La conformité au Code du numérique : un impératif pour les PME et PMI

Nous sommes déterminés à répéter et à être constamment captivés par les évidences qui se révèlent… 

Dans un paysage économique de plus en plus digitalisé, la conformité au code du numérique revêt une importance capitale pour les Petites et les Moyennes Entreprises » (PME), les Petites et Moyennes entreprises Industrielles (PMI) et toutes les autres entreprises. Quelle que soit leur taille, ces entités sont désormais confrontées à des exigences croissantes en matière de protection des données, de cybersécurité et de respect des normes réglementaires dans le domaine du numérique.

En Conseil des Ministres ce mercredi 31 janvier 2024, le gouvernement béninois a encore démontré à travers diverses nominations l’importance de la protection des données personnelles en nommant de nouveaux membres à l’Autorité de Protection des Données à caractère Personnel (APDP). Cet acte souligne l’attention croissante portée à la sécurité des données dans un environnement numérique en constante évolution. Cela ne semble pas non plus être le fruit du hasard, mais plutôt un signal clair de l’engagement à protéger les données personnelles des citoyens béninois, ainsi que la nécessité pour les entreprises de s’y conformer.

Toutefois, parler de mise en conformité revient essentiellement à lever le voile sur la définition même de cette notion, sur les dispositifs du code du numérique béninois qui l’encadrent, ainsi que sur les sanctions auxquelles ces entreprises sont confrontées en cas de non-application de ces dispositions légales.

C’est quoi se mettre en conformité du Code du numérique

Se mettre en conformité avec le code du numérique signifie prendre des mesures actives pour respecter les règles, les normes et les directives établies dans le domaine de l’utilisation, de la gestion et de la protection des technologies de l’information et des communications (TIC), ainsi que des données numériques. Cela implique également de s’aligner sur les exigences légales et réglementaires relatives à la protection des données, à la cybersécurité et à d’autres aspects de l’environnement numérique afin d’assurer une utilisation responsable, éthique et sécurisée de la technologie et des données dans les activités de l’entreprise.

Les entreprises, notamment les PME et les PMI, exerçant dans divers domaines (technologie, transport, finance, santé, juridique etc…) se retrouvent concernées par cette disposition dès lors qu’elles traitent, collectent ou stockent des données personnelles, que ce soit celles des employés, des clients, des partenaires, des sous-traitants ou d’autres parties prenantes. 

Respecter les exigences à la charge d’un responsable de traitement

Par responsable de traitement, le Code désigne « toute personne physique ou morale, l’autorité publique, le service ou tout autre organisme ou association qui, seul ou conjointement avec d’autres, prend la décision de collecter et de traiter des données à caractère personnel et en détermine les finalités et les moyens ». En d’autres termes, le responsable de traitement est celui qui décide pourquoi et comment les données personnelles sont collectées, utilisées et stockées.

Le livre Vème, à travers ses dispositions, impose à tout responsable de traitement un ensemble d’obligations, parmi lesquelles figure en premier lieu la déclaration préalable à l’Autorité de Protection des Données à caractère Personnel (APDP) de tout traitement de données personnelles. Elles doivent obtenir une autorisation si celles-ci sont des données sensibles, et donc soumises à un régime particulier, afin de garantir leur sécurité. 

Il incombe également au responsable de traitement de sensibiliser et de former son personnel sur les bonnes pratiques en matière de protection des données afin de réduire les risques de violation et de se conformer aux exigences légales. 

Par ailleurs, le responsable de traitement tient à jour un registre des activités de traitement, dépose son rapport annuel de traitement au plus tard 6 mois avant la fin de l’exercice précédent et respecte les principes de traitement des données personnelles.

Respecter les principes de traitement

En plus des responsabilités évoquées ci-dessus, le responsable du traitement des données personnelles doit également garantir le respect de principes fondamentaux essentiels pour la conformité. Ces principes qui sont énoncés dans la loi N°2017-20 du 20 avril 2018 portant Code du Numérique en République du Bénin, aux articles 379, 383, 384, 385, 387 et 389, établissent un cadre essentiel pour garantir la confidentialité, l’intégrité et la sécurité des informations personnelles.

Le premier principe fondamental est celui de la légalité, de la loyauté et de la transparence du traitement. Il exige que le traitement des données personnelles repose sur une base légale clairement définie, et que les individus soient informés de manière transparente sur la manière dont leurs données sont collectées, utilisées et partagées.

Le deuxième principe, aussi important, est celui de la limitation des finalités, qui stipule que les données personnelles ne doivent être collectées que pour des objectifs spécifiques, explicites et légitimes, et ne doivent pas être traitées par la suite de manière incompatible avec ces objectifs initiaux.

Le troisième principe, celui de la minimisation des données, recommande que seules les données personnelles strictement nécessaires à la réalisation des objectifs spécifiés soient collectées, et que leur conservation soit limitée dans le temps.

Enfin, le principe de l’exactitude des données stipule que les données personnelles doivent être précises, et si nécessaire, mises à jour pour refléter correctement la réalité des individus concernés.

Le respect de ces principes de traitement par les PME et PMI, renforce ainsi la confiance des personnes concernées dans la manière dont leurs informations personnelles sont traitées.

Respecter le droit des personnes concernées

Le droit des personnes concernées englobe un ensemble de droits fondamentaux visant à garantir le contrôle et la protection des informations qui concernent ces dernières. Le Code du Numérique, à travers ses dispositions des articles 437, 438, 439, 440 et 441, énonce une liste non exhaustive de ces droits parmi lesquels on trouve :

Premièrement, le droit d’accès qui permet à une personne de demander et d’obtenir des informations sur les données personnelles que les organisations détiennent à leur sujet, ainsi que sur la manière dont ces données sont traitées.

Le droit de rectification qui donne aux individus le pouvoir de demander la correction de toute donnée personnelle inexacte ou incomplète.

Ensuite, le droit à l’effacement (ou « droit à l’oubli ») qui permet aux personnes de demander la suppression de leurs données personnelles dans certaines circonstances, par exemple lorsque les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ou si leur traitement est illicite.

Le droit à la portabilité des données qui autorise les individus à obtenir et à réutiliser leurs données personnelles dans différents services ou systèmes informatiques, permettant ainsi une plus grande mobilité et un meilleur contrôle sur leurs informations.

Le droit d’opposition qui permet aux personnes de s’opposer au traitement de leurs données personnelles, notamment pour des raisons liées à leur situation particulière ou pour le marketing direct.

Et enfin, le droit de ne pas faire l’objet d’une décision automatisée qui protège les individus contre les décisions prises uniquement sur la base d’un traitement automatisé, y compris le profilage, si ces décisions ont des effets juridiques significatifs ou des incidences importantes sur la personne concernée.

Respecter ces droits est très important pour garantir le respect de la vie privée et des libertés fondamentales des individus, ainsi que pour renforcer la confiance dans le traitement des données personnelles. Les entreprises en générales et les PME/ PMI en particuliers doivent donc mettre en œuvre des mesures appropriées pour permettre l’exercice de ces droits et veiller à ce que les personnes concernées puissent les exercer facilement et efficacement. Mais comment ?

La conformité, un vaste chantier qui nécessite de l’expertise

La conformité au Code du numérique nécessitant des procédures nombreuses et complexes, mérite l’assistance et l’accompagnement d’experts en la matière. 360conseils S.A.S, fort d’une expertise avérée et éprouvée auprès de nombreuses grandes entreprises, souhaite partager son savoir-faire avec de nouveaux partenaires, notamment les PME et les PMI, afin de promouvoir une protection efficace des données à caractère personnel sur l’ensemble du territoire béninois. Ainsi, elle contribue à prévenir ces entreprises des sanctions prévues par le code du numérique, récemment mises en lumière dans nos précédentes publications.

Arnaud GBESSEMEHLAN

× Puis-je vous aider ?