Protection des données personnelles au Bénin : “On ne donne pas toute sa vie à un équipement sans prendre des précautions” (Yvon Détchénou)
Toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement s’appelle donnée à caractère personnel. C’est la matière sur laquelle travaille l’Autorité de Protection des Données Personnelles au Bénin (APDP). Profitant de la journée mondiale de protection des données personnelles, journée célébrée le 28 janvier dernier, le premier responsable de la structure, Yvon Détchénou évoque, dans un entretien accordé à la Radio nationale, les risques de perte de données, leur protection ainsi que la méthode de saisine de l’Autorité.
Que peut-on comprendre par « données personnelles » ?
Les données à caractère personnel sont des informations, des éléments identifiant une personne de manière plus ou moins directe et définitive. Autant que vous existez en tant que personne physique, vous avez des données ; en tant que personne morale, vous avez des dirigeants qui ont des données personnelles.
Qui a le pouvoir de collecter les données personnelles d’un individu ?
Cela dépend ! Vous avez des administrations qui ont le devoir de le faire pour des services publics. Vous avez des entreprises qui ont des besoins pour identifier leurs clients ou identifier des services qu’ils fournissent pour effectuer des ciblages marketing. Vous avez des sites internet ou des promoteurs de sites qui doivent le faire également parce que vous visitiez ou parce qu’ils veulent faire des statistiques sur leur site. Il y a le médecin qui doit en prendre pour vous identifier, pour connaître votre groupe sanguin, pour savoir comment vous soigner.
Comment protéger ses données personnelles par soi-même ?
Ce sont précisément toutes ces possibilités que nous détaillons sur notre site, dans la rubrique « accès à l’éducation numérique ». C’est tout simple ! La protection passe par le mot de passe pour lequel nous donnons des modalités de création par exemple, ou encore la confidentialité sur votre téléphone, l’accès d’une application à vos images ou à votre micro.
Le Bénin dispose d’un régime de protection des données à caractère personnel. De quoi s’agit-il réellement ?
Le régime de protection date de 2009, c’est donc assez ancien. Cette loi a été modifiée en 2017 avec l’adoption du code du numérique. Et donc aujourd’hui, en termes de régime de protection, vous avez à la fois des obligations qui sont faites à l’ensemble des responsables de traitement ; donc toutes les personnes qui, d’une manière ou d’une autre, font de la collecte de données personnelles qui en décident des moyens, des finalités ; vous avez aussi les régimes de traitement des différentes données, une classification et derrière cette classification, des modalités qui doivent s’appliquer suivant le type de données. Ce n’est pas le même régime lorsqu’on est sur des données sensibles comme des données de santé, ou des données biométriques. Vous avez ensuite des régimes légaux de traitement de ces données qui sont, soit des procédures allégées lorsque les données ne sont pas extrêmement impactantes ; des régimes qui sont plus lourds lorsqu’il faut apprécier la proportionnalité du traitement par rapport à la finalité.
Dans quel cas une personne peut-elle refuser qu’on collecte ses données personnelles ?
C’est simple ! Lorsque vous allez aujourd’hui sur internet et que vous voulez visiter un site ou tout au moins des sites qui sont en français aujourd’hui qui sont sous une destination donnée, on vous demande systématiquement d’accepter l’installation de cookies ou de refuser. Vous êtes libre de refuser et la personne qui vous laisse voir son site est libre de dire si vous refusez, je ne vous donne pas accès.
Quelle est la stratégie développée par l’APDP pour bien jouer son rôle afin de rassurer les Béninois ?
En réalité, les personnes doivent prendre leur protection en main. Que ce soit à l’égard de personne qui traite des données au Bénin ou des personnes qui, de l’étranger traite des données de Béninois. Et à ce moment-là, nous veillons à la fois à ce que les conditions de transfert de données soient réciproques. Nous veillons à ce que les données qui sont collectées ici ne soient pas utilisées à des fins secondaires ailleurs et nous essayons de faire en sorte que nous ayons une efficacité de régime de protection.
La loi donne-t-elle la possibilité au citoyen de saisir votre structure ? Et en cas de violation, quelle est la procédure ?
Nous avons ouvert toutes les possibilités pour cela. Que ce soit par simple message dans une boîte mail ou en allant sur notre site internet et en cliquant sur l’onglet « plaintes » ou même en se rendant à notre guichet pour signaler ou encore en écrivant une simple lettre. Et ce sera pour dire les circonstances dans lesquelles ses données ont été collectées et se sont retrouvées à tel endroit. J’ai demandé à exercer mes droits, je n’ai pas eu de suite. Nous prenons en ce moment-là le relais pour demander au service de traitement de faire en sorte que les droits soient respectés.
Depuis sa création, est-ce que l’autorité de protection des données personnelles a déjà rendu des décisions ?
Il y a eu des décisions de sanction des responsables de traitement qui n’ont pas fait les déclarations annuelles par rapport à leur registre, par rapport aux traitements qu’ils opèrent. Il y a des décisions qui ont sanctionné des personnes qui faisaient de la prospection directe sans l’autorisation des personnes prospectées. Il y a des décisions qui ont sanctionné également des opérateurs qui ont exposé des données de Béninois sur des sites internet.
Finalement, quelle relation faudrait-il avoir aujourd’hui avec les TIC ?
On ne donne pas toute sa vie à un équipement sans prendre des précautions de configuration, sans prendre des précautions de sécurité. Et donc, l’idée, c’est de faire en sorte que lorsque vous prenez un objet connecté ou un ordinateur et téléphone, vous puissiez savoir exactement les risques que vous prenez par rapport à vos données personnelles et que vous puissiez mettre en œuvre les configurations qu’il faut pour vous préserver contre ces risques.
En vérité, lorsque vous touchez d’une manière ou d’une autre, un équipement informatique, vous laissez systématiquement des traces numériques ; et donc il faut que votre empreinte que vous laissez puisse être pesée et que vous sachiez exactement ce que vous voulez donner ou non, et quand vous donnez, comment est-ce que c’est protégé pour que vous puissiez protéger votre vie privée.
Transcription : Kiki T.