L'affaire Swift met en jeu le secret bancaire et la façon dont les banques et les autorités réagissent aux atteintes à la sphère privée commises unilatéralement par les Etats-Unis (LT du 3.07.2006). Les conclusions de deux documents importants publiés ces jours méritent d'être portées à la connaissance du public.

D'abord un rappel des faits. Swift, société de droit belge, fournit à 7800 institutions financières des services automatisés de messagerie financière dans le monde entier. Ce n'est pas le seul prestataire, mais le principal, traitant 11 millions de messages quotidiens. Ceux-ci contiennent au minimum le montant de la transaction, la devise, la date valeur, le nom du bénéficiaire, l'institution financière du bénéficiaire, le client qui a demandé la transaction financière et l'institution financière de ce client. Ils peuvent contenir d'autres informations comme des numéros de référence pour les paiements et du «texte non structuré». Il s'agit clairement de données relevant de la sphère privée en droit suisse. Swift dispose de deux centres de traitement, un en Europe, l'autre aux Etats-Unis. Tous les messages y sont stockés, en miroir, pendant 124 jours.

Cet été, le New York Times a révélé qu'après le 11 septembre 2001, le Département du Trésor américain a demandé - et obtenu - un accès à ces données. Swift déclare avoir reçu 64 sommations. On ignore la quantité de messages qu'elles recouvrent, ce renseignement relevant de la «sécurité nationale» américaine. La Commission de protection de la vie privée belge (avis du 27 septembre 2006 sur http://www.privacycommission.be) estime pour sa part que les sommations «peuvent être qualifiées de demandes non individualisées et massives. [...] Elles ont été appliquées pour toutes les transactions qui ont ou peuvent avoir un rapport avec le terrorisme, concernant X pays et juridictions, à cette date ou de... à... variant d'une à plusieurs semaines, dans et/ou en dehors des Etats-Unis». Il peut donc aussi s'agir de transactions au sein de l'Union européenne, pourquoi pas entre la Suisse et des pays tiers.

Swift n'a pas attaqué les sommations devant un tribunal américain, préférant négocier les conditions d'accès: les messages sensibles (des dizaines de millions, probablement plus) ont été placés dans une «boîte noire», des employés de Swift étaient présents pendant l'extraction des données, un auditeur externe a supervisé le processus.

Depuis que l'affaire a éclaté, tous les acteurs n'ont qu'une idée en tête: se défiler. Les avis publiés ces jours par la commission de la vie privée belge (CVPB) et le préposé suisse à la protection des données (http://www.edoeb.admin.ch) remettent de l'ordre dans les responsabilités de chacun.

Swift a voulu se défausser en se présentant comme simple sous-traitant. Non, estime la CVPB, appuyée par le préposé suisse: «Swift prend des décisions qui vont plus loin que l'espace de manœuvre normal» d'un sous-traitant et, dans ce cas, «est clairement responsable parce qu'elle a pris toutes les décisions cruciales au sujet de la communication de données au Trésor américain, ce à l'insu de ses 7800 clients».

En se pliant aux exigences américaines, Swift a violé en plusieurs points la loi belge sur la protection des données, constate la CVPB. Elle «aurait dû être consciente» du choc entre les deux systèmes juridiques et informer les autorités européennes, ce qui aurait déclenché une négociation politique, d'autant plus qu'il existe des cadres pour cela (GAFI, groupe d'Egmont). La CVPB «se tient à disposition» pour établir si les banques clientes de Swift portent une part de responsabilité. Le préposé suisse à la protection des données estime que oui. Les banques ont failli à leur devoir d'informer la clientèle. «La seule possibilité que des données confidentielles soient transmises à des tiers» les y obligeait dans la mesure où elles étaient au courant de cette possibilité. Or deux établissements au moins l'étaient: UBS et Credit Suisse, représentés au conseil d'administration de Swift. Le rapport belge confirmant que la base de données Swift est stockée sur un site «miroir» aux Etats-Unis, «où aucune protection satisfaisante n'est garantie», le devoir d'information des banques reste plus pressant que jamais.

Quant aux responsabilités politiques, on connaît déjà la réponse du Conseil fédéral en août dernier: «Comme l'accès aux données de Swift a eu lieu aux Etats-Unis sur la base du droit américain, il n'a pas porté atteinte à la souveraineté de la Suisse.» Et ce morceau d'anthologie sur le secret bancaire: «Il convient de rappeler que, en vertu du principe de territorialité inscrit dans le droit international, le secret bancaire n'est garanti que sur le territoire national.» Une plaisanterie à l'ère de la globalisation financière.

Nous l'avons dit et le répétons: la réponse du Conseil fédéral est indigne. On attend toujours celle des banques.