Esta es la versión HTML de un fichero adjunto a una solicitud de acceso a la información 'External financial audits of DG ENER and DG MOVE, personal data protection, DPO-3340/1'.



 
 
GIOVANNI BUTTARELLI 
LCONTROLEUR ADJOINT 
 
 
 
M. Philippe RENAUDIERE 
Délégué à la protection des données 
Commission européenne 
BRU BERL 08/180 
B - 1049 BRUXELLES 
 
 
 
Bruxelles, le 27 octobre 2009 
GB/JL/ktl/ D(2009)1492 C 2009-0565 
 
 
Sujet : Notification pour contrôle préalable concernant les "Contrôles ex-post". 
 
 
Monsieur, 
 
Après avoir examiné la notification relative à la gestion des "Contrôles ex-post" (réf. CEPD : 
dossier 2009-565), nous sommes arrivés à la conclusion que ce dossier n'est pas soumis au 
contrôle préalable du CEPD.
  
 
Le traitement a été notifié en application de l'article 27, paragraphe 2,  sous a),  du  règlement 
(CE) n° 45/2001 (ci-après dénommé "le règlement").  
 
En effet, l'article 27, paragraphe 1, du règlement soumet au contrôle préalable tous "les 
traitements susceptibles de présenter des risques particuliers au regard des droits et libertés 
des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités"
.  
 
Plus spécifiquement, l'article 27, paragraphe 2, du règlement contient une liste non exhaustive 
des traitements susceptibles de présenter de tels risques, notamment "les traitements des 
données relatives à la santé
" (point a). 
 
Le CEPD note que le traitement décrit dans la notification est une procédure de contrôle ex-
post mise en place pour permettre l'exécution des contrôles requis par l'Article 47.3 des 
MODEF afin d'émettre une opinion sur la régularité et la légalité des transactions vérifiées et 
la qualité de la gestion financière. Sont assujettis au contrôle-ex post et à la vérification de 
données les unités opérationnelles de la direction K de la DG RELEX et les délégations de la 
Commission au niveau des ordonnateurs subdélégués et des personnes qui effectuent ou 
bénéficient de transactions financières. Dans ce contexte, la vérification des transactions 
Adresse postale: rue Wiertz 60 - B-1047 Bruxelles 
Bureaux: rue Montoyer 63 
E-mail : xxxx@xxxx.xxxxxx.xx - Site Internet : www.edps.europa.eu  
Tél.: 02-283 19 00 - Fax : 02-283 19 50 
 

 
relatives aux rémunérations des personnes et aux règlements des droits individuels peut être 
effectuée. Cela amène à consulter et à contrôler les dossiers de personnel pour s'assurer de 
l'exactitude des droits et calculs effectués. Toute personne ayant reçu un paiement, 
remboursement sur les lignes budgétaires de l'administration peut ainsi faire l'objet d'un 
contrôle ex-post. Les contrôles ex-post peuvent notamment concerner le paiement des frais 
liés à des contrôles médicaux, l'invalidité, etc. Dans cette hypothèse, les auditeurs auraient 
accès aux données relatives à la santé au sens du règlement (CE) 45/2001, notamment aux 
certificats médicaux, attestations des frais médicaux, certificats d'invalidité, feuilles d'absence 
et d'autres documents servant au remboursement des frais engendrés dans le cadre de la 
procédure de couverture médicale.  
 
L'article 27, paragraphe 2, du règlement vise avant tout les traitements de données dont la 
finalité principale est le traitement des données relatives à la santé, à des suspicions, 
infractions, condamnations pénales ou mesures de sécurité. La finalité des contrôles ex-post 
n'est pas le traitement de ces données. En effet, la connaissance de ce type de données par les 
auditeurs n'est pas systématique mais plutôt accidentelle. Le processus de contrôle ex-post 
vise principalement à maitriser les risques relatifs à la qualité des systèmes de gestion et de 
contrôle et à émettre des recommandations pour améliorer la situation, ainsi qu'à promouvoir 
la bonne gestion financière.  
 
Par ailleurs, si suite au contrôle ex-post, des enquêtes peuvent être effectuées par l'Office 
d'investigation et de discipline (IDOC), par l'Office européen de lutte antifraude (OLAF) ou 
par les autorités nationales, ces procédures constituent un risque particulier qui justifierait le 
contrôle préalable par le CEPD en vertu de l'article 27 du règlement. Toutefois, ce risque est 
crée par les procédures d'enquête en tant que telles et non pas par le contrôle ex-post qui fait 
objet de la présente notification. Le processus de contrôle ex-post revêt en effet un caractère 
général et ne peut pas être considéré comme une mission d'enquête particulière, car il ne vise 
pas à enquêter sur certaines personnes ou sur certaines comportements. Il a plutôt pour objet 
d'examiner des systèmes et les risques qui peuvent y être associés à un niveau général.  
 
Si vous considérez que d'autres raisons justifient le contrôle préalable par le CEPD, nous sont 
disposés à reconsidérer notre position. De même, en cas de modification substantielle et 
pertinente de ce traitement de données, nous vous invitons à évaluer la nécessité de soumettre 
ce traitement au CEPD pour un contrôle préalable.  
 
En vous souhaitant bonne réception, je vous prie de croire à l'expression de ma considération 
distinguée.  
 
 
Giovanni BUTTARELLI 
 
 
 
 
 
 
 
 
 
 
2