Suite à la polémique concernant la transmission aux autorités américaines des données des passagers des compagnies aériennes (PNR), le « G29 » réunissant les CNIL européennes s’est joint au contrôleur européen de la protection des données et de la Commission belge pour la protection de la vie privée pour affirmer que le système SWIFT, mis en place par les services secrets américains afin d’obtenir le transfert des données bancaires, est contraire à la législation européenne sur la protection des données personnelles.

Les manquements concernent notamment les obligations d’information et de déclaration du traitement, ainsi que les modalités du transfert des données.

Le cadre juridique européen repose sur la directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Elle pose, dans son article 25-1, le principe qu’un niveau de protection adéquat des données personnelles doit être respecté avant tout transfert de ces dernières vers un pays qui n’est pas membre de l’Union européenne.

Stockées en Belgique par la société SWIFT, les données bancaires sont sauvegardées sur un site américain auquel ont accès les services secrets américains.

Considéré comme responsable du traitement par le G29, la société SWIFT se doit donc de respecter le cadre légal belge issu de la transposition de la directive communautaire susvisée.

Cependant, aucune action n’a été intentée par le G29, qui semble compter sur une résolution politique du litige.