Le système SWIFT : une arme géopolitique impérialiste (volet1)

Le réseau interbancaire SWIFT créé en 1973 constitue un impensé des enjeux géopolitiques contemporains. Fondé à La Hulpe en Belgique puis contrôlé indirectement par le Trésor américain dans les années 2000, ce réseau fait depuis une vingtaine d’années l’objet de nombreuses stratégies de contournement en provenance notamment de la Chine et de la Russie. Utilisé à des fins politiques lors de conflits internationaux tant par les États-Unis que l’Union européenne, le système SWIFT est fortement critiqué par un nombre croissant de ses adhérents en raison de sa situation hégémonique. Il convient alors d’interroger non seulement le pouvoir exercé par les États-Unis sur ce réseau, mais également l’état d’avancement des alternatives en cours de développement par ses pourfendeurs et les conséquences qu’auraient ces dernières.

Au lendemain des attentats du 11 septembre, l’administration Bush entame une « guerre mondiale contre le terrorisme » ayant pour principal objet l’éradication de l’organisation Al-Qaïda. Pour ce faire, les agences fédérales commencent à chercher des moyens de remonter les réseaux de financement occultes ; « following the money » devient un mantra des agences de renseignement.

La proclamation de l’état d’urgence par George W. Bush et l’adoption le 26 octobre 2001 par le Congrès américain du Patriot act – ainsi que d’une suite d’autres textes d’application extraterritoriale – vont offrir à ces agences un cadre légal d’exception. Le décret présidentiel 13224 [1] confère ainsi au département du Trésor américain, placé sous l’autorité de l’un des membres du cabinet du président, une compétence partagée avec le FBI et la CIA [2] en matière de traque de ces réseaux financiers. Dans le cadre de l’exécution du décret, le département du Trésor ouvre secrètement le « Terrorist finance tracking program » (TFTP) dont l’un des volets principaux consiste à utiliser les données stockées sur les serveurs de la société SWIFT en Virginie.

Ces données étant considérées par le droit européen comme des « données personnelles » [3], la société belge n’est en principe pas habilitée à les transférer au département du Trésor – ce qu’elle fera pourtant. Si l’existence du programme reste, un temps, confidentielle, une série d’articles publiés en juin 2006 par le New York Times, le Wall Street Journal et le Los Angeles Times en révèle l’existence.

L’extra-territorialité du droit américain

C’est à cette date que commence véritablement « l’affaire SWIFT » : la révélation du New York Times attire l’attention des institutions européennes, au premier chef du Parlement européen qui, quelques semaines plus tard, adopte une résolution [4], rendue notamment, en vertu de la Convention européenne des droits de l’Homme et de la Charte des droits fondamentaux de l’Union européenne. Le Parlement européen constate ainsi une violation du droit européen [5] et rappelle que tout transfert de données personnelles appartenant à des citoyens européens doit se faire dans le cadre légal définit par la directive 95/46/CE [6]. En effet, si « (…) le système juridique américain ne considère pas le droit à la protection des données personnelles comme un droit fondamental dont la portée serait générale et préfère fractionner la protection au moyen de textes sectoriels » [7], la protection des données personnelles est, au contraire, en Europe, considérée comme l’une des articulations les plus importantes du droit fondamental à l’intimité de la vie privée. C’est à ce titre que la directive 95/46/CE impose aux entreprises traitant des données personnelles de communiquer aux utilisateurs de la plateforme l’identité des personnes morales pouvant y accéder. Il est presque absurde, tant cela paraît évident, de dire que les utilisateurs du réseau n’avaient pas été informés par la société SWIFT que leurs informations personnelles pourraient être transmises au département du Trésor américain.

Le martinet

Que comprendre derrière l’emploi de l’acronyme SWIFT ? Ce dernier peut prêter à confusion tant son caractère est polysémique. SWIFT, au départ, signifie en anglais prompt, rapide, immédiat. C’est le nom anglais du martinet, figure aérienne de l’extrême rapidité. SWIFT est aussi l’acronyme du réseau de communication financière ayant remplacé l’antique système des téléscripteurs. Ce « centre nerveux du secteur bancaire mondial » propose des services de messagerie bancaire standardisée. Il s’agit, une fois la négociation entre deux acteurs financiers achevée, de permettre la transmission des informations bancaires nécessaires à la future transaction. 

SWIFT c’est ensuite le nom de la société coopérative belge créée en 1973 pour gérer ces flux de messages financiers. Le groupe est détenu et géré par ses adhérents, au nombre desquels on compte certaines des plus importantes institutions financières mondiales – des banques, certes, mais aussi des sociétés de courtages et des bourses d’échanges.

SWIFT c’est enfin le code contenant les informations bancaires relatives à l’auteur et au bénéficiaire de ladite transaction. On y trouve des données relatives au pays dont ils sont issus, mais également à l’établissement financier au sein duquel sont situés leurs comptes (Deutsch Bank, Banque postale, etc.) et à l’agence qui doit réceptionner la transaction. 

5 milliards de messages

Les informations transitant sur le système SWIFT sont donc nombreuses, avec plus de 5 milliards de messages échangés en 2014, mais également mondiales, puisque les transactions SWIFT mettent en lien les opérateurs financiers de tous les continents. Elles sont surtout cruciales car l’accès aux données SWIFT signifie premièrement, avoir la faculté de retracer les opérations financières à travers le monde, ensuite, pouvoir en identifier les auteurs et, enfin, pouvoir évincer du réseau certains États et/ou agents privés. 

SWIFT est donc tout sauf un acteur neutre. Les données sont stockées sur deux serveurs, situés aux Pays-Bas et aux États-Unis, chacun ayant en mémoire l’intégralité des données échangées sur le réseau. De cette localisation géographique découle une domination du programme par deux acteurs : l’Union européenne et les États-Unis. La société privée SWIFT est en effet à la fois sujet de droit européen et sujet de droit américain. Elle peut, à ce titre, se voir contrainte à certaines actions par les deux entités politiques, ce qui n’est pas sans générer des conflits d’intérêts.

SWIFT sommée de communiquer certaines données sensibles

Plus qu’un exemple des atteintes portées aux droits du citoyen européen, l’affaire SWIFT est l’illustration frappante des pressions dont peuvent faire l’objet les sociétés européennes présentes aux États-Unis [8]. Imagine-t-on l’embarras et le dilemme de la société SWIFT au moment où l’administration Bush l’a secrètement sommée [9] de communiquer certaines données sensibles présentes sur ses serveurs ? Il lui aura fallu choisir entre enfreindre le droit européen à l’insu des autorités du même nom ou… regimber ouvertement à l’application du droit américain et assumer la confrontation avec les autorités fédérales. Aussi comprend-on aisément son choix de se plier aux injonctions américaines : un espoir subsistait pour la société belge de ne jamais voir sa collaboration avec le département du Trésor révélée et ainsi de ne point avoir à traiter du problème juridique majeur posé par sa double nationalité. Compte tenu du caractère stratégique du positionnement de la société SWIFT, il était évident que l’entreprise aurait, d’une manière ou d’une autre, à traiter avec les renseignements américains. Pourtant, jusqu’aux révélations du New York Times, l’Union européenne ne s’était pas inquiétée de cette situation.

Inertie européenne

L’affaire SWIFT est en cela l’illustration de l’inertie des institutions européennes. Une fois même la collaboration de la société SWIFT avec le département du Trésor dévoilée, leurs réactions à l’application extraterritoriale du droit américain furent non seulement lentes, mais également complaisantes. Lentes car il aura fallu non moins de dix ans à la Commission européenne pour parvenir à mettre entièrement fin à la situation désastreuse résultant du TFTP. Sur le plan pratique, trois ans auront été requis pour que la société SWIFT mette fin au système « back-up » [10] et rapatrie sur le vieux continent les données européennes stockées en Californie11. 

Sur le plan juridique, en raison de sa volonté de ne négocier qu’une simple mise en conformité du programme américain au droit européen, l’Union européenne a, bien involontairement, laissé le TFTP prospérer. Les accords SWIFT II [12], ratifiés le 05 juillet 2010 par le Parlement européen, maintenaient ainsi une transmission des données vers le continent américain et en conditionnait la transmission aux fins de la lutte contre le terrorisme. Très vite, un rapport de l’Autorité de contrôle commune d’Europol critiquait le caractère illusoire de cette convention internationale. En effet, l’autorité de contrôle constatait, dans un rapport remis au Parlement européen, que l’intégralité des données européennes demandées par les autorités américaines avaient été communiquées par l’agence chargée d’en limiter la transmission : Europol [13]

Complaisance

Pour ce qui est de la complaisance on relèvera la phrase, prononcée en février 2009 à l’occasion de la présentation des conclusions d’un rapport sur le TFTP au Parlement européen, du vice-président de la Commission européenne, le centriste Jacques Barrot, en charge de la justice, de la liberté et de la sécurité : « Je suis heureux de pouvoir confirmer que, dès le départ, la département du Trésor américain s’est montré soucieux de respecter les garanties en matière de traitement des données personnelles (…), notamment en matière de limitation aux stricts besoins de la lutte contre le terrorisme. La valeur ajoutée apportée par le TFTP dans le domaine de la lutte contre le terrorisme est notable, en particulier en Europe » [14]

In fine, force est de constater que le seul mérite de cette affaire aura été de sensibiliser la Commission européenne aux thématiques de la souveraineté numérique, la conduisant à proposer, en janvier 2012, un projet de règlement en matière de protection des données personnelles. Ce texte, adopté en mars 2014 par le Parlement, pose certains principes-clés tels que le consentement « explicite » et « positif » à la communication des données personnelles à des tiers ou encore le « droit à l’effacement ». Enfin, ce règlement fait partie des rares dispositions de droit européen à bénéficier d’un principe d’application extraterritoriale. Il aura donc fallu attendre plus de dix ans pour que la Commission européenne réponde, dans cette affaire, à l’extraterritorialité par l’extraterritorialité.

Une enquête LVSL/Blast

Notes

  • 01 : Renouvelé chaque année depuis.
  • 02 : Compétence partagée avec le FBI et la CIA et en consultation avec le département de la Justice.
  • 03 : Article 2 de la Directive 95/46/CE transposée en France par une série de décrets entre 1999 et 2007.
  • 04 :  Pour consulter le détail de la résolution du Parlement européen du (06/07/2006)
  • 05 : Plus précisément de la directive 95/46/CE (24/10/1995) sur la protection des données personnelles
  • 06 :  Abrogée en 2018.
  • 07 : MONTBEYRE Richard, Le transfert de données bancaires à caractère personnel vers les Etats-Unis : aspects juridiques de l’Affaire SWIFT, Droit-Tic, févr. 2008
  • 08 : Voir à cet égard le récit du président de la division chaudière d’Alstom Frederic Pierucci dans son ouvrage Le piège américain, 2019
  • 09 : Au moyen d’une « compulsory subponea », sorte d’injonction administrative se transformant en sanction pénale si elle n’est pas exécutée par le destinataire (amende, peine de prison) : les compulsory subponeas se passent de l’intervention du pouvoir judiciaire pour être contraignante. Cette catégorie d’actes du pouvoir exécutif américain s’est particulièrement développée au lendemain des attentats du world trade center, dans un article pour la Legal Opinion Letter (02/12/2005), Michael R.Sklaire constate : « The use of the administrative subponea has blurred the line between civil and criminal enforcment »
  • 10 : Mécanisme de copie de sauvegarde aux Etats-Unis de l’ensemble des données conservées par la société sur les serveurs européens (et inversement).
  • 11 : En Suisse.
  • 12 : L’accord SWIFT I ayant été rejeté par le Parlement en février 2010 : force est de constater que les EUA auront continué à avoir un accès total au contenu de la base de données SWIFT de 2006 à 2009.
  • 13 :  Le rapport constate que les demandes des services américains « étaient tellement succinctes que l’agence (Interpol) n’a pas été en mesure d’en vérifier la conformité avec l’accord », ce qui ne l’a au demeurant pas empêchée de les communiquer.
  • 14 : Voir communiqué de presse 1 février 2009

Crédits photo/illustration en haut de page :
SWIFT © Commons Licenses