Protection des données personnelles au Bénin: Des garde-fous mis en place…
La protection des données à caractère personnel reste une question préoccupante au Bénin notamment avec l’avènement du numérique, des réseaux sociaux. Qu’elles soient nominatives ou sensibles ou encore biométriques, les données à caractère personnel concernent directement la vie privée des individus. Le Bénin s’est doté d’un impressionnant arsenal juridique assorti d’un cadre règlementaire dans l’optique de garantir la protection de ces données à caractère personnel.
Dame Judith (nom d’emprunt), pour se faire rembourser une somme de trente-mille (30.000Fcfa) que lui doit une de ses copines, n’a pas hésité à publier l’image de cette dernière ainsi que ses coordonnées téléphoniques sur Facebook et autres réseaux sociaux. Cette dernière prit le soin de rembourser la somme avant de porter officiellement plainte dans un commissariat de la ville de Cotonou depuis janvier 2023. Seulement qu’à ce moment, dame Judith ignorait encore qu’elle commettait une infraction en divulguant des données personnelles. Malheureusement ou heureusement pour elle, la plaignante va renoncer à la poursuivre en justice.
Il y a quelques semaines seulement, un patron de presse a failli également tomber sous le coup de la loi régissant la protection des données à caractère personnel en décidant de demander via une publication sur Facebook, l’adresse d’une personne qui lui devrait de l’argent et qui serait devenue injoignable. Ayant pris l’avis de plusieurs personnes, il a très tôt renoncé à cette idée.
Se targuant d’être un opérateur de passeport, de carte biométrique et autres actes, un individu s’est vu contraint d’arrêter ses activités pour non-respect des dispositions encadrant la protection des données à caractère personnel, témoigne Judicaël Tandjiekpon, Conseiller à l’Autorité de Protection des données à caractère personnel (APDP). “…les données que l’individu collectait chez les bénéficiaires…des données d’un bénéficiaire s’est retrouvé sur internet. Et le bénéficiaire n’avait pas donné son consentement par rapport à cela. Le bénéficiaire a porté plainte à l’Apdp“ a-t-il confié.
Au Bénin, avec l’avènement des réseaux sociaux ou du numérique, il n’est pas rare de voir une tiers personne divulguer des données personnelles d’un individu sans son consentement, exposant non seulement la vie privée de ce dernier mais le mettant également en danger. Si beaucoup ignorait le fait que cela constitue une infraction et passible de poursuites judiciaires, il s’observe de plus en plus une prise de conscience après des sanctions et des interpellations. Plus important, les béninois deviennent davantage très attachés à leurs données à caractère personnel.
Quid des données à caractère personnel et des garde-fous…
Selon la loi 2009-09 du 22 mai 2009 portant protection des données à caractère personnel en République du Bénin et le Guide de mise en conformité de l’APDP, une donnée à caractère personnel se veut toute information relative à une personne physique identifiée ou identifiable ou susceptible de l’être directement ou indirectement, par référence à un ou plusieurs éléments spécifiques propre à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique.
Il s’agit entre autres des données liées au nom, prénom, photographie, date de naissance, parenté, alliance, empreinte, adresse courriel, adresse postale, numéro de téléphone, matricule interne, immatriculation numéro de sécurité sociale, adresse IP, identifiant de connexion informatique, empreinte numérique, enregistrement vocal, numéro de carte bancaire, groupe sanguin, code ADN.
Plus précisément, les données personnelles sont des informations qui permettent d’identifier une personne physique de façon directe ou indirecte, clarifie Judicaël Tandjiekpon. “Ces données peuvent inclure, par exemple, des données nominatives comme le nom, prénom, votre adresse, numéro de téléphone, votre email y compris même des données de localisation dont votre adresse IP. Ensuite, il y a les données plus sensibles, par exemple les données biométriques, de santé, de condamnation pénale, des données qui indiquent votre religion, votre ethnie. Ce sont des données sensibles“ poursuit-il.
A l’en croire, le document de référence régissant la protection des données à caractère personnel en République du Bénin est la loi 2017-20 portant Code du numérique en République du Bénin précisément en son cinquième livre. “Les dispositions du présent Livre ont pour objectif de mettre en place un cadre légal de protection de la vie privée et professionnelle consécutif à la collecte, au traitement, à la transmission, au stockage et à l’usage des données à caractère personnel. Ce dispositif doit garantir que tout traitement, quelle qu’en soit la forme, respecte les libertés et droits fondamentaux des personnes physiques quelle que soit sa nationalité ou sa résidence tout en prenant en compte les prérogatives de l’Etat, les droits des collectivités locales et les buts pour lesquels les entreprises ont été créées“ renseigne l’article 379 du cinquième livre du Code du numérique.
Ainsi, il n’est plus question de banaliser ni la collecte ni le traitement des données à caractère personnel. De l’article 383 du Code, il ressort que lesdites données doivent être traitées légitimement ; collectées, enregistrées, traitées, stockées et transmises de manière licite, loyale, transparente et non frauduleuse ; collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l’intéressé et des dispositions légales et réglementaires applicables. Notons que les dispositions du Code du numérique s’alignent sur celles de la loi 2009-09 du 22 mai 2009 portant protection des données à caractère personnel en République du Bénin.
Ainsi conformément aux dispositions du Code du numérique, le gouvernement béninois a mis en place l’Autorité de protection des données à caractère personnel (APDP). Créée sur les cendres de la Commission nationale de l’informatique et des libertés (Cnil), l’APDP se veut une Autorité administrative indépendante, chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte à l’identité humaine, aux droits de l’Homme, à la vie privée, aux libertés individuelles ou publiques.
Elle est donc l’autorité en charge de veiller à la protection des données à caractère personnel. A ce titre, elle dispose notamment d’un pouvoir de contrôle et de sanction. Jouant aussi un rôle d’alerte et de conseil, elle a pour mission de veiller à ce que le développement des nouvelles technologies ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
L’APDP, le recours des victimes…
Désormais, plus question d’être victime de la violation des dispositions relatives à la protection des données à caractère personnel en République du Bénin sans pouvoir intenter une action. Informaticien de formation et conseiller à l’Apdp, Judicaël Tandjiekpon fait savoir que les usagers peuvent directement saisir ou venir déposer une plainte auprès de l’Autorité de protection des données à caractère personnel. “Je profite pour alerter la population, si on viole l’utilisation de vos données, vous avez la possibilité de vous rapprocher de l’Apdp pour pouvoir déclarer l’incident et avec notre équipe technique, nous essayons d’identifier ce qui s’est passé et situer les responsabilités. Je profite aussi pour dire que l’Apdp a tous les pouvoirs aujourd’hui, et çà c’est l’une des attributions de l’Apdp, de sensibiliser, de contrôler et même de sanctionner“ a-t-il laissé entendre.
Mais comment saisir l’Apdp ? Il suffit de se rendre sur le site apdp.bj et de remplir le formulaire de plainte disponible et accessible à tous. De même, il est possible de contacter le numéro vert “150“ disponible également sur le site pour faire enregistrer sa plainte. “Une fois que vous avez déclaré l’incident, nous restons en contact avec vous pour échanger avec vous sur l’incident et si possible, nous nous déplaçons au niveau du responsable du traitement pour contrôler ses activités, pour constater l’incident. Et suite à cela, nous essayons d’identifier les responsabilités et si possible, il y a plusieurs conséquences. Parfois on arrête le traitement à l’origine de cette violation, parfois on peut donner aussi un avertissement et parfois cela peut être une condamnation pénale et qui peut déboucher sur une sanction“ rassure Judicaël Tandjiekpon.
Selon ce dernier, des dispositions ont été prises pour encadrer la collecte et le traitement des données à caractère personnel. Ainsi, pour la collecte des données permettant d’identifier un individu, il faudra se soumettre aux formalités préalables de l’Apdp tandis qu’une simple déclaration est nécessaire pour ce qui est des données nominatives. « Mais du moment où vous collectez des informations sensibles, par exemple le groupe sanguin, données biométriques (empreintes digitales et tout), les données à caractère religieux, en lien avec la condamnation pénale, toutes ces données sont des données sensibles et dans ces cas, vous devez faire une demande d’autorisation. Et la demande d’autorisation, elle est mise en œuvre avant même le traitement“ a-t-il expliqué.
Entre autres cas récurrents de violation recensés, selon l’Apdp, on peut évoquer la collecte et le traitement illégal de données à caractère personnel ; la divulgation non autorisée de données à caractère personnel ; le non-respect des droits fondamentaux des individus en ce qui concerne des données à caractère personnel dont le droit à l’information préalable, à l’oubli, à la modification, le droit à la suppression. “Il y a pas mal de droits aujourd’hui que vous, en tant que personne physique, vous avez dans le cadre des données à caractère personnel qui malheureusement ne sont pas respectés par les responsables de traitement. Il y a également l’aspect sécuritaire, c’est-à-dire parfois les données sont mal protégées et sont exposées aux pirates, ce qui fait que vous pouvez avoir des pertes de données“ a-t-il déploré.
Des sanctions allant des amendes aux condamnations pénales sont prévues pour réprimer la violation des dispositions relatives à la protection des données à caractère personnel en République du Bénin (Code du numérique). Ainsi, plusieurs campagnes de sensibilisation sont initiées par l’Apdp afin de porter l’information à la masse, aux populations.
Données d’état civil : l’Anip priorise la protection des données personnelles
L’une des principales structures étatiques de collecte et de traitement des données d’état civil, l’Agence nationale d’identification des personnes (Anip) fait de la protection des données personnelles, une priorité. A titre illustratif, depuis novembre 2021, l’Anip a désigné un Délégué à la protection des données (DPO) en la personne de Yvette T. Toïhen Béhanzin. Ceci, conformément aux exigences du Code du numérique notamment en son article 430. “ L’Anip met suffisamment de garde-fous pour que les données personnelles ne soient pas violées. Puis en cas d’incident de violation des données personnelles, l’Anip se saisit déjà du dossier et en informe l’APDP. Tous les cadres et agents d’exécution de l’Anip qui traitent des données personnelles ont signé un engagement de confidentialité“ a-t-elle rassuré.
Evoquant les codes d’accès aux actes sécurisés, Yvette T. Toïhen Béhanzin fait savoir qu’ils s’inscrivent dans le cadre de la confidentialité des données personnelles. Les codes d’accès permettent de vérifier que celui qui demande à accéder aux documents est la personne habilitée. Et de rassurer que les traitements de données sont effectués à l’Anip conformément à la réglementation en vigueur. Les sous-traitants sont sensibilisés également à en faire pareil et les contrevenants aux dispositions en vigueur sont sanctionnés.
Cet article a été rédigé par Aziz BADAROU dans le cadre de la Bourse de journalisme sur les IPN organisée par la Fondation des médias pour l’Afrique de l’Ouest et Co-Develop
Source : Matin Libre