"au nom de l'article 7 de la loi sur la prévention du blanchiment d'argent et du financement du terrorisme, nous vous demandons de nous transmettre les données de tous les clients à qui a été délivré une carte Visa Payesera (prénom, nom, nº de document, autorité émettrice, nº de carte et date d'émission)".
Voilà ci-dessus la requête soumise par le Service d'enquête des délits financiers (SEDF) à EVP international. Non seulement le SEDF a demandé la transmission des données personnelles des utilisateurs de cartes de crédit, mais il a également requis les détails de toutes leurs transactions ultérieures (c'est à dire l'identité de celui ou celle qui a retiré de l'argent ou utilisé la carte, le lieu de la transaction, et le montant impliqué).
"Surveillance de masse"
"Nous considérons
que cette requête est synonyme de surveillance de masse", a déclaré
l'avocat de la société EVP, Julija Šlekonytė, interviewée par delfi.lt. Selon elle, le SEDF n'a pas précisé
les raisons pour lesquelles il souhaitait obtenir les données et n'a donné
aucune information sur un enquête en cours. En outre, l'agence n'a pas exigé
d'information sur une personne en particulier ou sur une somme d'argent
spécifique, mais bien que des informations générales soient transmises sur
chaque client.
La société a contacté la SEDF en demandant pourquoi ces derniers avaient besoin de telles informations sur chacun de ses clients, mais la réponse donnée est restée vague : en tant qu'établissement de monnaie électronique établi en Lituanie, la société EVP est tenu par la loi de "surveiller les relations commerciales entre ses clients et rendre accessible l'information détenue".
Le directeur de la SEDF reste évasif
Quand delfi.lt a contacté les autres principaux fournisseurs de services financiers, ces derniers se sont avérés être moins coopératifs avec le site. Deux banques majeures, Swedbank and SEB, ont déclaré qu'ils coopéraient avec les autorités et transmettaient les informations lorsqu'ils examinaient la requête. Les deux institutions ont refusé de donner des informations complémentaires, affirmant que cette même loi leur interdisait de communiquer sur ce sujet.
Et comme si cela ne suffisait pas, le directeur de la SEDF, Kęstutis Jucevičius, n'est lui non plus parvenu à expliquer pourquoi son agence avait tant besoin de telles données sur tous les clients de Visa Paysera, limitant sa réponse à de vagues déclarations sur les fonctions générales de l'agence.
Selon M. Jucevičius, la SEDF est responsable de la prévention du blanchiment d'argent et du financement du terrorisme. L'agence analyse les données sur les transactions et opérations pour répondre à ces objectifs.
"La loi énonce les droits que possède l'agence afin de chercher des informations et des documents nécessaires à l'exercice de ses fonctions", a ajouté M. Jucevičius.
Les autorités "prônent les abus de pouvoir"
Karolis Liutkevičius, experte juridique de l'Institut d'observation des droits de l'homme, a déclaré que, dans ce cas précis, les autorités responsables de l'application de la loi interprètent leur droit d'obtenir des informations de manière trop large et ignorent les principes fondamentaux relatifs à la protection de la vie privée.
Que devrions-nous penser de telles actions de la part de la SEDF ? La loi autorise-t-elle vraiment la collecte de données personnelles à une si grande échelle ?
Du point de vue de la protection des données ou du droit au respect de la vie privée, les actions de la SEDF sont inacceptables. En substance, il s'agit de surveillance de masse : la collecte d'informations financières non individualisées concernant des particuliers et la surveillance de ces dernières.
Les normes internationales en matière de droits de l'homme prévoient que l'on ne peut porter atteinte à la vie privée d'un individu uniquement lorsque cela est nécessaire, et moyennant des mesures proportionnées. La surveillance de masse, en considérant que tout titulaire d'une carte d'une certaine marque peut potentiellement blanchir de l'argent ou financer le terrorisme, n'apparait sans doute pas comme une mesure proportionnée.
La loi sur la prévention du blanchiment d'argent et du financement du terrorisme, sur laquelle s'appuie le SEDF afin de recueillir des données, manque de clarté. La loi prévoit que le SEDF a le droit d'obtenir de la part des institutions financières "des informations et des documents sur les transactions et opérations financières nécessaires à l'exercice de ses fonctions".
Il semble que la SEDF aime avoir une interprétation très large de ses pouvoirs, estimant qu'il a le droit d'obtenir toute information qu'il trouve intéressante. Cependant, l'application de cette disposition ne doit pas nous faire oublier les normes internationales en matière de droits de l'homme susmentionnées, et la collecte des données en soi doit être menée de manière proportionnée (cela se traduit par l'obtention de données spécifiques appartenant à des personnes ou groupes particuliers et non par la collecte massive de données non-individualisées.
La collecte des données est limitée par la Constitution de la République de Lituanie, qui prévoit que, sans exception, les informations concernant la vie privée d'un individu ne peuvent être recueillies que si une ordonnance d'un tribunal est délivrée en ce sens.
En aucun cas la façon dont est actuellement formulée la loi n'autorise les autorités à abuser de leurs pouvoirs en collectant des informations financières privées indéfinies.
Il est probable que d'autres sociétés aient également reçu des demandes similaires, mais il semblerait, à travers leur réponse, que cette pratique ne les indigne pas, ni le les surprend. Loin de là, ils paraissent plutôt avoir peur des sanctions. Pourquoi pensez-vous que EVP International a décidé de réagir sur cette question ?
Nous n'avons à l'heure actuelle pas beaucoup d'informations sur la coopération entre les agences d'application de la loi et les institutions financières, on ne peut donc faire des hypothèses. Personnellement, j'imagine que EVP international ne possède pas autant d'expérience pour traiter avec les organismes d'application de la loi que certains des plus grands établissements financiers exerçant en Lituanie depuis plus longtemps, et qu'ils ont honnêtement été surpris par la demande du SEDF.
Que nous montre cette situation sur l'état de la protection des données personnelles en Lituanie ?
La Constitution de la Lituanie prévoit des principes solides pour la protection de la vie privée et, par conséquent, pour la protection des données personnelles. Toutefois, ces principes s'avèrent être rarement suivis dans la pratique, et les autorités (particulièrement celles en charge de faire appliquer la loi) cherchent des moyens de les contourner ou de les ignorer simplement.
Le problème est d'autant plus aggravé par notre législation, qui établit un faible niveau de protection. Malheureusement, il n'existe pas ou peu de débat public sur ces problèmes, et le sujet suscite relativement peu d'intérêt.
Si certaines sociétés refusent de défendre les droits de leurs clients, n'y a-t-il pas quelque chose que les individus eux-mêmes pourraient faire afin de s'opposer à la surveillance de masse ?
Les moyens auxquels les consommateurs des services financiers peuvent recourir sont limités, mais ils existent : tout d'abord, vous pouvez vous intéressé activement à la question et demander à votre prestataire de services de clarifier la façon dont il protège vos données personnelles, de préciser qui peut y accéder et dans quelles conditions et quelles mesures ont été prises afin de protéger votre vie privée. Si leur réponse ne vous satisfait pas, changez de prestataire et choisissez-en un qui garantisse le respect de votre vie privée.