Sites web au Bénin : l’Autorité de contrôle plus regardant
Le ton monte à l’Autorité béninoise de Protection des Données à caractère Personnel au sujet de la sécurité des sites web
« L’Autorité, en sa plénière a décidé de rejeter votre dossier à cause des vulnérabilités constatées au niveau du domaine du site web… ». Voilà une phrase à laquelle devront s’habituer les responsables de traitement des données personnelles, détenteurs de sites web au Bénin.
L’Autorité de Protection des Données Personnelles (APDP) ne se satisfait plus de simples diligences administratives préalables à la mise en œuvre d’un traitement de données personnelles via un site web. La sécurité du site web doit être garantie et exempte de vulnérabilités.
Le contexte
En effet, pour mettre en œuvre un traitement des données personnelles au Bénin, il faut procéder à la déclaration préalable auprès de l’APDP. Cela se fait à travers le remplissage d’un formulaire unique disponible sur le site de l’Autorité.
Une fois la déclaration soumise, l’Autorité, de par ses prérogatives, peut accepter ou rejeter la déclaration de traitement. Le rejet signifiant que le Responsable de traitement n’a pas le feu vert pour mettre en œuvre son traitement.
L’Autorité tire cette prérogative de l’article 456 du Code du numérique. Selon les dispositions de l’article, « toute sanction prononcée par l’Autorité peut être assortie d’une injonction de procéder, dans un délai qui ne peut excéder huit (08) jours, à toute modification ou suppression utile dans le fonctionnement des traitements de données à caractère personnel, objet de la sanction. ».
Une nouveauté dans la pratique de contrôle des sites web par l’Autorité
Si la prérogative utilisée par l’Autorité de contrôle est légalement instituée, il est important de noter que l’exercice de cette prérogative est une nouveauté pour les responsables de traitement.
Auparavant, à condition que les conditions générales de licéité de traitement des données personnelles soient respectées, l’Autorité enregistrait la déclaration. Elle ne procédait pas systématiquement à une analyse approfondie du support de traitement pour en révéler d’éventuelles brèches.
Cette époque est désormais révolue. L’Autorité adopte une nouvelle approche avec un message clair et fort. Elle se résout à instaurer une pratique améliorée de la protection des données à caractère personnel au Bénin. Et pour cela, elle ne compte plus lésiner sur les moyens. Et les responsables de traitement auraient dû la voir venir.
Une nouveauté prévisible concernant la sécurité des sites web
Depuis un an, dans ses injonctions suivant les autorisations de mises en œuvre de traitement, l’Autorité insiste sur la mise en place d’une politique de sécurité des systèmes d’information (PSSI).
Cette exigence est consécutive à l’entrée en vigueur fin 2021 de la politique de sécurité des systèmes d’information de l’Etat. Le fait est que, récemment, l’APDP s’est rapprochée de l’Agence de Sécurité des Systèmes d’Information (ASSI) désormais fondue au sein de l’Agence des Systèmes d’Information et du Numérique (ASIN).
A travers ce rapprochement, un meilleur alliage institutionnel de l’écosystème de la gouvernance numérique était déjà donc perceptible. L’APDP semble donc s’être vue confier la mission de contrôle en amont des infrastructures numériques de traitement des données personnelles.
Et, les détenteurs de sites se seraient bien avisés de s’attendre à un changement de paradigme dans la surveillance de leurs traitements.
Adieu donc l’amateurisme et place au professionnalisme. Désormais, aucune vulnérabilité ne survivra au passage de l’APDP.
L’ouverture d’esprit de l’Autorité
L’Autorité ne se comporte pas en robot. Elle reste ouverte à l’amélioration. Dans ces correspondances notifiant les rejets de dossier de déclaration, elle laisse la possibilité aux responsables de traitement. Elle enjoint notamment le responsable de traitement concerné à « mettre en place les mesures de sécurité adéquates sur le site web et à en justifier à l’Autorité pour les suites de la demande ».
Cette « ouverture d’esprit » démontre à nouveau qu’elle reste conciliante en tout temps. Elle n’ambitionne pas d’empêcher les projets technologiques de tourner en rond. Aux responsables de traitement donc, d’agir promptement pour assurer la survie et la poursuite de leurs projets.
Que fait-on maintenant ?
Pour ce faire, le responsable de traitement visé par une telle correspondance de l’APDP, pourrait diligemment :
- Faire un scan personnel de son site web afin d’en relever les vulnérabilités et en produire le rapport ;
- Demander auprès des services de l’ASIN, un test certifié de leurs sites web et en obtenir le rapport ;
- Opérer diligemment les corrections nécessaires et en produire rapport ;
- Fournir les motifs de la nécessité (peut-être fonctionnelle) de la persistance de vulnérabilités mineures ;
- Soumettre à nouveau le dossier de déclaration à l’Autorité pour les suites.
Par ailleurs, les diligences auprès de l’Autorité de contrôle auraient dues être facilitées. En réalité, le Code du numérique impose aux responsables de traitement de se doter d’une PSSI et d’un pôle de sécurité du système d’information.
La démarche de conformité est une démarche dynamique et intégrale. C’est à tout le moins ce que nous apprend ce changement. Elle requiert, un accompagnement professionnel adéquat. Mais aussi le rejet de l’idée qui consiste à croire que la conformité est une question de formulaires à remplir. Il s’agit de bien plus. Ce sont surtout les pratiques de l’organisme que doivent refléter les informations portées au dossier soumis à l’Autorité de contrôle.
Le cabinet 360 Conseils offre son accompagnement dans la mise et le maintien en conformité. Plusieurs organismes majeurs au Bénin ont éprouvé notre démarche. Si vous avez à cœur de garder vos opérations de traitements conformes, demandez dès aujourd’hui, une mission d’audits de vos traitements de données à caractère personnel.