission de données SWIFT émanant des autorités américaines. L’autorité de contrôle commune d’EUROPOL (ACC EUROPOL ) a mené en novembre 2010 un contrôle dans les locaux d’EUROPOL. Les éléments constatés à l’occasion de ce contrôle soulèvent de sérieuses inquiétudes quant au respect des principes de protection des données.
Bruxelles, le 2 Mars 2011.
L’Autorité de contrôle commune (ACC) EUROPOL a récemment effectué un premier contrôle d’EUROPOL concernant la mise en œuvre de l’accord TFTP, entré en vigueur en août 2010.
L’accord TFTP a donné à l’autorité de contrôle commune une nouvelle tâche : surveiller le respect par Europol des dispositions de l’accord TFTP relatives aux principes de protection des données lorsqu’Europol décide de l’admissibilité des requêtes des Etats-Unis d’Amérique auprès de SWIFT.
L'accord TFTP donne à EUROPOL un rôle de vérification du caractère proportionné et nécessaire des demandes américaines, conformément aux dispositions de l'accord TFTP. Europol peut ainsi approuver ou refuser la transmission de données SWIFT vers les Etats-Unis d’Amérique.
L’accord TFTP a été adopté à la suite de l’affaire dite « SWIFT », lorsqu’il devint public que toutes les transmissions de données SWIFT étaient conservées dans une base de données « miroir » aux Etats-Unis et que les autorités américaines soumettaient SWIFT, par des voies légales, à remettre les données financière requises sous peine d’amende ( « subpoenas »). Les négociations entre l’autorité de protection des données belge, l’Union européenne et les Etats-Unis ont conduit à la décision de SWIFT de déplacer la base-miroir en Europe. Des négociations ont alors eu lieu entre les autorités européennes et américaines pour trouver une solution légale à l’échange de données personnelles aux fins de surveillance du financement du terrorisme. L’accord TFTP résulte de ces négociations.
En vertu de l'article 34 de la décision du Conseil relative à Europol, l'autorité de contrôle commune Europol (ACC Europol) a la tâche de contrôler les activités d'Europol afin d'assurer que les droits des personnes ne sont pas méconnus à l'occasion de l'utilisation, du traitement et du stockage de données par Europol. A cette fin, lors de sa réunion du 11 octobre 2010, l'ACC Europol a mandaté une équipe de contrôle afin de mener un contrôle sur place. Ce contrôle a été effectué en novembre 2010.
L’équipe d’inspection a constaté que certaines exigences n’étaient pas respectées en matière de protection des données. La conclusion la plus importante du contrôle est que les requêtes écrites reçues par Europol ne sont pas suffisamment spécifiques pour permettre de décider si convient de les autoriser ou de les refuser. Il a été constaté que les requêtes américaines étaient trop générales et trop abstraites pour permettre une évaluation correcte de la nécessité des transmissions de données demandées. En dépit de cela, Europol a autorisé chaque requête reçue. Par conséquent, une des recommandations de l’ACC est qu’Europol devrait contacter l’administration américaine (US Treasury Department) pour s’assurer que les futures demandes de données SWIFT satisfont aux critères établis par l’accord TFTP. L’ACC a conclu que la vérification correcte de la conformité des requêtes à l’accord TFTP, sur la base de la documentation disponible, est impossible.
Europol a précisé que l’information fournie oralement joue un rôle dans la vérification de chaque requête. Cette information est fournie à certains agents d’Europol à la condition qu’aucun enregistrement ne soit réalisé. Ce type de procédure empêche l’ACC de vérifier si Europol prend ses décisions à bon droit. L’ACC a par conséquent été incapable d’évaluer si le volume de données transférées par SWIFT aux Etats-Unis était proportionné et nécessaire, comme requis par l’accord TFTP. La place significative d’informations orales rend tout audit correct, interne ou externe, mené respectivement par le service de protection des données d’Europol ou par l’autorité de contrôle commune Europol, impossible.
Plus d’informations, ainsi que la liste complète des recommandations données à Europol peuvent être trouvées dans la version publique du rapport de l’ACC, disponible sur son site Web. En raison de la classification (EU SECRET) par Europol de l’information ayant fait l’objet du contrôle, l’ACC ne peut rendre le rapport complet public.
L’ACC EUROPOL
Isabel Cruz, Présidente.
