Protection des données à caractère personnel: Les précautions et garanties du Code du numérique

Publié le vendredi 24 janvier 2020 | La Nation

© aCotonou.com par Didier ASSOGBA
MTN-BÉNIN « 21Days Of YelloCare »
Cotonou le 22 juin 2018. MTN-BÉNIN « 21Days Of YelloCare » avec le ministère d`Etat chargé du plan et du développement, le ministère de l’Enseignement Supérieur et de la Recherche Scientifique et le ministère de l’économie numérique et de la communication Photo : Aurelie Adam Soulé Epse Zoumarou, Ministre de l`Economie Numerique et de la Communication du Benin

Par Anselme Pascal AGUEHOUNDE,

La garantie de la confidentialité est ce qui rassure et protège l’utilisateur dans l’usage des canaux et moyens de communications électroniques. C’est pour renforcer cette assurance que la loi 2017-20 du 20 avril 2018 portant Code du numérique en République du Bénin consacre et prescrit la protection des données à caractère personnel et prévoit des sanctions en cas de manquement. Toutefois, cette garantie de confidentialité est soumise à quelques exceptions.

A la lecture du livre préliminaire du Code du numérique, il faut entendre par données à caractère personnel toute information de quelque nature que ce soit et indépendamment de son support, y compris le son et l’image, relative à une personne physique identifiée ou identifiable, ci-après dénommée personne concernée. Est réputée identifiable une personne qui peut être identifiée, directement ou indirectement notamment par référence à un identifiant, tel un prénom ou un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique. Au nombre de ces données, il y a également les données sensibles qui, dans le contexte du Code du numérique, désignent toutes les données à caractère personnel relatives aux opinions ou activités religieuses, philosophiques, politiques, syndicales, à la vie sexuelle ou raciale, à la santé, à la génétique, aux mesures d’ordre social, aux poursuites, aux sanctions pénales ou administratives.
Ordinairement, les opérateurs et fournisseurs de services ont l’obligation d’assurer l’intégrité de leurs installations. Ils doivent, en l’occurrence, garantir un état de sécurité assurant l’inviolabilité du réseau de communications électroniques, du système d’information ou équipement terminal. Aussi, doivent-ils s’assurer que les ressources et informations qui y sont stockées n’ont pas été altérées, modifiées ou détruites, d’une façon intentionnelle ou accidentelle, de manière à garantir leur exactitude, leur fiabilité et leur pérennité. En outre, à l’égard des données à caractère personnel, les opérateurs et fournisseurs ont davantage une obligation de transparence, de responsabilité, de sécurité et de confidentialité. « Le principe de transparence implique une information obligatoire et claire ainsi qu’intelligible de la part du responsable du traitement portant sur les données à caractère personnel. Les données à caractère personnel doivent être traitées de manière confidentielle et être protégées, notamment lorsque le traitement comporte des transmissions de données dans un réseau », stipules respectivement les articles 384 et 385. L’article premier du Code du numérique définit la confidentialité comme étant l’état de sécurité permettant de garantir le secret des informations et ressources stockées dans les réseaux et systèmes de communications électroniques, systèmes d’information et/ou des équipements terminaux, afin d’en prévenir la divulgation non autorisée à des tiers, par la lecture, l’écoute, la copie illicite d’origine intentionnelle ou accidentelle durant leur stockage, traitement ou transfert. « Les données à caractère personnel doivent être traitées légitimement ; collectées, enregistrées, traitées, stockées et transmises de manière licite, loyale, transparente et non frauduleuse; pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l’intéressé et des dispositions légales et réglementaires applicables…», renseigne l’article 383 du Code du numérique sur les conditions générales de licéité des traitements de données à caractère personnel et les obligations du responsable de traitement de ces données. Et l’article 452 de préciser que l’Autorité peut prononcer un avertissement à l’encontre du responsable du traitement qui ne respecte pas les obligations découlant des dispositions du Code. Elle peut également mettre en demeure le responsable du traitement de faire cesser le manquement constaté dans un délai fixé qui ne peut excéder huit jours.

Des sanctions prévues

Constituent des manquements graves, au titre du Code du numérique, les faits de procéder à une collecte déloyale de données à caractère personnel; communiquer à un tiers non autorisé des données à caractère personnel ; procéder à la collecte de données sensibles, de données relatives à des infractions ou à un numéro national d’identification sans respecter les conditions légales; procéder à la collecte ou à l’utilisation de données à caractère personnel ayant pour conséquence de provoquer une atteinte grave aux droits fondamentaux ou à l’intimité de la vie privée physique concernée ; empêcher les services de l’Autorité d’effectuer une mission de contrôle sur place ou faire preuve d’obstruction lors de la réalisation d’une telle mission. L’article 454 du Code du numérique prévoit des sanctions spécifiques pour ces manquements: «Lorsque le responsable du traitement ne se conforme pas à la mise en demeure, l’Autorité peut prononcer à son encontre, dans le respect du principe du contradictoire, les sanctions suivantes: une sanction pécuniaire, à l’exception des cas où les traitements sont mis en œuvre par l’État; une injonction de cesser le traitement des données à caractère personnel; un retrait définitif ou temporaire de l’autorisation accordée en application des dispositions du présent Livre; un verrouillage de certaines données à caractère personnel». Pour ce qui est de la sanction pécuniaire, le montant est proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement. «Lors du premier manquement, il ne peut excéder cinquante millions (50 000 000) de francs Cfa. En cas de manquement réitéré dans les cinq (05) années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, il ne peut excéder cent millions (100 000 000) de francs Cfa ou, s’agissant d’une entreprise, cinq pour cent
(5 %) du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de cent millions (100 000 000) de francs Cfa. Lorsque l’Autorité a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que la sanction pécuniaire s’impute sur l’amende qu’il prononce », stipule l’article 455. Mais la protection des données personnelles est soumise à des exceptions relevant des besoins d’enquête.

A propos des exceptions !

Au chapitre 4 du livre premier du code du numérique consacré aux données personnelles des utilisateurs, notamment à l’article 34, le législateur prévoit une exception à l’effacement ou l’anonymisation des données techniques en ces termes: « Suivant les modalités et dans les conditions prévues au Code de procédure pénale relatives à l’interception et à l’accès aux données par les autorités administratives ainsi qu’à l’article 595 du présent code, il peut être différé pour une durée maximale d’un (01) an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques en vue de leur communication aux autorités judiciaires et administratives visées à ces articles. Un arrêté du ministre chargé des communications électroniques, pris après avis de l’Autorité de protection des données à caractère personnel, détermine, dans les limites fixées par l’article 37, ces catégories de données et la durée de leur conservation, selon l’activité des opérateurs et la nature des communications». L’article 35 ajoute que pour les besoins de la facturation et du paiement des prestations de communications électroniques, les opérateurs peuvent, jusqu’à la fin de la période au cours de laquelle la facture peut être légalement contestée ou des poursuites engagées pour en obtenir le paiement, utiliser, conserver et, le cas échéant, transmettre à des tiers concernés directement par la facturation ou le recouvrement, les catégories de données techniques, par un arrêté du ministre chargé des communications électroniques pris après avis de l’Autorité de protection des données à caractère personnel.
Les opérateurs peuvent, en outre, réaliser un traitement de données relatives au trafic en vue de commercialiser leurs propres services de communications électroniques ou de fournir des services à valeur ajoutée, si les utilisateurs y ont préalablement et expressément consenti, et pour une durée déterminée. Cette durée ne peut, en aucun cas, être supérieure à la période nécessaire pour la fourniture ou la commercialisation de ces services. Ils peuvent également conserver certaines données en vue d’assurer la sécurité de leurs réseaux. L’article 37 précise que les données conservées et traitées portent exclusivement sur l’identification des utilisateurs, sur les caractéristiques techniques des communications assurées par les opérateurs et sur la localisation des équipements terminaux. Elles ne peuvent en aucun cas porter sur le contenu des correspondances échangées ou des informations consultées, sous quelque forme que ce soit, dans le cadre de ces communications. « Par ailleurs, sous réserve des nécessités d’enquêtes judiciaires et de police, ou pour les besoins de la sécurité publique ou de la défense nationale, les données permettant de localiser l’équipement terminal de l’utilisateur ne peuvent ni être utilisées pendant la communication à des fins autres que son acheminement, ni être conservées ou traitées après l’achèvement de la communication qu’avec le consentement de l’utilisateur, dûment informé des catégories de données en cause, de la durée du traitement, de ses fins et du fait que ces données seront ou non transmises à des tiers», relève l’article 36.

Commentaires

Dans le dossier

NTIC

Dans le sous-dossier