INTERVIEW AVEC ME LUCIANO HOUNKPONOU, PRÉSIDENT DE L’AUTORITÉ DE PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL (APDP)

Publié par Hervé KPONON à 2 avril 2024

Catégories

ÉVÉNEMENTS

Mots clés

1- Qu’est-ce que l’Autorité de Protection des Données Personnelles ? Quelles sont ses missions ?

L’Autorité de Protection des Données à caractère Personnel (APDP) est une autorité administrative indépendante qui est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte à l’identité humaine, aux droits de l’Homme, à la vie privée, aux libertés individuelles ou publiques. Elle est consacrée par le livre Vème de la loi n° 2017-20 du 20 avril 2018 portant Code du numérique telle que modifiée par la loi n°2020-35 du 06 janvier 2021.

L’APDP est une autorité administrative indépendante, dotée de la personnalité juridique, de l’autonomie administrative, financière et de gestion.

Ce statut a plusieurs implications :

« …la personnalité juridique… » : capacité juridique, aptitude à avoir des droits et des obligations, responsabilité pénale de l’institution peut être engagée.

« …l’Autonomie administrative et financière… » : administration libre et sans contraintes excessives ;

« …l’Autonomie de gestion … » : indépendance dans la gestion (modalité de recrutement des agents et gestion du personnel…) ;

« …Budget… » : Il est alloué annuellement à l’Autorité des crédits nécessaires à son bon fonctionnement. Ces crédits sont inscrits au budget de l’État. L’Autorité peut recevoir des subventions de la part des organisations internationales dont l’Etat est membre et de tous autres organismes légalement constitués. Elle peut également bénéficier de ressources propres issues de l’exercice de ses activités.

L’Autorité est composée de huit (08) membres qui en session plénière procèdent à l’élection d’un Bureau composé d’un Président et d’un Rapporteur.

L’APDP a pour missions :

Informer, orienter et conseiller les citoyens et responsables de traitement sur leurs droits et devoirs ;
Recevoir et instruire les dossiers (déclarations, autorisations, réclamations, pétitions et plaintes relatives à la mise en œuvre des traitements des données à caractère personnel) puis, informer leurs auteurs des suites données à celles-ci notamment si un complément d’enquête ou une coordination avec une autre autorité ou structure de protection nationale est nécessaire ;
Émettre de sa propre initiative des avis motivés ou des recommandations sur toute question relative aux principes fondamentaux de la protection de la vie privée ;
Veiller à ce que les responsables de traitement garantissent les droits des personnes concernées ;
Recenser et contrôler les fichiers gérés par les responsables de traitement ;
Sanctionner ou faire sanctionner par les juridictions compétentes.

2- Qu’appelle t’on donnée personnelle et quelles sont les différentes catégories de données personnelles ?

On désigne par donnée personnelle, toute information permettant d’identifier directement ou indirectement une personne physique. Au Bénin le code du numérique y intègre le son et l’image en précisant que la nature de l’information importe peu de même que le support dès lors qu’elle est relative à une personne physique identifiée ou identifiable à travers des éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale, économique ou numérique.

Exemples : le nom, le prénom, la date de naissance, le numéro de téléphone, le numéro matricule permettent d’identifier directement une personne ;

L’adresse postale, le numéro de sécurité sociale, la plaque d’immatriculation, l’adresse IP du terminal, permettent d’identifier indirectement une personne.

Nous distinguons les données personnelles dites simples (nom, prénom, numéro de téléphone…et les données personnelles sensibles (groupe sanguin, code ADN, empreinte digitale…)

3- Le traitement de toutes les données personnelles est-il soumis à une autorisation préalable de l’APDP ?

Au Bénin tout traitement de données personnelles est soumis à une autorisation préalable de l’APDP conformément à l’article 405 du code du numérique qui dispose : « Les traitements automatisés ou non automatisés exécutés par des organismes publics ou privés et comportant des données à caractère personnel doivent, préalablement à leur mise en œuvre, faire l’objet d’une déclaration préalable auprès de l’Autorité ou être inscrits dans un registre tenu par la personne désignée à cet effet par le responsable du traitement ».

4- Qu’est-ce que l’obligation de mise en conformité ? cette obligation fait-elle l’objet d’une consécration par le code du numérique ?

La mise en conformité est l’état d’un organisme ou d’une entité qui s’accorde ou se met en parfaite harmonie à l’égard des prescriptions légales et réglementaires contenues dans le code du numérique.

Le responsable de traitement qui veut mettre son activité en conformité avec les dispositions du Livre Vème du code du numérique, amorce ladite mise en conformité par l’adresse d’une requête à l’APDP.

Différentes étapes de la procédure de mise en conformité seront suivies par le requérant jusqu’à l’obtention d’un certificat de mise en conformité.

Les articles 380 et 405 du code du numérique consacrent cette obligation de mise en conformité.

5- Comment pouvez- vous décrire la procédure de mise en conformité et les délais légaux ?

La procédure de mise en conformité pour sa concrétisation exige de la part du Responsable de traitement la constitution d’un dossier. Ledit dossier est constitué de trois (03) éléments principaux que sont : le/les formulaires, les pièces justificatives (dont la liste est disponible sur le site web de l’APDP https://apdp.bj/), une lettre introductive de la requête. Ce dossier une fois constitué doit être déposé au Service Accueil et Orientation des Usagers de l’APDP ou transmis par mail à contact@apdp.bj.

Le dossier est ensuite transmis au Service Conformité pour étude et diligences. Un rapport d’instruction est alors rédigé et soumis à l’appréciation des Conseillers de l’Autorité qui siègent en sessions plénières au moins deux (02) fois par mois. A l’issue de l’examen des requêtes, une décision contenant des injonctions, recommandations et rappels est notifiée au demandeur dans un délai de deux (02) mois à compter du dépôt du dossier.

6- Quelles sont les obligations à la charge du responsable de traitement ?

Les obligations du Responsable de traitement sont :

Obligation de déclarer le traitement de données personnelles auprès de l’APDP ;

Obligation d’information : elle consiste à enjoindre aux responsables de fichiers de communiquer à l’Autorité toutes informations utiles sur les fichiers informatiques qu’ils utilisent ;

Obligation d’assurer la confidentialité et la sécurité des données traitées (art 425 et 426 CDN) ;

Obligation de respecter des différents droits des personnes concernées par le traitement (droit à l’information préalable, droit d’accès, de rectification et de suppression, droit d’opposition, etc) ;

Obligation de tenir un registre des activités liées au traitement (document dont le modèle est disponible sur le site web de l’APDP – art. 435 CDN) ;

Obligation d’établir un rapport annuel à transmettre à l’APDP.

7- Existe-t-il au niveau de l’APDP un dispositif permettant aux victimes de dénoncer les violations constatées sur leurs données personnelles?

Il existe au niveau de l’APDP un dispositif permettant aux victimes de violations sur leurs données personnelles de faire des dénonciations : Il s’agit des plaintes.

La plainte est généralement reçue sous forme écrite adressée au Président de l’APDP pour permettre aux personnes qui ont subi des violations, des manquements sur leurs données personnelles de porter ces faits devant l’Autorité pour que des suites de droits soient accordées à leur cas.

Il faut rappeler que la plainte est prise en charge assez diligemment par les services techniques dans un délai compris entre 24h et 48h après réception. Généralement pour le traitement des plaintes, les plaignants sont invités à fournir les informations complémentaires nécessaires à l’instruction de ladite plainte. Outre ces informations, les services techniques font également les vérifications et interpellations nécessaires pour que les dispositions du code soient appliquées aux auteurs de violations.

La procédure de résolution des plaintes n’est toujours pas la même. Elle varie en fonction de la gravité des cas. Dans le cas où les violations liées aux données personnelles sont constatées, certaines plaintes après la phase d’instruction (enquête, vérifications techniques ou contrôle sur site) sont réglées par les services techniques. Par contre quand les violations commises sont assez graves, le dossier d’instruction de la plainte est transmis à la plénière de l’APDP qui est l’instance décisive. Ainsi le(s) plaignant(s) et les auteurs sont invités et écoutés jusqu’à l’instruction définitive du dossier où la plénière prend une décision (de sanction ou d’avertissement). La décision prise par la plénière est toujours notifiée aux parties pour son exécution. Il est important de préciser qu’en attendant la décision de l’APDP des mesures sont prises pour faire cesser les violations constatées.

Dans le cas où aucune violation sur les données personnelles n’est constatée, l’APDP se dessaisit et renvoie les plaignants à mieux se pourvoi devant les autorités administratives ou juridictions compétentes.

8- Quel est le mécanisme par lequel l’APDP applique la loi aux auteurs de violations du régime de protection de données personnelles au Bénin ?

L’APDP applique la loi aux auteurs de violations au régime de protection de données personnelles à travers les sanctions que les dispositions du code du numérique ont prévu. Notons que l’Autorité a le pouvoir conformément aux dispositions de l’article 483 point 16 de prononcer des sanctions lorsque des manquements graves au code du numérique ont été constatés. Dans ce cas, l’APDP effectue des contrôles à distance, sur pièces, et sur site pour s’assurer que les technologies de l’information et de la communication ne portent pas atteinte aux libertés individuelles des citoyens vivant en République du Bénin. Lorsque les manquements sont constatés alors l’Autorité sanctionne.

9- Quelles sont les sanctions encourues ?

Pour revenir aux sanctions encourues par les auteurs de violations, l’APDP peut d’abord prononcer des avertissements ou mettre en demeure l’auteur de la violation d’avoir à faire cesser le manquement dans un délai de 08 jours à compter de sa réception. Elle peut aussi prononcer des sanctions pécuniaires, des injonctions de faire cesser le traitement de données personnelles, décider de retirer temporairement ou définitivement l’autorisation accordée et de verrouiller certaines données.

10- Comment se déroule la procédure et l’organisation des sessions contentieuses au sein de l’APDP ?

L’Autorité se réunie en session siégeant en contentieuse au moins une fois par mois pour connaitre des dossiers du contentieux et prononcer les sanctions prévues par la loi selon le cas. Le déroulement de cette session s’effectue conformément aux dispositions du code du numérique et dans le respect du principe du contradictoire. A cet effet, une fois que le rapport d’instruction (dans lequel est consigné les faits ou manquements reprochés, le rappel des faits, et les sanctions prévues par la loi) est notifié avec toutes les pièces y jointes, le responsable de traitement ou auteur du manquement dispose alors d’un délai de quinze (15) jours à compter de sa réception pour faire ses observations éventuelles, conformément à l’article 457 du code du numérique.

Passé ce délai légal, le dossier peut être programmé en session contentieuse à la date fixée par le Bureau de l’APDP. Avant la date de la session, une lettre d’invitation est envoyée aux personnes concernées indiquant la date et l’heure de passage de leur dossier avec la possibilité pour ces dernières de se faire représenter (conseils, ou toutes autres personnes).

Le jour de la session, les dossiers sont appelés en fonction de l’ordre sur l’avis de session dûment signé par le Président de l’Autorité, et les personnes invitées font leur entrée dans la salle délibération suivant cet ordre. Ainsi, les débats sont ouverts et chaque responsable de traitement ou son représentant est écouté à la suite du rappel des faits du dossier par le Bureau et des préoccupations ou questions posées par le Président de la session contentieuse et les Conseillers. Lorsque l’instruction du dossier est terminée, le dossier est mis en délibéré.

Dans les cas où le dossier nécessite une instruction complémentaire, il est renvoyé à une date ultérieure (prochaines sessions) jusqu’à la fin de l’instruction. La phase du délibéré quant à elle intervient en dernier lieu après la fin de l’instruction et des débats en plénière. L’Autorité vide le délibéré et prononce sa décision si le quorum des conseillers présent est atteint. La procédure contentieuse ainsi terminée par le prononcé de la décision, copie de cette décision après rédaction est notifiée à la personne concernée pour exécution.

11- Quelles sont les actions qui ont été menées par l’APDP en vue d’informer, sensibiliser et accompagner les responsables de traitement du secteur public et du secteur privé ?

Diverses actions ont été initiées par l’APDP en collaboration avec le Commissaire du Gouvernement près l’APDP en vue de vulgariser ses compétences, d’informer, sensibiliser et accompagner les responsables de traitement du secteur public et du privé.

Il s’agit notamment de :

Information et sensibilisation des responsables des différents ministères ;

Organisation de séances d’information, sensibilisation, assistance au remplissage des différents formulaires des acteurs du secteur de la santé, du clergé, des banques et autres établissement financiers (SFD, etc) en présentiel et en ligne ;

Assistance des usagers/responsables de traitement par les agents techniques de l’APDP en présentiel et en ligne ;

Séances d’information et sensibilisation sur la problématique de la protection des données personnelles à l’endroit des photographes, des assistants-sociaux ;

Formation des collectivités territoriales dans tous les chefs-lieux de département sur la mise en conformité avec le régime de protection des données personnelles en vigueur au Bénin ;

Formation des acteurs du secteur public sur le régime de protection des données personnelles ;

Formation des acteurs du secteur de la santé sur le régime de protection des données personnelles ;

Formation des acteurs du secteur financier sur le régime de protection des données personnelles ;

Formation des Délégués à la Protection des Données Personnelles (chaque année depuis 2021)

Sensibilisation à l’éducation au numérique dans les écoles, collèges, universités publics et privés ;

Émissions radiodiffusées et télévisées sur les thématiques en lien avec les missions de l’Autorité ;

Organisation d’une journée de réflexion avec les acteurs de l’écosystème du numérique ;

Participation à des ateliers, forums, panels sur des thématiques en lien avec la protection des données personnelles ;

Commémoration chaque année de la journée du 28 janvier, consacrée à la protection des données personnelles…

Il sied d’indiquer que bientôt débuteront des séances/informations/sensibilisations relatives à plusieurs thématiques dont la liste sera disponible à l’APDP. Séances ouvertes au public et dont le planning sera publié, il reviendra aux participants après avoir choisi la/les thématiques qui les intéressent de s’inscrire.

12- Comment contacter l’APDP ?

L’APDP peut être contacter par :