Les sanctions de l’APDP : comment y échapper en 2024 ?
En 2023, plusieurs organismes traitant des données personnelles ont été sanctionnés par l’Autorité de Protection des Données Personnelles. Comment en sont-ils arrivés et comment éviter les sanctions de l’APDP en 2024.
Depuis quelques années, l’Autorité de Protection des Données à Caractère Personnel a émis plusieurs sanctions à l’égard des organismes qui traitent des données à caractère personnel. Ce coup de massue qui est tombé sur la tête des organismes sans qu’ils ne s’y attendent a pourtant un fondement légal.
La justification des sanctions de l’APDP
Depuis l’avènement de la loi N°2017-20 du 20 Avril 2018 portant Code du Numérique en République du Bénin modifiée par la loi N°2020-35 du 06 Janvier 2021, il était retenu que toute personne physique ou morale qui traite des données à caractère personnel doit se mettre en conformité de la loi. C’est ce qui ressort du livre septième au niveau des dispositions transitoires où il était demandé aux personnes physiques ou morales qui traitent les données à caractère personnel de se mettre en conformité dans un délai d’un an.
Que peut-on comprendre par donnée à caractère personnel ?
Le code défini une donnée à caractère personnel comme « toute information de quelque nature que ce soit et indépendamment de son support, y compris le son et l’image, relative à une personne physique identifiée ou identifiable appelée personne concernée.
Est réputée identifiable, une personne qui peut être identifiée, directement ou indirectement notamment par référence à un identifiant, tel un prénom ou nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique ». De cette définition, il ressort qu’une donnée à caractère personnel est toute information de quelque nature que ce soit qui permet d’identifier une personne physique directement ou indirectement quel que soit le support sur lequel, elle se trouve.
Le traitement des données, une activité généralisée
On se rend compte ainsi que la plupart des personnes physiques ou morales manipulent à longueur de journée les données à caractère personnel sans recueillir le consentement des personnes concernées, respecter les principes, prendre des dispositions idoines sécuritaires pour éviter l’indisponibilité desdites données afin d’assurer de façon permanente leur protection. La conséquence de cette indisponibilité est la perte de confiance des clients et la remise en cause de la crédibilité de ces responsables de traitement.
Les sanctions de l’APDP selon le Code du numérique
Malheureusement, se comportant ainsi, ces personnes encourent le risque de sanctions plus ou moins lourdes, parmi lesquelles :
- L’avertissement : L’APDP prononce un avertissement lorsque le responsable de traitement ne respecte pas les obligations découlant des dispositions du code du numérique c’est-à-dire le respect des principes, l’obligation de procéder à l’analyse d’impact relative à la protection des données personnelles (AIPD), de produire un rapport annuel, de faire les formalités préalables à la mise en œuvre de traitement de données…
- La mise en demeure : L’APDP met en demeure la personne physique ou morale qui traite des données à caractère personnel dans l’objectif de faire cesser le manquement constaté dans un délai fixé qui est au plus de huit jours. Ce manquement est le plus souvent relatif au non envoi à l’APDP du rapport annuel dans le délai imparti.
- La sanction pécuniaire de 50.000.000 de F CFA à 100.000.000 de F CFA : L’APDP prononce la sanction pécuniaire à l’endroit du responsable de traitement dans le respect du principe du contradictoire lorsqu’il ne se conforme pas à la mise en demeure à lui faite.
- La peine d’emprisonnement de 6 mois à 10 ans : Les personnes physiques ou morales qui traitent les données à caractère personnel peuvent être condamnées à cette peine par la juridiction lorsqu’elles s’opposent à l’exercice des missions des agents de l’APDP.
- L’amende de 5.000.000 de F CFA à 50.000.000 de F CFA : Les personnes qui traitent les données à caractère personnel peuvent être condamnées par l’APDP à payer cette somme lorsque par négligence, elles traitent des données sans respecter les formalités préalables à leur mise en œuvre telles que prescrites les dispositions du livre 5eme.
- L’effacement de données : Le tribunal peut ordonner l’effacement des données à caractère personnel qui font l’objet du traitement ayant donné lieu à l’infraction comme : les fichiers manuels, disques et bandes magnétiques, à l’exclusion des ordinateurs ou de tout autre matériel.
- La confiscation des supports matériels : il s’agit d’une peine complémentaire que le tribunal peut prononcer en sus des peines précisées précédemment pour décourager les responsables de traitements qui ne respectent pas les exigences du code du numérique.
- L’interdiction de gestion de 2 ans minimum. : Il s’agit d’une peine complémentaire prononcée par le tribunal pour interdire à la personne qui traite les données de gérer, personnellement ou par personne interposée, et pour une période de 02 ans au plus, tout traitement de données à caractère personnel.
Préférer l’action à la réaction pour se prémunir des sanctions de l’APDP
Pour éviter les sanctions de l’APDP, il faut tout simplement se mettre en conformité de la loi. Cela revient à :
- Recenser tous les traitements de données à caractère personnel;
- Analyser les écarts de conformité et les réduire;
- S’assurer que les données sont collectées et traitées dans le respect des principes énoncés par le Code du Numérique;
- S’organiser pour que les droits des personnes concernées sont respectés;
- S’assurer que les obligations des responsables de traitement sont respectées;
- Sensibiliser le personnel aux enjeux de la protection des données personnelles;
- Mettre en place des mesures de sécurité physique, technique et organisationnelle pour assurer de façon efficace la sécurité des données;
- Désigner un Délégué à la protection des données personnelles
- Faire les formalités auprès de l’Autorité de Protection des Données à Caractère Personnel (APDP).
- Produire son rapport d’activités de traitement à bonne date.
En somme, c’est dans le respect des exigences du livre cinquième de la loi N°2017-20 du 20 Avril 2018 portant Code du Numérique en République du Bénin modifiée par la loi N°2020-35 du 06 Janvier 202 que se trouvent les pistes pour s’épargner les sanctions de l’APDP.
Pour y arriver, il est recommandé de consulter un professionnel du droit ou un expert en protection des données à caractère personnel.
Si vous avez des questions sur la conformité, notre service de conformité numérique est taillée sur votre mesure et vous évite les sanctions ci-dessus à la prochaine descente de l’APDP.