GIOVANNI BUTTARELLI
LE
CONTROLEUR
ADJOINT
M. Philippe RENAUDIERE
Délégué à la protection des données
Commission européenne
BRU BERL 08/180
B - 1049 BRUXELLES
Bruxelles, le 27 octobre 2009
GB/JL/ktl/ D(2009)1492
C 2009-0565
Sujet : Notification pour contrôle préalable concernant les "Contrôles ex-post".
Monsieur,
Après avoir examiné la notification relative à la gestion des "Contrôles ex-post" (réf. CEPD :
dossier 2009-565), nous sommes arrivés à la conclusion que ce dossier
n'est pas soumis au
contrôle préalable du CEPD. Le traitement a été notifié en application de l'article 27, paragraphe 2, sous a), du règlement
(CE) n° 45/2001 (ci-après dénommé "le règlement").
En effet, l'article 27, paragraphe 1, du règlement soumet au contrôle préalable tous "
les
traitements susceptibles de présenter des risques particuliers au regard des droits et libertés
des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités".
Plus spécifiquement, l'article 27, paragraphe 2, du règlement contient une liste non exhaustive
des traitements susceptibles de présenter de tels risques, notamment "
les traitements des
données relatives à la santé" (point a).
Le CEPD note que le traitement décrit dans la notification est une procédure de contrôle ex-
post mise en place pour permettre l'exécution des contrôles requis par l'Article 47.3 des
MODEF afin d'émettre une opinion sur la régularité et la légalité des transactions vérifiées et
la qualité de la gestion financière. Sont assujettis au contrôle-ex post et à la vérification de
données les unités opérationnelles de la direction K de la DG RELEX et les délégations de la
Commission au niveau des ordonnateurs subdélégués et des personnes qui effectuent ou
bénéficient de transactions financières. Dans ce contexte, la vérification des transactions
Adresse postale: rue Wiertz 60 - B-1047 Bruxelles
Bureaux: rue Montoyer 63
E-mail : xxxx@xxxx.xxxxxx.xx - Site Internet : www.edps.europa.eu
Tél.: 02-283 19 00 - Fax : 02-283 19 50
relatives aux rémunérations des personnes et aux règlements des droits individuels peut être
effectuée. Cela amène à consulter et à contrôler les dossiers de personnel pour s'assurer de
l'exactitude des droits et calculs effectués. Toute personne ayant reçu un paiement,
remboursement sur les lignes budgétaires de l'administration peut ainsi faire l'objet d'un
contrôle ex-post. Les contrôles ex-post peuvent notamment concerner le paiement des frais
liés à des contrôles médicaux, l'invalidité, etc. Dans cette hypothèse, les auditeurs auraient
accès aux données relatives à la santé au sens du règlement (CE) 45/2001, notamment aux
certificats médicaux, attestations des frais médicaux, certificats d'invalidité, feuilles d'absence
et d'autres documents servant au remboursement des frais engendrés dans le cadre de la
procédure de couverture médicale.
L'article 27, paragraphe 2, du règlement vise avant tout les traitements de données dont la
finalité principale est le traitement des données relatives à la santé, à des suspicions,
infractions, condamnations pénales ou mesures de sécurité. La finalité des contrôles ex-post
n'est pas le traitement de ces données. En effet, la connaissance de ce type de données par les
auditeurs n'est pas systématique mais plutôt accidentelle. Le processus de contrôle ex-post
vise principalement à maitriser les risques relatifs à la qualité des systèmes de gestion et de
contrôle et à émettre des recommandations pour améliorer la situation, ainsi qu'à promouvoir
la bonne gestion financière.
Par ailleurs, si suite au contrôle ex-post, des enquêtes peuvent être effectuées par l'Office
d'investigation et de discipline (IDOC), par l'Office européen de lutte antifraude (OLAF) ou
par les autorités nationales, ces procédures constituent un risque particulier qui justifierait le
contrôle préalable par le CEPD en vertu de l'article 27 du règlement. Toutefois, ce risque est
crée par les procédures d'enquête en tant que telles et non pas par le contrôle ex-post qui fait
objet de la présente notification. Le processus de contrôle ex-post revêt en effet un caractère
général et ne peut pas être considéré comme une mission d'enquête particulière, car il ne vise
pas à enquêter sur certaines personnes ou sur certaines comportements. Il a plutôt pour objet
d'examiner des systèmes et les risques qui peuvent y être associés à un niveau général.
Si vous considérez que d'autres raisons justifient le contrôle préalable par le CEPD, nous sont
disposés à reconsidérer notre position. De même, en cas de modification substantielle et
pertinente de ce traitement de données, nous vous invitons à évaluer la nécessité de soumettre
ce traitement au CEPD pour un contrôle préalable.
En vous souhaitant bonne réception, je vous prie de croire à l'expression de ma considération
distinguée.
Giovanni BUTTARELLI
2