Introduction
La présente note d’information relative à la protection des données à caractère personnel explique les raisons du traitement des données à caractère personnel, la façon dont elles sont recueillies, traitées et protégées, l’usage qui en est fait et les droits qui peuvent être exercés les concernant (droit d’accès, de rectification, etc.).
L'Autorité nationale d’Audit pour les Fonds européens, dénommée ci-après « AnAFe», s’engage à préserver et respecter la vie privée des personnes dont elle recueille indirectement les données à caractère personnel.Les règles suivantes s’appliquent :
- Le règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), ci-après « RGPD »;
- La loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
- L’instruction de la Secrétaire générale des Ministères économiques et financiers en date du 18 mai 2018 pour la mise en œuvre au sein des Ministères économiques et financiers de la nouvelle réglementation de protection des données personnelles à compter du 25 mai 2018.
L'AnAFe est l'Autorité nationale d’Audit pour les Fonds européens1
Les missions et l’organisation de l'AnAFe sont précisées sur le site de l'AnAFe.
1 Décret n°2008-548 du 11 juin 2008 modifié relatif à la commission interministérielle de coordination des contrôles - autorité d'audit pour les fonds européens en France (lien : https://www.legifrance.gouv.fr/loda/id/JORFTEXT000018979098)
Finalité du traitement :
L'AnAFe recueille indirectement et utilise des données à caractère personnel pour contrôler le respect de toutes les stipulations contractuelles (y compris financière) afin de :
- vérifier que l’action subventionnée par les fonds européens a été mise en œuvre conformément aux stipulations de l’acte attributif de subvention conclu entre l’Autorité de gestion et le porteur de projet ;
- et en vue de s’assurer de la légalité et la régularité de l’opération sous-jacente à l’exécution du budget de l'Union.
Licéité du traitement :
Les opérations de traitement des données à caractère personnel effectuées dans le cadre des évaluations ex ante et audits ex post sont nécessaires et licites au regard de l’article 6, paragraphe 1, point e) du règlement (UE) 2016/679.2
Le traitement de ces données est indispensable à l’exécution de la mission d’intérêt public de protection des intérêts financiers de l’UE confiée à l'AnAFe par les textes suivants :
- Article 60 de la loi du 30 décembre 2002 de finances rectificative pour 2002, modifié par l'article 99 de la loi n° 2007-1824 du 25 décembre 2007 de finances rectificative pour 2007, portant création de la commission interministérielle de coordination des contrôles (CICC) ;
- Article 1er du décret n°2008-548 du 11 juin 2008 modifié relatif à l’Autorité d'Audit nationale pour les Fonds européens ;
- Pour la programmation 2014-2020 et les fonds relevant de sa compétence : l’article 127 du règlement (UE) n°1303/2013 du Parlement européen et du Conseil du 17 décembre 2013, de l’article 34 du règlement (UE) n° 223/2014 du Parlement européen et du Conseil du 11 mars 2014 ; de l’article 29 du règlement (UE) n°514/2014 du Parlement européen et du Conseil du 16 avril 2014 ;
- Pour la programmation 2021-2027 et les fonds relevant de sa compétence : l’article 77 du règlement (UE) n°2021/1060 du Parlement européen et du Conseil du 24 juin 2021 ;
- Pour les autres soutiens financiers européens : l’article 22(2)(ii) du règlement (UE) n°2021/241 relatif à la facilité pour la reprise et la résilience (FRR) et l’article 14§4 du règlement (UE) n°2021/1755 établissant la réserve d’ajustement Brexit.
2 L’article 6, paragraphe 1 du règlement (UE) 2016/679 dispose que : « Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie (…) e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.»
Les données à caractère personnel recueillies indirectement et traitées sont les données nécessaires pour mener à bien un audit, telles que les données de catégories suivantes communiquées par les bénéficiaires des fonds européens, les autorités de certification et les autorités de gestion des fonds européens de sources non accessibles au public (liste non exhaustive) :
- le nom, l’entreprise, la fonction, le grade, l’adresse électronique, le numéro de téléphone, l’adresse professionnelle ou privée;
- les informations sur l’expertise professionnelle, les compétences techniques et linguistiques, la formation et l’expérience professionnelle;
- les coordonnées bancaires (codes IBAN et BIC), le numéro de TVA, le numéro de passeport ou de carte d’identité, les feuilles de présence, les fiches de paie, les comptes, les détails des coûts, les missions, les rapports, les informations provenant du système informatique local utilisé pour déclarer les coûts éligibles, les pièces justificatives liées aux frais de voyage, les rapports de mission et d’autres données similaires en fonction de la nature de la subvention/du contrat, etc.
Le responsable du traitement ne conserve les données que pendant le temps nécessaire pour atteindre la finalité de leur collecte ou de leur traitement ultérieur.
La durée de conservation des données est déterminée par :
- Les obligations légales d’archivage ;
- La périodicité des audits de réexécution réalisés par la Commission européenne et la Cour des comptes européennes ;
- En cas de litige, la durée de la procédure juridique.
Conformément aux exigences de l’article 24 du RGPD, compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques, l'AnAFe met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD.
L'AnAFe a accès aux données et peut éventuellement les transmettre aux organes chargés d’une mission de contrôle ou d’inspection en application du droit européen (Commission européenne, OLAF, Cour des comptes, le Médiateur, Contrôleur européen de la protection des données, le Parquet européen) et du droit national (Cour des Comptes, Procureur général de la République, les inspections générales des ministères, le référent déontologue et alerte de l'AnAFe) ainsi qu’aux contractants externes missionnés par un de ces organes ou l'AnAFe.
Ces personnes respectent les obligations de confidentialité liées à leur statut, leur fonction, les règles professionnelles qui les régissent ou leurs engagements contractuels.
Conformément au règlement (UE) 2016/679, les personnes concernées ont le droit d'accéder à leurs données à caractère personnel, et de les rectifier, les limiter, ainsi que s'opposer au traitement et au droit à la portabilité des données.
Les personnes concernées peuvent exercer leurs droits en contactant le responsable du traitement opérationnel (RTO) dont les coordonnées figurent au point 9 ci-dessous.
Les personnes concernées ont le droit d’introduire une réclamation auprès de la CNIL.
Conformément aux exigences de l’article 14 du RGPD, les informations contenues sur la présente page sont rendues publiques sur le site internet de l'AnAFe.
Si vous avez des commentaires, questions, problèmes ou plaintes concernant la collecte et l'utilisation des données à caractère personnel, n'hésitez pas à contacter le responsable du traitement, dont les coordonnées sont les suivantes :
Responsable du traitement opérationnel des données personnelles à l'AnAFe.
Par courriel : anafe.rgpd@finances.gouv.fr
Par voie postale : AnAFe (protection des données) 5 place des Vins de France 75573 Paris - Cedex 12