La protection des données à caractère personnel reste une préoccupation majeure au Bénin. Mise en place par le gouvernement béninois depuis quelques années, l’Autorité de protection des données à caractère personnel (Apdp) s’est vu assigner la mission de veiller à une utilisation responsable et consentie desdites données. Dans un entretien exclusif accordé à votre journal, Judicaël Tandjiekpon, Conseiller à l’Autorité de Protection des données à caractère personnel (Apdp) nous en parle. Lisez plutôt !
Que peut-on comprendre concrètement par les données à caractère personnel ?
Les données personnelles, ce sont des informations qui permettent d’identifier une personne physique de façon directe ou indirecte. C’est-à-dire, du moment où on note une information qui permet de vous identifier, cela constitue déjà une donnée personnelle. Ces données peuvent inclure, par exemple, des données nominatives comme le nom, prénom, votre adresse, numéro de téléphone, votre email y compris même des données de localisation dont votre adresse IP. Ensuite, il y a les données plus sensibles, par exemple les données biométriques, de santé, de condamnation pénale, des données qui indiquent votre religion, votre ethnie. Ce sont des données sensibles. Globalement, voilà ce qu’on entend par données personnelles en République du Bénin.
Pourquoi alors le besoin de protection de ces données à caractère personnel ?
Actuellement, avec l’évolution des nouvelles technologies, on a constaté que de plus en plus, nous, en tant qu’utilisateurs de ces nouvelles technologies, nous fournissons beaucoup plus de données à caractère personnel. Aujourd’hui, vous n’êtes pas sans savoir que nous avons les réseaux sociaux comme facebook, twitter (X désormais), tiktok et autres qui collectent massivement des données à caractère personnel auprès des personnes comme vous et moi. Donc, il faut impérativement, pour réguler tout cela, une autorité qui va permettre d’instaurer un cadre légal pour pouvoir nous protéger vous et moi contre l’utilisation abusive de ces données. Donc, c’est vraiment l’enjeu qui a motivé la protection des données à caractère personnel.
Que peut-on retenir concrètement des dispositions légales encadrant la protection desdites données au Bénin?
Déjà, il faut remonter à l’historique. L’Autorité a été mise en place en 2010 mais déjà, il y a eu le Code du numérique, le premier code du numérique, c’est un décret, le décret 2009-09 qui a été modifié en 2017 par décret 2017-20 et ce décret offre un cadre légal pour la protection des données à caractère personnel…Et la section qui parle des données à caractère personnel, c’est le livre V du Code du numérique. Lorsque vous prenez le code du numérique qui est le document de référence par rapport à tout ce qui est numérique au Bénin, vous allez au livre V, vous avez toutes les informations nécessaires encadrant l’utilisation des données à caractère personnel…Le cadre règlementaire en matière de protection des données à caractère personnel au Bénin est constitué de lois qui incluent des décrets.
Ces dispositions sont-elles suffisamment vulgarisées au Bénin ?
Bien sûr ! ces dispositions légales sont suffisamment vulgarisées. Je crois que vous-même, vous avez été forcément sensibilisé et je crois que vous avez entendu parler de l’Apdp. Beaucoup entendent parler de l’Apdp à travers ces campagnes de sensibilisation. En tout cas, la mandature actuelle dont j’en fais partie, nous avons mis l’accent sur la sensibilisation, la sensibilisation aussi bien au niveau du secteur public que du privé…Globalement, nous mettons en œuvre des campagnes de sensibilisation, de formation et même nous sortons parfois des documents de référence que nous publions à travers des journaux etc. Ce que nous avons constaté, c’est qu’avec ces campagnes de sensibilisation, il y a plus de requérants, de responsables de traitement qui se manifestent pour déclarer les données à caractère personnel qu’ils manipulent. Nous avons les effets qui commencent par se faire sentir de plus en plus.
Qu’en est-il des cas récurrents de violation des dispositions relatives à la protection des données personnelles ?
Merci monsieur le journaliste. Déjà, nous avons la collecte et le traitement illégal de données à caractère personnel. Nous avons par exemple la divulgation non autorisée de données à caractère personnel. Nous avons par exemple, le non-respect des droits des individus en ce qui concerne des données à caractère personnel. Il y a des droits fondamentaux, par exemple le droit à l’information préalable, à l’oubli, à la modification, le droit à la suppression. Il y a pas mal de droits aujourd’hui que vous en tant que personne physique, que vous avez dans le cadre des données à caractère personnel qui, malheureusement ne sont pas respectés par les responsables de traitement. Il y a également l’aspect sécuritaire, c’est-à-dire parfois les données sont mal protégées et sont exposées aux pirates, ce qui fait que vous pouvez avoir des pertes de données. Donc c’est des cas que nous traitons souvent parfois à travers des plaintes des usagers qui viennent porter plainte. Vous pouvez directement venir à l’Apdp déposer plainte et nous traitons souvent ces cas et nous leur donnons une réponse. Je profite pour alerter la population. Si on viole l’utilisation de vos données, vous avez la possibilité de vous rapprocher de l’Apdp pour pouvoir déclarer l’incident et avec notre équipe technique, nous essayons d’identifier ce qui s’est passé et situer les responsabilités. Je profite aussi pour dire que l’Apdp a tous les pouvoirs aujourd’hui, et çà c’est l’une des attributions de l’Apdp, de sensibiliser, de contrôler et même de sanctionner.
Parlez-nous de la procédure pour saisir l’Apdp…
Pour pouvoir saisir l’Apdp, il y a plusieurs manières. Vous pouvez aller sur le site apdp.bj, il y a un formulaire de plainte qui est disponible. Vous recherchez le formulaire et vous le remplissez. Vous décrivez un peu l’objet de votre plainte et vous envoyez. La deuxième manière, nous avons un numéro vert qui est également disponible sur le site. Vous appelez le numéro vert et vous déclarez l’incident. Une fois que vous avez déclaré, nous restons en contact avec vous pour échanger avec vous sur l’incident et si possible, nous nous déplaçons au niveau du responsable du traitement pour contrôler ses activités, pour constater l’incident. Et suite à cela, nous essayons d’identifier les responsabilités et si possible, il y a plusieurs conséquences. Parfois on arrête le traitement à l’origine de cette violation, parfois on peut donner aussi un avertissement et parfois cela peut être une condamnation pénale et qui peut déboucher sur une sanction.
Parlez de quelques plaintes reçues par l’Apdp et leur issue…
Pour des raisons de confidentialité, je ne vais pas vous donner les responsables de traitement concernés mais je peux quand même vous parler d’une situation concernant par exemple…un étudiant dont les données ont été divulguées sur les réseaux sociaux à son insu. Et il n’arrivait pas à supprimer ces données, c’est-à-dire une personne tierce a divulgué des informations sensibles sur l’étudiant et il n’arrivait pas à supprimer les données. Il a essayé de contacter celui qui est à l’origine de la publication mais il n’a pas eu vraiment satisfaction et il s’est rapproché de nous.
Nous avons essayé de contacter l’auteur et il est venu à l’Apdp et nous avons organisé une session que nous appelons session à contentieux. Durant cette session, on l’a audité et on lui a infligé une sanction. Et nous avons tout fait pour arrêter le traitement, la publication.
Un autre cas, aujourd’hui, il y a des gens qui se lèvent et qui se proposent pour vous faire votre passeport, carte biométrique, qui vous disent d’envoyer vos informations, actes de naissance et autres. Ils ouvrent une petite boutique et commencent par devenir un opérateur de passeport, de carte biométrique, acte de naissance sécurisé etc. Nous avons connu un cas comme çà ou le monsieur, il a ouvert sa boutique et il faisait ces genres d’opérations. Malheureusement, les données qu’il collectait chez les bénéficiaires, ces données à un moment donné, des données d’un bénéficiaire se sont retrouvées sur internet. Et le bénéficiaire n’avait pas donné son consentement par rapport à cela. Le bénéficiaire a porté plainte à l’Apdp et nous avons saisi l’incident en contentieux et finalement, celui qui a été responsable, nous avons arrêté ses activités.
Si un bénéficiaire vient vous remettre ses informations, il faut avoir la présence d’esprit de pouvoir lui demander son consentement, un consentement éclairé et pas d’ambiguïté et que ce ne soit pas un consentement déguisé ou bien mal exprimé qui peut induire en erreur.
Existe-t-il déjà des décisions de justice concernant la violation des dispositions relatives à la protection des données personnelles ?
Bien sûr ! Il existe plusieurs décisions de justice en la matière. Déjà, il faut comprendre que l’Apdp est une institution qui a le pouvoir de rendre une décision de justice mais par exemple, quand nous sanctionnons, la décision est déjà un préalable à une décision de justice. Maintenant, celui que nous sanctionnons à la possibilité de faire un recours auprès du tribunal…La loi prévoit des sanctions qui peuvent aller de 0 jusqu’à 50 millions fcfa pour un premier incident. Si vous recommencez, on vous sanctionne de 50 millions à 100 millions. Aujourd’hui, tout est vraiment cadré et on peut vous dire que nous avons vraiment sanctionné des gens à hauteur de beaucoup de millions Cfa.
Les béninois peuvent-ils être rassurés quant à la protection de leurs données personnelles ?
Il y a un cadre au Bénin qui règlemente l’utilisation des données à caractère personnel au Bénin mais chaque personne est responsable de l’utilisation de ses données personnelles. Quand on vous présente un formulaire sur un site, vous avez la liberté de remplir ce formulaire ou non. Donc du moment où vous consentez à remplir ce formulaire et partager ces données avec un responsable de traitement ou bien une personne tierce, vous vous exposez. Le conseil que je peux donner est que certes, il y a une Autorité qui joue le rôle de protecteur de ces données mais chaque personne au Bénin en tant que personne physique doit être responsable aussi de ses données personnelles et savoir la finalité de l’utilisation des données avant de commencer par les fournir. Parce que quand on finit de remplir un formulaire et qu’on l’envoie, l’utilisation que les responsables du traitement en font, nous ne maîtrisons plus. Malheureusement, il y a des dérives et des abus.
Doit-on dire que les sanctions en la matière se limitent seulement aux amendes ?
A part les amendes, l’Apdp peut faire arrêter un traitement. Imaginez par exemple, vous avez une activité, je prends par exemple les opérateurs GSM qui aujourd’hui ont quand même des activités florissantes. Si l’un de ses opérateurs ne respecte pas tout ce qui est dispositions légales en ce qui concerne la protection des données à caractère personnel, l’Apdp a le pouvoir de faire arrêter le traitement…Et nous l’avons déjà fait plusieurs fois à certains traitements. Je vous donne un exemple très simple, vous avez constaté à un certain moment, les opérateurs GSM quand il vous envoie un message, ils mettent toujours à la fin de ce message, si vous voulez stopper ou “si vous ne voulez plus recevoir ce message“. Et ça vous donne la liberté de dire je ne veux plus recevoir ce message parce que c’est l’utilisation de mon numéro qui est une donnée personnelle qui fait que je reçois ce message. On a la possibilité de sanctionner et parfois, on travaille avec la police, les juridictions, le ministère de la justice pour parfois aller à des condamnations pénales.
Des informations complémentaires ?
Je vais simplement présenter très brièvement les types de demande qu’une personne physique peut faire à l’Apdp, c’est-à-dire quels sont les scénarios qui peuvent faire que vous allez être amené à rentrer en contact avec l’Apdp. Du moment où vous êtes en République du Bénin et que vous collectez les données de béninois, ne serait-ce que le nom ou n’importe quelle information qui permette d’identifier de façon directe ou indirecte un individu, vous devez forcément faire ce qu’on appelle les formalités préalables à l’Apdp. Si c’est des données simples ou nominatives, vous faites une déclaration simple à l’Apdp. Mais du moment où vous collectez des informations sensibles, par exemple le groupe sanguin, données biométriques, des empreintes digitales et tout, les données à caractère religieux, des données en lien avec la condamnation pénale, toutes ces données sont des données sensibles et dans ces cas, vous devez faire une demande d’autorisation. Et la demande d’autorisation, elle est mise en œuvre avant même le traitement…Le dernier scénario, c’est au cas où vous avez fait le traitement et vous souhaitez faire un transfert vers un pays tiers par exemple, vous devez aussi faire une demande d’autorisation.
En dehors des données qui sont collectées, il y a aussi des données visuelles, tout ce qui est image, visuel, vidéo, les caméras de vidéosurveillance. Aujourd’hui ça pullule un peu partout dans la ville de Cotonou alors que celui qui installe le dispositif de vidéo-surveillance, il est déjà en infraction. C’est-à dire du moment où vous filmez déjà par exemple la voie publique vous filmez les gens sans leur consentement.
Propos recueillis par Aziz BADAROU