1. Décision du Parlement européen du 13 mai 2020 concernant la décharge sur l’exécution du budget général de l’Union européenne pour l’exercice 2018, section IX – Contrôleur européen de la protection des données (2019/2063(DEC))
Le Parlement européen,
– vu le budget général de l’Union européenne pour l’exercice 2018(1),
– vu les comptes annuels consolidés de l’Union européenne relatifs à l’exercice 2018 (COM(2019)0316 – C9-0058/2019)(2),
– vu le rapport annuel du Contrôleur européen de la protection des données à l'autorité de décharge sur les audits internes effectués en 2018,
– vu le rapport annuel de la Cour des comptes sur l’exécution du budget relatif à l’exercice 2018, accompagné des réponses des institutions(3),
– vu la déclaration d’assurance(4) concernant la fiabilité des comptes ainsi que la légalité et la régularité des opérations sous-jacentes, fournie par la Cour des comptes pour l’exercice 2018 conformément à l’article 287 du traité sur le fonctionnement de l’Union européenne,
– vu l’article 314, paragraphe 10, et les articles 317, 318 et 319 du traité sur le fonctionnement de l’Union européenne,
– vu le règlement (UE, Euratom) n° 966/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif aux règles financières applicables au budget général de l’Union et abrogeant le règlement (CE, Euratom) n° 1605/2002 du Conseil(5), et notamment ses articles 55, 99, 164, 165 et 166,
– vu le règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil du 18 juillet 2018 relatif aux règles financières applicables au budget général de l’Union, modifiant les règlements (UE) n° 1296/2013, (UE) n° 1301/2013, (UE) n° 1303/2013, (UE) n° 1304/2013, (UE) n° 1309/2013, (UE) n° 1316/2013, (UE) n° 223/2014, (UE) n° 283/2014 et la décision n° 541/2014/UE, et abrogeant le règlement (UE, Euratom) n° 966/2012(6), et notamment ses articles 59, 118, 260, 261 et 262,
– vu l’article 100 et l’annexe V de son règlement intérieur,
– vu l’avis de la commission des libertés civiles, de la justice et des affaires intérieures,
– vu le rapport de la commission du contrôle budgétaire (A9-0029/2020),
1. donne décharge au Contrôleur européen de la protection des données sur l’exécution du budget du Contrôleur européen de la protection des données pour l’exercice 2018;
2. présente ses observations dans la résolution ci-après;
3. charge son Président de transmettre la présente décision, ainsi que la résolution qui en fait partie intégrante, au Contrôleur européen de la protection des données, au Conseil européen, au Conseil, à la Commission, à la Cour de justice de l’Union européenne, à la Cour des comptes, au Médiateur européen et au Service européen pour l’action extérieure, et d’en assurer la publication au Journal officiel de l’Union européenne (série L).
2. Résolution du Parlement européen du 14 mai 2020 contenant les observations qui font partie intégrante de la décision concernant la décharge sur l’exécution du budget général de l’Union européenne pour l’exercice 2018, section IX – Contrôleur européen de la protection des données (2019/2063(DEC))
Le Parlement européen,
– vu sa décision concernant la décharge sur l’exécution du budget général de l’Union européenne pour l’exercice 2018, section IX – Contrôleur européen de la protection des données,
– vu l’article 100 et l’annexe V de son règlement intérieur,
– vu l’avis de la commission des libertés civiles, de la justice et des affaires intérieures,
– vu le rapport de la commission du contrôle budgétaire (A9-0029/2020),
A. considérant, dans le contexte de la procédure de décharge, que l’autorité de décharge tient à souligner qu’il est particulièrement important de renforcer davantage la légitimité démocratique des institutions de l’Union en améliorant la transparence et la responsabilité et en appliquant les concepts de budgétisation axée sur les performances et de bonne gestion des ressources humaines;
1. constate avec satisfaction que, la Cour des comptes (ci-après dénommée «Cour»), dans son rapport relatif aux comptes annuels du Contrôleur européen de la protection des données (CEPD) pour l’exercice 2018, a observé n’avoir relevé aucune déficience notable en ce qui concerne les domaines liés aux ressources humaines et aux marchés publics faisant l’objet de la vérification;
2. prend acte du fait que, d’après le rapport annuel d’activités du CEPD, la Cour a examiné une opération issue de l’exercice 2018 et que cet examen n’a donné lieu à aucune observation;
3. se félicite de la conclusion de la Cour selon laquelle l’ensemble des paiements relatifs à l’exercice clos le 31 décembre 2018 pour les dépenses administratives du CEPD étaient exempts d’erreur significative et les systèmes de contrôle et de surveillance examinés étaient efficaces; prend acte de la demande de la Cour de rétablir la vérification ex post, qui est maintenant de nouveau en place;
4. regrette, à titre de remarque générale, que le chapitre 10 «Administration» du rapport annuel de la Cour soit relativement limité dans sa portée et ses conclusions, même si la rubrique 5 «Administration» du cadre financier pluriannuel est considéré comme étant «à faible risque»;
5. relève que la Cour a sélectionné un échantillon de 45 opérations pour la rubrique 5 «Administration» du cadre financier pluriannuel de l’ensemble des institutions et organes de l’Union; constate que l’échantillon a été conçu pour être représentatif de la série de dépenses visée à la rubrique 5, qui représente 6,3 % du budget de l’Union; remarque que les travaux de la Cour indiquent que les dépenses administratives présentent un risque faible; estime toutefois que le nombre d’opérations sélectionnées par rapport aux «autres institutions» n’est pas suffisant et demande à la Cour d’augmenter le nombre d’opérations à examiner de 10 % au moins;
6. rappelle que le CEPD n’a pas la qualité d’agence décentralisée de l’Union et estime, que même si son budget ne représente qu’un très faible pourcentage du budget de l’Union, la légalité et la régularité de ses opérations devraient néanmoins être examinées comme il se doit par la Cour, étant donné que la transparence est essentielle au bon fonctionnement de tous les organismes de l’Union; souligne que le CEPD n’est pas couvert par le rapport de la Cour sur l’exécution du budget de l’Union pour 2018, pas plus que par le rapport 2018 concernant les agences et autres organismes de l’Union; souligne toutefois que les informations relatives aux résultats des contrôles externes indépendants réalisés par la Cour devraient être mises à la disposition du public pour tous les organismes de l’Union; demande, par conséquent, à la Cour de revoir sa position et de commencer à publier des rapports d’audit portant sur le CEPD à partir de l’année prochaine; demande, par conséquent, que la Cour publie des rapports annuels d'activité distincts sur les comptes annuels de cet important organisme de l'Union, qui a pour objectif de garantir que les institutions et organismes de l'Union respectent pleinement le droit à la vie privée et à la protection des données;
7. se félicite de la bonne gestion financière et de la prudence dont le CEPD a fait globalement preuve; constate que le CEPD a établi une distinction claire entre les activités «en cours» et les activités «nouvelles»; constate une augmentation de 1,54 % pour les activités en cours conformément à sa politique d’austérité qui a vu l’augmentation de la plupart des lignes budgétaires gelée à 0 %; constate toutefois l’augmentation pour les nouvelles activités, principalement en raison de la constitution d’une nouvelle entité de l’Union, dénommée le Comité européen de la protection des données (EDPB) et de ses activités connexes (qui est devenu opérationnel à compter du 25 mai 2018);
8. constate que le CEPD a disposé en 2018 d’un budget total de 14 449 068 EUR (contre 11 324 735 EUR en 2017), ce qui représente une augmentation de 27,59 % par rapport au budget 2017 (augmentation budgétaire de 21,93 % entre 2016 et 2017); se félicite que 93,7 % de tous les crédits aient été engagés avant la fin de 2018, contre 89 % en 2017; constate avec inquiétude qu’en termes de crédits de paiement, l’exécution budgétaire s’est élevée à 75,2 % de l’ensemble des crédits (contre 77 % en 2017);
9. rappelle la nécessité de disposer d’un budget prévisionnel garantissant de bonnes performances budgétaires dans les années à venir; reconnaît l’existence d’éléments qui ont un impact crucial, comme le budget salarial du CEPD, avec une part de plus de 53 %, où même un roulement de personnel modéré a un impact significatif sur le taux d’exécution budgétaire global; reconnaît que les prévisions budgétaires concernant l’EDPB récemment créé ne gagneront en exactitude qu’après quelques années de fonctionnement;
10. constate avec intérêt que le CEPD a lancé un nouveau concours général visant à créer un groupe d’experts hautement qualifiés dans le domaine de la protection des données afin de répondre à ses futurs besoins en matière de recrutement; observe, en ce qui concerne la planification du recrutement du personnel, que le CEPD a réclamé une augmentation modérée de six membres du personnel dans le cadre de la préparation visant à mettre l’EDPB en place;
11. reconnaît que 2018 a été cruciale pour le CEPD en raison de l’adoption du règlement (UE) 2016/679(1) et de la directive (UE) 2016/680(2) en 2016, dans le contexte du processus de modernisation des règles relatives à la protection des données; constate que les nouvelles tâches et responsabilités découlant du règlement (UE) 2016/679 imposeront de disposer de ressources supplémentaires à l’avenir; prend acte du fait que le CEPD comptait 97 agents en 2018 (contre 55 en 2013); demande toutefois au CEPD d’analyser la situation concernant d’éventuels gains d’efficacité pouvant être réalisés du seul fait de la réorganisation et de la redistribution des tâches;
12. constate que l’EDPB, qui se compose des 28 autorités de protection des données des États membres et du CEPD, a été mis en place à la suite de cette nouvelle législation pour garantir la mise en œuvre cohérente du règlement (UE) 2016/679 dans l’ensemble de l’Union; constate qu’au début de 2018, une part importante du temps et des efforts du CEPD a été consacrée au soutien du secrétariat de l’EDPB, ainsi qu’à sa propre participation à part entière en tant que membre de ce comité;
13. constate que, conformément aux nouvelles règles relatives au traitement des données à caractère personnel, les institutions et organes de l’Union doivent également garantir leur conformité auxdites règles, y compris en ce qui concerne la gestion et la gouvernance de leurs infrastructures et systèmes informatiques; reconnaît que le CEPD a élargi son catalogue de lignes directrices spécifiques et lancé un programme pour vérifier que les organes de l’Union respectent ces règles;
14. souligne la nécessité d'une plus grande transparence et d'une coopération renforcée entre les autorités européennes de protection des données; souligne l’importance de la coopération entre le CEPD et les autorités nationales de protection des données des États membres pour garantir une surveillance efficace et la mise en place d’une collaboration dans le cadre de la préparation du nouveau cadre juridique; demande au CEPD d’informer la commission du contrôle budgétaire du Parlement de tous les résultats obtenus en la matière;
15. constate que le CEPD publie chaque année des données relatives à sa coopération interinstitutionnelle par l’intermédiaire d’accords de niveau de service couvrant les services médicaux, de traduction/interprétation, de restauration et de formation, ainsi que d’accords administratifs pour le bâtiment, la logistique, les services de sécurité et l’informatique, etc.; se félicite de la conclusion d’un protocole d’accord entre le CEPD et l’EDPB (axé principalement sur les technologies de l’information) qui permet au nouvel organe de l’Union de bénéficier de tout le travail accompli par le CEPD au cours des dernières années;
16. salue l’intention du CEPD (dans le contexte de la modernisation de ses procédures de passation) d’instaurer un flux de travail électronique afin de mettre en place un mode de travail sans papier; rappelle l’importance de la coopération interinstitutionnelle entre le CEPD et la Commission en matière de marchés publics, de gestion financière et de ressources humaines; se félicite de l’accord de niveau de service conclu avec la direction générale du budget et la direction générale de l’informatique de la Commission concernant les outils informatiques «ABAC» et «Sysper II», comme demandé dans le dernier rapport de décharge; exhorte le CEPD à progresser dans la mise en place d’une politique cohérente de numérisation de ses services;
17. constate que le premier plan d’action du responsable des questions d’éthique a été pleinement achevé et que le deuxième rapport prévoit plusieurs mesures, telles que la révision des codes de conduite des contrôleurs et du personnel, une décision révisée sur les activités extérieures et une éventuelle adhésion au nouveau registre de transparence des institutions de l’Union, etc.; invite le CEPD à mettre en œuvre ces mesures requises dans les meilleurs délais; se félicite des séances de sensibilisation tenues conformément au cadre d’éthique; demande que des informations détaillées sur les réalisations liées au cadre d’éthique soient présentées dans le prochain rapport d’activités annuel;
18. se félicite du fait que les règles internes adoptées en 2016 concernant les lanceurs d’alerte soient mises à jour afin de renforcer la protection de ces derniers et des auteurs présumés d’actes répréhensibles; prend acte de l’existence de certaines mesures de protection, comme l’évaluation des risques et la limitation de l’accès aux fichiers correspondants sur la base stricte du «besoin d’en connaître»; encourage le CEPD à demander à son responsable des questions d’éthique d’accorder une attention particulière à cette question lors de la prochaine séance de sensibilisation organisée pour l’ensemble du personnel; constate avec satisfaction que le CEPD n’a eu pour l’instant aucun cas de lanceur d’alerte;
19. réaffirme l’importance de la protection des données en ce qui concerne la cybersécurité; salue les efforts déployés par le CEPD afin de fournir aux institutions de l’Union des orientations sur la manière de protéger les données à caractère personnel lors de la mise en œuvre de mesures de cybersécurité, sur la manière dont des systèmes globaux de gestion de la sécurité de l'information permettent de respecter les obligations à la fois en matière de protection des données et de cybersécurité et sur la manière de s'acquitter des obligations de notification et d’information liées à la protection des données en cas de violations des données à caractère personnel; constate que le scandale relatif à l’utilisation abusive de données Facebook par Cambridge Analytica et les preuves croissantes d’une ingérence illégale lors d’élections requièrent du CEPD qu’il apporte des réponses à ces questions; souligne que le CEPD doit lutter contre l’utilisation abusive potentielle des données numériques;
20. reconnaît la valeur ajoutée que les logiciels libres et ouverts peuvent apporter au CEPD; souligne en particulier le rôle de ces logiciels dans l'amélioration de la transparence et la prévention des effets de dépendance à l'égard d’un fournisseur; insiste également sur leur potentiel en matière d’amélioration de la sécurité, car ils permettent de détecter et de corriger des lacunes; recommande vivement que tout logiciel développé pour l’institution soit rendu publiquement accessible sous licence logicielle libre et ouverte;
21. se félicite du fait que la décision relative à la lutte contre le harcèlement ait été mise à la disposition de l’ensemble du personnel par le biais de l’intranet du CEPD; note avec satisfaction que le CEPD travaille actuellement sur une révision de la décision de lutte contre le harcèlement, ainsi que sur un mandat pour la nomination de personnes de confiance supplémentaires; constate que 69 % des membres du personnel ont indiqué dans l’enquête qui leur était adressée en 2018 qu’ils avaient connaissance de la politique existante sur le harcèlement psychologique et sexuel; se félicite du fait qu’une personne de confiance ait été formée en 2018;
22. se félicite du fait que les CV et les déclarations d’intérêts des contrôleurs soient disponibles sur le site internet du CEPD; observe que ces déclarations sont nécessairement de nature volontaire et que ni le CEPD, ni son responsable des questions d’éthique ne disposent de pouvoirs d’enquête pour assurer la véracité et l’exhaustivité des données déclarées; invite le CEPD à évaluer les moyens d’améliorer le système en concertation avec d’autres institutions et organes de l’Union;
23. invite le CEPD à garantir la publication et la mise à jour régulière de toutes ses lignes directrices et procédures relatives au cadre d’éthique sur son site internet; invite le CEPD à poursuivre ses efforts pour améliorer les informations disponibles en ligne en matière de transparence et de contrôle public;
24. regrette l’absence d’informations plus détaillées sur les mesures concrètes permettant d’améliorer le bien-être au travail dans le rapport annuel d’activité; se félicite toutefois que des décisions et des politiques aient été adoptées et/ou mises en œuvre en 2018, comme un rapport sur l’enquête adressée au personnel, une décision révisée sur le télétravail et une décision révisée sur le mentorat; demande au CEPD de communiquer des informations plus détaillées dans le prochain rapport annuel d’activité;
25. se félicite de l’initiative prise en 2018 par le CEPD de ne proposer des stages rémunérés, à l’avenir, que dans le cadre du programme de stage du Livre bleu; note que la procédure de recrutement des stagiaires du CEPD a été ainsi modifiée à la suite d'une recommandation du Médiateur d'adapter les critères d'éligibilité dans le cadre des stages rémunérés; réaffirme la nécessité de veiller à ce que tous les stagiaires de toutes les institutions de l'Union bénéficient d'une indemnité suffisante afin d’éviter le renforcement de la discrimination pour des raisons économiques;
26. constate avec intérêt que 20 nationalités de l’Union (contre 16 en 2017) sont représentées au sein du personnel du CEPD; constate, à propos de l’équilibre hommes-femmes, que le CEPD comptait 40 % d’hommes (contre 32 % en 2017) et 60 % de femmes en son sein; prend acte des efforts continus du CEPD pour parvenir à un équilibre, en tenant compte de la petite taille du CEPD et de ses activités stratégiques spécifiques;
27. constate avec intérêt que le CEPD s’est vu attribuer quatre bureaux supplémentaires dans le bâtiment MTS, actuellement partagé avec le Médiateur européen; constate que le personnel du CEPD, y compris le secrétariat de l’EDPB, devrait poursuivre sa croissance en 2020 et qu’une expansion plus importante à l’ensemble du bâtiment est donc nécessaire; soutient le CEPD dans sa requête et lui demande d’informer la commission du contrôle budgétaire du Parlement de toutes les mesures et de tous les progrès à cet égard;
28. se félicite des initiatives ciblées du CEPD visant à réduire l’empreinte environnementale de l’institution; encourage le CEPD à mettre en place un plan d’action concret pour réduire son empreinte environnementale;
29. se félicite du fait que l’importance des activités de communication du CEPD ait considérablement augmenté au cours des dernières années; reconnaît les efforts visant à améliorer l’impact de sa présence en ligne; prend acte de l’organisation de deux campagnes de communication importantes, à savoir la conférence internationale de 2018 consacrée au débat sur l’éthique (en touchant ainsi le public le plus large possible pour le débat sur l’éthique numérique) et, en décembre 2018, sa campagne de communication sur le nouveau règlement relatif à la protection des données pour les institutions de l’Union;
30. rappelle que le CEPD utilise un certain nombre d’indicateurs-clés de performance pour aider à suivre ses travaux et l’utilisation de ses ressources; constate avec satisfaction qu’en 2018, le CEPD a atteint ou dépassé les objectifs fixés dans la majorité de ses indicateurs-clés de performance (par exemple, en ce qui concerne l’indicateur-clé de performance 4 «Niveau d’intérêt des parties prenantes», assorti d’un objectif de 10 consultations, un chiffre de 13 consultations a été atteint); constate que la mise en œuvre des objectifs stratégiques pertinents est en bonne voie et qu’aucune mesure corrective n’est nécessaire; encourage le CEPD à continuer sur cette voie;
31. se félicite que le CEPD respecte la quasi-totalité des 16 normes de contrôle interne, lesquelles font l’objet d’un suivi régulier afin de garantir la réalisation efficiente, efficace et financièrement avantageuse des objectifs; constate que le service d’audit interne a réalisé un audit de suivi des recommandations en suspens issues d’un examen des normes de contrôle interne et a conclu que le niveau de contrôle interne était satisfaisant et efficace;
32. constate que le service d’audit interne a réalisé une enquête se concentrant sur trois domaines principaux (la gouvernance du CEPD en ce qui concerne l’EDPB, le cadre pour la mise à disposition de ressources humaines, la gestion budgétaire et financière, ainsi que le soutien logistique aux équipes de soutien de l’EDPB et du CEPD) qui ont fait l’objet d’un examen attentif; constate que le service d’audit interne a publié un rapport final, dans lequel toutes les recommandations ne sont considérées que comme des «questions à examiner» et ne feront l’objet d’aucun suivi par le service d’audit interne;
33. constate que les dépenses relatives à la traduction s’élèvent à 337 057,35 EUR pour le CEPD et à 516 461,90 EUR pour les activités de l’EDPB; constate que l’EDPB bénéficie d’un quota de traductions gratuites qui est pris en charge par la direction générale de la traduction de la Commission; prend acte du fait que la nécessité de traductions fréquentes dans toutes les langues officielles de l’Union, conjuguée à la très petite taille de l’institution, rend l’internalisation de la traduction impossible d’un point de vue coûts-bénéfices;
34. prend acte du fait que les missions du personnel sont encodées dans le système de traitement intégré des missions, et qu’un rapport de mission est téléversé sous forme de document annexe dans la déclaration de frais; se félicite des données fournies dans le rapport annuel d’activité, comme demandé dans le précédent rapport de décharge, qui ne font apparaître aucune différence significative en termes de nombre et de coûts des missions au cours des quatre dernières années;
35. se félicite que le CEPD respecte la bonne pratique consistant à fixer un délai pour la présentation du rapport annuel d’activité au 31 mars de l’année suivant l’exercice comptable; se félicite dès lors que le CEPD ait adopté son rapport annuel d’activité le 26 mars 2019, afin de permettre à l’autorité de décharge de disposer de davantage de temps pour analyser le rapport en profondeur et mener à bien la procédure de décharge dans de meilleures conditions;
36. met en exergue l’ensemble des travaux réalisés ces dernières années dans des domaines tels que la budgétisation axée sur les performances, le cadre éthique assorti de toutes ses règles et procédures connexes, les activités renforcées de communication et le nombre croissant de mesures visant à améliorer la transparence; se félicite du nombre important d’accords interinstitutionnels de coopération et de services; souligne l’importance de la collaboration et du partage d’expérience entre les institutions et organes de l’Union; suggère que la possibilité d’activités formalisées de mise en réseau dans différents domaines soit analysée en vue de partager les bonnes pratiques et de mettre au point des solutions communes;
37. souligne que le retrait du Royaume-Uni de l’Union européenne aura un impact significatif sur les travaux prévus du CEPD; souligne qu'il importe de négocier rapidement un accord sur les données avec le Royaume-Uni.
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du 4.5.2016, p. 89).