15.12.2012   

FR

Journal officiel de l'Union européenne

C 388/135

RAPPORT

sur les comptes annuels de l'Agence européenne chargée de la sécurité des réseaux et de l'information relatifs à l’exercice 2011 accompagné des réponses de l'Agence

2012/C 388/23

INTRODUCTION

1.

L'Agence européenne chargée de la sécurité des réseaux et de l'information (ci-après «l'Agence»), sise à Héraklion, a été créée en vertu du règlement (CE) no 460/2004 du Parlement européen et du Conseil (1), modifié par le règlement (CE) no 1007/2008 du Parlement européen et du Conseil (2) et par le règlement (CE) no 580/2011 (3). La principale mission de l'Agence est de renforcer la capacité de l’Union à prévenir les problèmes de sécurité des réseaux et de l'information et, le cas échéant, à y faire face en s'appuyant sur les initiatives prises aux niveaux national et de l’UE (4).

INFORMATIONS À L'APPUI DE LA DÉCLARATION D'ASSURANCE

2.

L’approche d’audit choisie par la Cour repose sur des procédures d’audit analytiques, des tests directs des opérations et une évaluation des contrôles clés des systèmes de contrôle et de surveillance de l'Agence. À cela s'ajoutent des éléments probants obtenus grâce aux travaux d'autres auditeurs (le cas échéant), ainsi qu’une analyse des prises de position de la direction.

DÉCLARATION D'ASSURANCE

3.

Conformément aux dispositions de l'article 287 du traité sur le fonctionnement de l’Union européenne, la Cour a contrôlé les comptes annuels (5) de l’Agence, constitués des «états financiers» (6) et des «états sur l’exécution du budget» (7) pour l’exercice clos le 31 décembre 2011, ainsi que la légalité et la régularité des opérations sous-jacentes à ces comptes.

Responsabilité de la direction

4.

En tant qu’ordonnateur, le directeur exécute le budget en recettes et en dépenses conformément à la réglementation financière de l’Agence, sous sa propre responsabilité et dans la limite des crédits alloués (8). Il est chargé de mettre en place (9) la structure organisationnelle ainsi que les systèmes et procédures de gestion et de contrôle interne appropriés pour établir des comptes définitifs (10) exempts d’inexactitudes significatives, qu’elles résultent d’une fraude ou d’une erreur, et pour garantir la légalité et la régularité des opérations sous-jacentes à ces comptes.

Responsabilité de l'auditeur

5.

La responsabilité de la Cour consiste à fournir au Parlement européen et au Conseil (11), sur la base de son audit, une déclaration d’assurance concernant la fiabilité des comptes annuels de l’Agence, ainsi que la légalité et la régularité des opérations sous-jacentes à ces derniers.

6.

La Cour a conduit son audit conformément aux normes internationales d’audit et aux codes de déontologie de l'IFAC, ainsi qu’aux normes internationales des institutions supérieures de contrôle, établies par l’Intosai. En vertu de ces normes, la Cour est tenue de programmer et d'effectuer ses travaux d'audit de manière à pouvoir déterminer avec une assurance raisonnable si les comptes annuels de l’Agence sont exempts d'inexactitudes significatives et si les opérations sous-jacentes à ces comptes sont légales et régulières.

7.

Un audit comprend la mise en œuvre de procédures en vue d’obtenir des éléments probants relatifs aux montants et aux informations qui figurent dans les comptes, ainsi qu’à la légalité et à la régularité des opérations qui leur sont sous-jacentes. Le choix des procédures s’appuie sur le jugement de l’auditeur, qui se fonde entre autres sur une appréciation du risque que des inexactitudes significatives affectent les comptes et, s'agissant des opérations sous-jacentes, du risque de non-respect, dans une mesure significative, des obligations prévues par le cadre juridique de l’Union européenne, que cela soit dû à des fraudes ou à des erreurs. Lorsqu’il apprécie ces risques, l’auditeur examine le système de contrôle interne utilisé pour élaborer les comptes et assurer la fidélité de leur présentation, ainsi que les systèmes de contrôle et de surveillance visant à assurer la légalité et la régularité des opérations sous-jacentes, afin de concevoir des procédures d'audit adaptées aux circonstances. Un audit comporte également l'appréciation de l’adéquation des politiques comptables appliquées et de la vraisemblance des estimations comptables, ainsi que l’évaluation de la présentation générale des comptes.

8.

La Cour estime que les informations probantes obtenues sont suffisantes et adéquates pour étayer les opinions ci-après.

Opinion sur la fiabilité des comptes

9.

La Cour estime que les comptes annuels de l’Agence (12) présentent fidèlement, dans tous leurs aspects significatifs, la situation financière de celle-ci au 31 décembre 2011, ainsi que les résultats de ses opérations et les flux de trésorerie pour l’exercice clos à cette date, conformément aux dispositions de son règlement financier et aux règles comptables adoptées par le comptable de la Commission (13).

Opinion sur la légalité et la régularité des opérations sous-jacentes aux comptes

10.

La Cour estime que les opérations sous-jacentes aux comptes annuels de l’Agence relatifs à l’exercice clos le 31 décembre 2011 sont légales et régulières dans tous leurs aspects significatifs.

11.

Les commentaires ci-après ne remettent pas en cause les opinions de la Cour.

COMMENTAIRES SUR LA GESTION BUDGÉTAIRE ET FINANCIÈRE

12.

Le budget de l'Agence s'est élevé à 8,1 millions d'euros, comme en 2010. Par rapport à l'année précédente, l'exécution du budget s'est améliorée. Toutefois, le montant total des crédits reportés à 2012 est de 1,1 million d'euros. Les crédits reportés représentent 0,2 million d'euros (soit 34 %) pour le titre II (Dépenses administratives) et 0,8 million d'euros (soit 33 %) pour le titre III (Dépenses opérationnelles). Ce niveau élevé de reports est contraire au principe budgétaire d'annualité.

COMMENTAIRES SUR LES CONTRÔLES CLÉS DES SYSTÈMES DE CONTRÔLE ET DE SURVEILLANCE DE L'AGENCE

13.

La Cour a constaté qu'il convient de mieux documenter l’inventaire des immobilisations. Les acquisitions d'immobilisations sont enregistrées au niveau des factures mais non des postes budgétaires. Lorsque plusieurs nouveaux actifs sont couverts par une même facture, il n'existe qu'une seule entrée pour l'ensemble des actifs achetés, et seul le montant total est indiqué.

AUTRES OBSERVATIONS

14.

L'Agence doit améliorer la transparence des procédures de recrutement. Aucune mesure appropriée n'a été prise pour remédier au manque de transparence mis en évidence par la Cour en 2010. Les notes minimales que les candidats devaient obtenir pour être conviés à un entretien, les questions pour les épreuves écrites et les entretiens, ainsi que leur pondération, n’étaient pas établies avant l'examen des candidatures. Les notes minimales à obtenir pour pouvoir être inscrit sur la liste d'aptitude n'étaient pas fixées avant l'examen des candidatures.

Le présent rapport a été adopté par la Chambre IV, présidée par M. Louis GALEA, membre de la Cour des comptes, à Luxembourg en sa réunion du 11 septembre 2012.

Par la Cour des comptes

Vítor Manuel da SILVA CALDEIRA

Président

(1)  JO L 77 du 13.3.2004, p. 1.

(2)  JO L 293 du 31.10.2008, p. 1.

(3)  JO L 165 du 24.6.2011, p. 3.

(4)  L'annexe présente, de manière synthétique et à titre d'information, les compétences et activités de l'Agence.

(5)  Ces comptes sont accompagnés d’un rapport sur la gestion budgétaire et financière au cours de l’exercice. Ce rapport fournit de plus amples informations en la matière.

(6)  Les états financiers comprennent le bilan, le compte de résultat économique, le tableau des flux de trésorerie, l’état de variation de l’actif net, ainsi qu’une synthèse des principales politiques comptables et d’autres notes explicatives.

(7)  Les états sur l’exécution du budget comprennent le compte de résultat de l’exécution budgétaire et son annexe.

(8)  Article 33 du règlement (CE, Euratom) no 2343/2002 de la Commission (JO L 357 du 31.12.2002, p. 72).

(9)  Article 38 du règlement (CE, Euratom) no 2343/2002.

(10)  Les règles en matière de reddition des comptes et de tenue de la comptabilité par les agences sont fixées aux chapitres 1 et 2 du titre VII du règlement (CE, Euratom) no 2343/2002, modifié en dernier lieu par le règlement (CE, Euratom) no 652/2008 (JO L 181 du 10.7.2008, p. 23), et sont reprises telles quelles dans le règlement financier de l’Agence.

(11)  Article 185, paragraphe 2, du règlement (CE, Euratom) no 1605/2002 du Conseil (JO L 248 du 16.9.2002, p. 1).

(12)  Les comptes annuels définitifs ont été établis le 25 juin 2012 et reçus par la Cour le 2 juillet 2012. Les comptes annuels définitifs, consolidés avec ceux de la Commission, sont publiés au Journal officiel de l’Union européenne au 15 novembre suivant l’exercice clos. Ils peuvent être consultés sur les sites Web http://eca.europa.eu ou http://www.enisa.europa.eu/.

(13)  Les règles comptables adoptées par le comptable de la Commission sont fondées sur les normes comptables internationales pour le secteur public (IPSAS), publiées par la Fédération internationale des experts-comptables, ou, à défaut, sur les normes comptables internationales (IAS)/normes internationales d'information financière (IFRS) publiées par l'International Accounting Standards Board (IASB).

ANNEXE

Agence européenne chargée de la sécurité des réseaux et de l'information (Héraklion)

Compétences et activités

Domaines de compétence de l’Union selon le traité

(article 114)

Le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire et après consultation de Comité économique et social, arrêtent les mesures relatives au rapprochement des dispositions législatives, réglementaires et administratives des États membres qui ont pour objet l’établissement et le fonctionnement du marché intérieur.

La responsabilité en matière de marché intérieur relève d’une compétence partagée entre l’Union et les États membres [article 4, paragraphe 2, point a), du TFUE].

Compétences de l'Agence

[règlement (CE) no 460/2004 du Parlement européen et du Conseil]

Objectifs

1.

L'Agence renforce la capacité de l’Union, des États membres et du secteur des entreprises de prévenir les problèmes de sécurité des réseaux et de l'information, de les gérer et d’y faire face.

2.

L'Agence prête assistance et fournit des conseils à la Commission et aux États membres sur les questions liées à la sécurité des réseaux et de l'information relevant de ses compétences.

3.

L'Agence acquiert un niveau élevé de compétences spécialisées et met à profit celles-ci pour encourager une vaste coopération entre les acteurs des secteurs public et privé.

4.

Lorsqu'elle y est invitée, l'Agence aide la Commission à mener les travaux techniques préparatoires en vue de la mise à jour et du développement de la législation communautaire dans le domaine de la sécurité des réseaux et de l'information.

Tâches

L'Agence:

a)

collecte des informations sur les risques actuels et émergents qui pourraient avoir une incidence sur les réseaux de communications électroniques;

b)

fournit des conseils et une assistance au Parlement européen, à la Commission et aux organismes européens ou aux organismes nationaux compétents;

c)

renforce la coopération entre les différents acteurs dans son domaine d’activité;

d)

facilite la coopération dans l'élaboration de méthodologies communes destinées à gérer les problèmes de sécurité des réseaux et de l'information;

e)

contribue à la sensibilisation de tous les utilisateurs à la problématique de la sécurité des réseaux et de l'information, notamment par la promotion des échanges des meilleures pratiques actuelles, y compris les méthodes d'alerte des utilisateurs, et par la recherche de synergies dans les initiatives du secteur public et du secteur privé;

f)

assiste la Commission et les États membres dans le dialogue qu’ils mènent avec les entreprises;

g)

suit l'élaboration des normes pour les produits et services en matière de sécurité des réseaux et de l'information;

h)

fournit à la Commission des conseils sur la recherche en matière de sécurité des réseaux et de l'information ainsi que sur l'utilisation des technologies de prévention des risques;

i)

assure la promotion des activités d'évaluation des risques sur les solutions en matière de gestion des mesures de prévention;

j)

contribue à la coopération avec les pays tiers et des organisations internationales;

k)

formule de manière indépendante ses propres conclusions, orientations et conseils sur des questions entrant dans le cadre de son champ d'application et de ses objectifs.

Gouvernance

Conseil d’administration

Il est composé d'un représentant de chaque État membre, de trois représentants nommés par la Commission ainsi que de trois représentants sans droit de vote proposés par la Commission et nommés par le Conseil, représentant chacun l'un des groupes suivants:

a)

les entreprises du secteur des technologies de l'information et de la communication;

b)

les consommateurs;

c)

les experts universitaires en sécurité des réseaux et de l'information.

Groupe permanent des parties prenantes

Trente experts de haut niveau représentant les parties concernées, notamment le secteur des technologies de l’information et de la communication (TIC), les organisations recourant aux TIC et les experts universitaires en matière de sécurité des réseaux et de l’information.

Suite à un appel d’offres ouvert, les membres sont choisis par le directeur exécutif qui, après avoir informé le conseil d'administration de sa décision, désigne les candidats sélectionnés à titre personnel pour un mandat de deux ans et demi.

Directeur exécutif

Nommé par le conseil d’administration sur la base d’une liste de candidats proposés par la Commission européenne et après avoir été entendu par le Parlement européen, pour un mandat de cinq ans.

Contrôle externe

Cour des comptes européenne.

Contrôle interne

Service d'audit interne de la Commission européenne.

Autorité de décharge

Parlement européen, sur recommandation du Conseil.

Moyens mis à la disposition de l’Agence en 2011 (2010)

Budget définitif

8,1 (8,1) millions d'euros, dont subvention de l'Union: 100 % (100 %)

Effectifs au 31 décembre 2011:

44 (44) emplois prévus au tableau des effectifs, dont pourvus: 41 (40).

Autres emplois pourvus: 13 (11) agents contractuels et 4 (2) experts nationaux détachés.

Total des effectifs: 58 (53), dont assumant des tâches:

opérationnelles: 40 (34)

administratives: 18 (19)

Produits et services fournis en 2011 (2010)

Volet  (1) no 1:   L’Agence en tant que modérateur pour le renforcement de la coopération

L’objectif principal du premier volet était d'encourager la Commission européenne et les États membres à poursuivre les programmes de coopération en cours pour intensifier l’échange d’informations et la coopération entre les États membres. Pour ce faire, il convient notamment de fournir des données et des avis à la Commission afin de l'aider dans l'élaboration d'une nouvelle réglementation, ainsi que de mettre en évidence et de promouvoir les bonnes pratiques à l'appui de cette législation. Ces travaux sont pris en considération et ont alimenté les discussions du Forum européen des États membres (EFMS) et du Partenariat public privé européen pour la résilience(EP3R). Les problèmes à résoudre ont été décrits dans d'autres documents, notamment les communications de la Commission sur la sécurité (COM(2006) 251) et sur la protection des infrastructures d’information critiques (PIIC) (COM(2009) 149), qui ont mis en évidence l'importance de la sécurité et de la résilience des réseaux et de l’information pour la création d'un espace européen unique de l'information, ainsi que l'agenda numérique. Les interdépendances devenant complexes, une perturbation touchant une infrastructure peut aisément se propager au-delà des frontières (géographiques et juridictionnelles) et atteindre d’autres infrastructures, et avoir une incidence à l'échelle européenne. Le caractère mondial des télécommunications requiert une approche commune pour traiter les questions liées notamment à la résilience et à la sécurité des réseaux publics de communication.

Nombre de résultats: 13

Volet no 2:   Améliorer la PIIC  (2) et la résilience à l'échelle européenne

L’objectif du deuxième volet est d’aider les États membres à mettre en œuvre des systèmes TIC sécurisés et résilients, ainsi que d’accroître le niveau de protection des infrastructures et services d’information critiques en Europe.

Ce volet est étroitement aligné sur le plan d’action PIIC décrit dans les communications de la Commission de mars 2009 et mars 2011. Une grande partie de ce volet soutient directement les objectifs établis dans le document de stratégie de sécurité intérieure et dans l'agenda numérique. Dans le domaine de la PIIC, les lots de travaux s'inscrivent, pour la plupart, dans la suite logique des travaux effectués dans le cadre du programme de travail 2010.

Les objectifs de ce volet sont plus particulièrement:

de renforcer les capacités opérationnelles des États membres en aidant les parties concernées à accroître leur efficience et leur efficacité,

de soutenir et de promouvoir les exercices paneuropéens,

de définir et de relever les défis liés à la sécurité de l'information en matière de PIIC,

de définir et de traiter les questions liées à la sécurité de l’information dans le secteur des TIC et des réseaux interconnectés,

de soutenir le groupe de travail conjoint UE-États-Unis sur la cybersécurité et la cybercriminalité, établi dans le cadre du sommet UE-États-Unis qui s'est tenu le 20 novembre 2010.

Nombre de résultats: 16

Volet no 3:   L'Agence en tant que promoteur de la vie privée et de la confiance

Le troisième volet comporte quatre lots de travaux (LT):

comprendre et analyser les incitations économiques et les obstacles à la sécurité de l’information,

faire en sorte que la vie privée, l’identité et la confiance soient correctement intégrées dans les nouveaux services,

soutenir la mise en œuvre de l’article 4 de la directive «vie privée et communications électroniques» (2002/58/CE),

promouvoir le lancement d'un mois européen de sensibilisation à la cybersécurité.

Le premier LT a analysé les obstacles et les incitations économiques à l'amélioration de la sécurité de l’information à l’échelle européenne. L’Agence a analysé les moteurs et les obstacles économiques dans les domaines juridique, politique, technique et éducatif, et a mis en évidence les améliorations possibles.

Le deuxième LT a examiné la manière dont il est tenu compte de la vie privée, de l'identité et de la confiance dans les nouveaux services, et a proposé des recommandations en vue d’apporter des améliorations. L’objectif était d’examiner et d’évaluer les développements en cours en ce qui concerne la protection de la vie privée des personnes et le renforcement de la confiance dans les services de réseau.

Le troisième LT a couvert le soutien apporté par l’Agence dans le cadre de la mise en œuvre de l’article 4 de la directive «vie privée et communications électroniques». Il s'inscrivait dans la suite logique de la collaboration avec le groupe de travail «article 29», le Contrôleur européen de la protection des données et la Commission européenne (DG JUST et INFSO); il visait à déterminer comment, dans la pratique, mettre en œuvre les dispositions de l’article 4 au niveau de l’UE.

Enfin, l’Agence a collaboré avec des États membres pour organiser le mois européen de sensibilisation à la cybersécurité.

Nombre de résultats: 5

Source: Informations transmises par l'Agence.

(1)  En anglais: work stream (WS).

(2)  PIIC: Protection des infrastructures d'information critiques.

Source: Informations transmises par l'Agence.

RÉPONSES DE L’AGENCE

12.

Comme l’a indiqué la Cour, l'exécution du budget s'est améliorée en 2011. Afin de diminuer encore le montant des crédits reportés, l’Agence a commencé sa planification des marchés pour 2012 et a pu lancé au cours du dernier trimestre de l’année 2011 les différentes procédures de passation des marchés relatives aux activités prévues dans le programme de travail 2012. Cette pratique devrait donner ses résultats à la fin de l’année 2012.

13.

L’Agence a rationnalisé sa gestion des actifs avec la mise en œuvre d’«ABAC Assets», le module de gestion des actifs introduit par la Commission et utilisé par les institutions et les agences. Cet outil, pleinement déployé et utilisé en 2012, attribue une identification unique à tous les actifs enregistrés. Le commentaire de la Cour a donc été pleinement pris en compte.

14.

L’Agence a adopté le 2 mars 2012 des lignes directrices pertinentes pour le recrutement du personnel, qui répondent pleinement à l’observation de la Cour. Celles-ci sont transmises aux membres des comités de sélection dès qu’ils sont nommés par le directeur exécutif.