Cet homme-là est un opportuniste, bien plus qu’un être multiple. Hervé Falciani peut certes endosser différents rôles, se complaire dans un langage abscons, pour mieux se cacher, peut-être, mais il a su, surtout, nager en eaux troubles, rebondir à chaque épreuve, profiter de toute possibilité. Il a été successivement informaticien, détrousseur de données sensibles, chevalier blanc, mythomane, manipulateur, lanceur d’alerte, puis victime du système, allez vous y retrouver. Mais Hervé Falciani est d’abord, et cela, personne ne peut lui enlever, le pivot de l’incroyable affaire HSBC. Son géniteur. Après cinq années d’enquête, la lecture de milliers d’archives confidentielles, de témoignages inédits, Le Monde peut vous narrer la vraie vie de Falciani, le cauchemar vivant de la banque HSBC Private Bank.
Longtemps, pour ses interlocuteurs français les plus secrets, il s’est appelé Ruben Al-Chidiack, refusant de se dévoiler plus avant. A Genève, en revanche, il a toujours été Hervé Falciani, pour tous ses collègues, amis, conquêtes d’un soir. Joyeux drille, fêtard. Un informaticien de bon niveau, aussi, débauché le 14 mars 2006 par HSBC PB Genève auprès de la succursale monégasque du géant bancaire britannique. Croupier de casino de 1992 à 2000, marié deux fois, père d’une petite fille, à nouveau au bord du divorce. Un sacré personnage, hâbleur, malin. Un flambeur, joueur de poker patenté, dragueur de piscine. A Carouge, où il aligne les longueurs, il est bien connu pour sa propension à aborder la gent féminine. A la jeune et charmante Doina, il raconte par exemple qu’il vit séparé et élève une fille autiste. La relation capote quand Falciani veut aller plus loin. Même principe pour Myriam, une accorte étudiante en philosophie, rencontrée lors d’un tournoi de poker. A elle aussi, il ment abondamment sur sa vie.
Entendues par les enquêteurs suisses, les jeunes femmes le décrivent comme « manipulateur ». D’autant qu’il entretient déjà une relation sentimentale suivie avec l’une de ses collègues, la Franco-Libanaise Georgina Mikhael, une jolie brune menue, aux longs cheveux, aux yeux d’un profond marron, 31 ans, séduite en décembre 2006, elle aussi au détour des tables de poker.
Bref, pas forcément le genre de type à qui l’on confie les secrets de l’une des plus puissantes banques mondiales privées, où le ticket d’entrée pour ouvrir un compte est fixé à un million de dollars. Et pourtant, c’est bien cet individu aux multiples secrets qui se retrouve là, dans le saint des saints.
On lui donne très vite une mission essentielle, mettre en place un outil dénommé Customer Relationship Management (CRM), censé faciliter les échanges entre la banque et ses clients. A Monaco, il a su exécuter cette tâche avec brio. Le boulot est simple, mais long, usant : faire transiter les données du vieux système informatique, Sific, sur lequel sont répertoriés tous les détails sur les détenteurs de comptes, vers le nouveau procédé, le CRM.
Des listings qui valent de l’or
C’est la grande affaire du moment, chez HSBC, en 2006, il faut professionnaliser le système. Aujourd’hui, tous les employés de la banque, interrogés par Le Monde ou les enquêteurs, sont persuadés, sans en détenir la preuve absolue, que Falciani a déniché une faille dans le système informatique, entre 2006 et 2008, lors d’un incident durant lequel les listings HSBC n’étaient plus cryptés.
Jean-Claude Brodard, directeur de la logistique de la banque, se souvient : « Toutes les migrations se passent le week-end. La première partie de migration s’est faite en 2006. » Florent Donini, autre membre de l’équipe informatique, a les mêmes souvenirs : « Hervé était chargé, seul, de la construction de la base de données CRM. » Il se rappelle : « Hervé a vu des données de production non cryptées, le déploiement dure quatre à cinq heures, nous voyons défiler des données, nous pouvons faire des copies d’écran. »
Est-ce là, dans ces instants privilégiés, que les développeurs tels que Falciani ont eu accès aux données de production ? C’est probable. Jérôme Charlot, chef de projet chez HSBC PB, rappelle, à propos de Falciani : « Il devait supprimer [les données], une fois l’intégration terminée. » Pas sûr que l’informaticien ait obéi aux consignes. Roland Vezza, cadre de HSBC PB, explique : « Falciani était techniquement relativement brillant mais, humainement, il était manipulateur », voire « mythomane ». Le parfait profil pour enclencher un mécanisme destructeur. D’autant que l’évolution de carrière de Falciani ne lui donne pas satisfaction : la banque choisit un autre modèle de CRM que celui prôné par l’informaticien, et, en outre, on lui refuse un poste vacant à la sécurité.
C’est cet homme-là, frustré sur le plan professionnel, aventurier sentimental, instable, qui va donc finir par obtenir puis stocker les données secrètes des clients de HSBC PB.
Hervé Falciani, interrogé par Le Monde le 15 décembre 2014, a donné une tout autre version de l’affaire. « De fait, j’ai volé des données », reconnaît-il. Mais il assure avoir bénéficié de complicités internes, sur fond de motivations éthiques : « Je n’avais pas autorité pour accéder à des données opérationnelles, mais je travaillais sur tous les projets sensibles, en contact avec les gens de la banque, ils me disaient : “Tu sais, il y a ça qui se passe”, c’est comme ça que j’ai pu avoir accès à ces données, par ces intermédiaires. La plupart des intermédiaires qui m’ont aidé sont passés entre les gouttes. Chacun va mettre à disposition ses données sur un cloud, je vais m’assurer qu’il y a une cohérence. »
Une version des faits qui ne convainc pas les enquêteurs suisses, lesquels veulent traduire aujourd’hui Falciani devant un tribunal fédéral. La justice helvétique dispose d’éléments solides, il faut bien le dire. En premier lieu, les revirements de l’informaticien. Entendu par les gendarmes français en janvier 2009, Falciani va ainsi assurer que ses données ont été obtenues par « data mining et par l’intermédiaire de back up [sauvegardes] que j’avais faits dans le cadre de mon activité naturelle professionnelle ». Aucune mention d’éventuels comparses ni de possibles mobiles éthiques.
Quoi qu’il en soit, il dispose dès le début de l’année 2008 de milliers de données sensibles, exceptionnelles. Très exactement, prétend-il, les comptes de 107 181 personnes, présumées fraudeuses. Ces listings valent de l’or. Qu’en faire ? Lui jure, aujourd’hui, avoir toujours voulu agir par idéalisme, pour dénoncer des pratiques illégales, en bon lanceur d’alerte, ce costume qui le protège, désormais, très commodément. C’est peut-être vrai. Mais l’examen des faits laisse apparaître une vérité moins glorieuse, au début de l’aventure, tout du moins.
C’est Georgina Mikhael qui se charge de dénoncer son amant, le 22 décembre 2008, auprès des autorités suisses : « Peu de temps après le début de notre relation, Hervé Falciani m’a dit qu’il possédait une base de données qu’il voulait monnayer, afin de disposer d’argent à donner à son épouse dans le cadre du divorce qu’il envisageait. » Et elle ajoute : « Il m’a menacé de faire du mal à moi et à ma famille si je parlais à quelqu’un de l’histoire des données. »
Les deux amants ont fini par se déchirer. Mais leurs projets semblaient réellement concorder, un temps. Leurs échanges sur Skype, saisis dans le cadre de l’enquête, confirment cette vision des événements : « T’as pêché ? », demande en mars 2007 la jeune femme, qui se fait appeler Palomino, du nom de ces chevaux qu’elle affectionne. Elle demande en fait à son complice s’il a fait de nouvelles trouvailles informatiques. « Trois mois d’update pour address, person », répond Falciani. « Et tu ne t’es pas [fait] chopé ? », interroge Mikhael. « Manque pour l’instant accounts [montants] », dit l’informaticien. « Il faut faire attention baby », conclut la Franco-Libanaise. Mais « attention » à quoi ?
Fausses identités, faux papiers et société bidon
C’est que le couple caresse l’idée, si l’on en croit la jeune femme, de mettre de côté un joli pactole, grâce au travail souterrain de Falciani. On va donc retrouver leur trace, du 2 au 9 février 2008, au Liban. Pour vendre les listings aux banques locales, assure Georgina Mikhael. « Aller au Liban va me permettre de solliciter un système d’alertes », indique aujourd’hui Falciani. En clair, il veut tirer le signal d’alarme. Révéler le système qu’il a mis au jour. Mais pourquoi, plus simplement, dans ce cas, ne pas avoir dénoncé les pratiques d’HSBC PB aux autorités suisses concernées ? « Est-ce que la Suisse enquête sur les banques ? Non. Il ne faut pas être dupe, le pouvoir de l’argent s’exprime ainsi », dit-il.
Voilà donc le couple en goguette au Liban. C’est là que le nom d’emprunt Ruben Al-Chidiack fait son apparition. Fausses identités, faux papiers, société bidon, Palorva, créée à Hongkong pour l’occasion. Il se dit responsable commercial de cette entreprise auprès des quatre banques contactées à Beyrouth. Il met également dans la confidence son frère, Philippe Falciani, à qui il vend l’idée d’un fumeux « projet data ». Le frère avouera plus tard aux enquêteurs : « Il voulait gagner de l’argent avec son projet. » Avec des données provenant de recherches dans le « Web invisible », aurait prétendu à l’époque Hervé Falciani.
« La banque intéressée devait payer un montant que j’ignore pour l’achat de la banque de données », confirme Georgina Mikhael en décembre 2008. Il est question, selon elle, d’une somme de 1 000 dollars par nom révélé. « Hervé parlait d’interceptions de fax », accuse la jeune femme, pour expliquer à ses interlocuteurs la façon dont il avait pu obtenir ses listings. Interrogée une deuxième fois en 2010, Georgina Mikhael assume ses premières déclarations : « Hervé Falciani montrait aux banques une liste énorme de profils clients avec des noms cryptés », avec un but, « vendre ce produit et faire du business ».
Ces déclarations sont confortées par les banquiers libanais retrouvés à Beyrouth. Jacques Aouad, de BNP Paribas Beyrouth, se souvient ainsi de « de deux personnes qui avaient pris rendez-vous », demandant si « mon établissement était intéressé pour acquérir des renseignements ». Le 4 février, c’est Samira Harb, pour la banque Audi, qui reçoit la visite du couple. Elle se rappelle d’Al-Chidiack : « Il m’avait dit qu’il avait des listes à me vendre (…) Elles contenaient des noms et adresses (...), des numéros de comptes et des positions. Il m’avait expliqué qu’il détenait ces données en interceptant des fax. »
Lors des présentations aux futurs clients, le logo HSBC est visible sur les documents montrés par Falciani. Georges Tabet, pour la banque Blominvest, a droit lui aussi à la visite du couple. Tous ces banquiers témoignent devant la justice suisse, racontent les pérégrinations du duo Falciani-Mikhael, et jurent, méfiants, ne pas avoir donné suite à leurs sollicitations.
Difficile, au vu de ces déclarations diverses, d’accréditer la version présentée par Falciani. D’autant que celui-ci a choisi plusieurs explications différentes, au fil des interrogatoires. Souvent Falciani varie. Passe d’une argumentation à une autre, au gré de ses intérêts du moment.
Le 20 janvier 2009, il indique ainsi aux gendarmes français qu’il avait « pour projet de faire réaliser un logiciel de data mining (…) Pour créer ce programme, il me fallait un financement ». D’où ce voyage au Liban. Changement complet de ton devant le juge Renaud Van Ruymbeke, en juillet 2013 : « Mon seul objectif était de déclencher une alerte dans une banque libanaise, filiale d’une banque suisse, afin que celle-ci répercute cette alerte au parquet fédéral suisse (…) pour mettre fin à l’opacité organisée chez HSBC. »
Quel est donc le vrai Falciani ? L’informaticien à la recherche d’argent facile ou le chevalier blanc en mission commandée ? Il a été les deux, parfaitement en phase avec un opportunisme de raison. Car, et c’est une constante, depuis ce voyage au Liban, Falciani n’a plus cherché à vendre ses données. Certes, il envoie des messages aux services secrets britanniques et allemands, leur promettant monts et merveilles. Ainsi, ce mail adressé le 18 mars 2008 à « sosfa-action@fco.gov.uk », une agence d’Etat anglaise : « J’ai la liste complète des clients de l’une des cinq plus grandes banques privées (…) Cette banque est basée en Suisse (…) Je garantis aussi l’accès au système informatique. »
Il faut se souvenir qu’en ce début de printemps 2008, un employé de la banque LGT au Lichtenstein a revendu au fisc allemand un listing infiniment moins complet que celui de Falciani, pour la somme de 5 millions d’euros. Le couple Falciani-Mikhael lorgne-t-il sur un nouveau moyen de financement ? L’informaticien soutient désormais que sa démarche n’obéit qu’à un seul but : mettre à mal le système bancaire suisse. Il entre d’ailleurs en contact avec les enquêteurs du fisc français dès avril 2008, et les rencontre même dès le 28 juin. Sans leur demander d’argent, mais en leur promettant un cataclysme financier, s’ils le soutiennent.
En tout cas, l’un de ses buts initiaux – à l’en croire –, à savoir alerter la justice suisse, est très vite atteint : le 20 mars 2008, l’Association suisse des banquiers est prévenue du périple libanais, une enquête judiciaire est ouverte le 29 mai. Discrète, dans un premier temps, même si l’on ne plaisante pas avec le vol de secrets bancaires, en Suisse. Les téléphones de la jeune femme sont placés sur écoute, les policiers apprennent ainsi qu’elle fréquente assidûment Falciani. Puis l’affaire va s’emballer quand la justice apprend, le 17 décembre 2008, que Georgina Mikhael s’apprête à quitter la Suisse. Elle est arrêtée le 22 décembre, et dénonce immédiatement son complice, Hervé Falciani. Leurs bureaux sont perquisitionnés. L’informaticien est convoqué pour le lendemain, 23 décembre, 9 h 30. Lourde erreur. La justice suisse ne reverra plus jamais Falciani.
Enquêtes paralèlles
Car celui-ci, persuadé que les autorités françaises vont l’aider, décide de s’enfuir et de gagner le sud de la France. Il loue une voiture à Genève, et la dépose à l’aéroport de Nice. De là, il part à Castellar (Alpes-Maritimes), dans sa maison de campagne. Le 24 décembre, dans l’après-midi, il contacte ses officiers traitants du fisc français et leur donne rendez-vous, pour le surlendemain. Le 26 décembre, à l’aéroport de Nice, assis à une table, filmé par les caméras de l’aérogare, il remet au fisc français cinq DVD contenant ses fameuses données. Il a ainsi la garantie qu’elles seront exploitées.
Les Suisses, de leur côté, conscients d’avoir commis une bévue, lancent en urgence une demande d’entraide judiciaire, et le 20 janvier 2009, Hervé Falciani voit débouler une escouade de gendarmes français, accompagnés par un magistrat suisse. Il parle, sur procès-verbal. Et accepte de collaborer avec la justice française. La Confédération helvétique, qui souhaite récupérer les données originales dérobées par l’informaticien, en est pour ses frais. Car le procureur de Nice, Eric de Montgolfier, n’entend pas se dessaisir d’une telle manne, d’autant que le fisc a l’habileté de jouer franc jeu avec ce magistrat intrépide. L’affaire Falciani devient l’affaire HSBC PB.
La mécanique infernale est lancée. Falciani collabore. Les listings produisent des noms, par centaines. Le fisc et la justice mènent des enquêtes parallèles, établissent des listings quasi similaires. « Ils disposent des mêmes données, mais pas des mêmes outils de lecture, ce qui peut expliquer certaines différences », expliquera Falciani au juge Van Ruymbeke, en juin 2013. L’informaticien évite la case suisse, la prison, et parvient même, grâce à Bercy, à se faire salarier par un organisme parapublic, l’Institut national de recherche en informatique et en automatique. Fin mars 2009, il termine sa collaboration avec le fisc, et fin décembre 2009, il cesse d’aider les gendarmes. L’extraction des données est quasi terminée. Très vite, l’affaire attise les convoitises de l’étranger.
Le parquet de Turin se rapproche de la France, puis la justice américaine fait connaître son intérêt. En juillet 2012, Falciani se déplace en Espagne, où il est arrêté, puis placé en détention. Il en ressort cinq mois et demi plus tard, contre la promesse de prêter main-forte à la justice espagnole. Enfin, en septembre 2012, les autorités britanniques récupèrent-elles aussi les listings, et s’intéressent plus particulièrement aux îles Anglo-Normandes.
Ces temps-ci, il tente d’apporter son écot aux efforts de l’Argentine et de l’Inde pour traquer la fraude. Il se déplace sans faire trop de bruit, il se sait surveillé. Sa vie a basculé. Il est protégé. Trop d’intérêts en jeu. La carrière de lanceur d’alerte de l’informaticien est sur les bons rails. Mais a-t-il encore une existence propre ? Il vit de CDD, assure être au chômage. « Je pouvais travailler pour un laboratoire, la directrice a refusé en voyant mon nom. C’est mon quotidien, je survis en étant utile, dit-il. La seule fois que j’aurai une reconnaissance officielle, cela viendra de la Suisse, en étant condamné. J’aurais aimé avoir un statut d’aviseur, cela aurait été ma vraie médaille, le vrai respect des risques encourus. »
L’avenir ? Déjà, Falciani ne mettra plus les pieds en Suisse. « Qu’est-ce que j’en ai à faire du procès suisse ? Je n’ai rien à faire là-bas. Je vais tourner la page, demander à changer de nom, disparaître, pour avoir une vie normale. » Il lui restera le souvenir d’une aventure hors normes, et des secrets qu’il gardera pour lui. Terriblement humain, finalement. Parfois, la carapace se fissure : « Il devrait exister une loi pour aider les lanceurs d’alerte. Je ne suis pas un chevalier blanc, mais il y a quelque chose d’assez beau et de grisant à établir la vérité. Ça vous remplit quand ça va mal, ça laissera sa trace. »
Il aurait pu gagner beaucoup d’argent, probablement a-t-il même essayé, en bricoleur madré, mais il lui reste, au final, le sentiment d’avoir été utile. Pas si mal, pour un ex-croupier, informaticien séducteur, voleur. Et donc lanceur d’alerte.
