Affaire « SWIFT » : les conclusions de la commissaire canadienne

En juin dernier, Jennifer Stoddart, commissaire fédérale à la protection de la vie privée au Canada, avait entrepris une enquête après un scandale au sujet de SWIFT, société privée basée en Europe dont l’objet est d’assurer le fonctionnement d’un réseau international de communication électronique entre acteurs des marchés financiers. L’affaire concernait une transmission de données financières collectées par cette société à la demande des services de renseignement américains suite aux attentats du 11 septembre.
Lundi dernier, la commissaire à la protection de la vie privée a rendu ses conclusions. Selon elle, il est parfaitement légal pour SWIFT de fournir aux services de renseignement américains des données financières sans avoir préalablement obtenu le consentement des intéressés ni même les avoir informés de cette communication. Il faut dire qu’en tant qu’opérateur agissant tant aux Etats-Unis qu’au Canada, SWIFT se trouve dans une position difficile puisque cette société doit respecter la législation canadienne sur la vie privée et la législation américaine « post-11 septembre » qui impose parfois une transmission de données personnelles au gouvernement.
Toutefois, Jennifer Stoddart a attiré l’attention du Ministère des finances canadien sur le fait qu’il serait urgent d’élaborer un système de transmission de données plus transparent entre les Etats-Unis et le Canada afin d’éviter de possibles abus. Cette remarque démontre, selon la presse canadienne, que la protection des données personnelles aux Canada est loin d’être parfaite.
La question du transfert de données personnelles entre Etats est éminemment stratégique. En Europe, la directive du 24 octobre 1995 a eu pour objectif une harmonisation de la protection des données personnelles dans les Etats membres afin de faciliter le transfert de données au sein de l’Union. Pour ce qui concerne les données fournies à des Etats non membres, l’article 68 de la loi du 6 janvier 1978 autorise un tel transfert que « si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet ». A ce jour, très peu de pays sont considérés comme tel (essentiellement Argentine, Canada et Suisse). Pour les Etats-Unis, seules les entreprises adhérant aux principes du Safe Harbor peuvent acquérir des données personnelles provenant de France.
En définitive, il semble que les données personnelles face l’objet d’une protection plus forte de ce côté de l’Atlantique et l’affaire « SWIFT » aurait peut-être eu un dénouement différent en Europe. Il suffit pour s’en convaincre d’observer les divergences qu’a suscité, au sein des instances européennes, la législation américaine imposant aux compagnies aériennes internationales un transfert des données sur les passagers. Dès lors, il semble que le Patriot Act n’ait pas totalement réussi à traverser l’Atlantique...