Le rapport annuel : point de contrôle prioritaire de l’Autorité de l’APDP
« …Le responsable du traitement est tenu d’établir un rapport annuel pour le compte de l’autorité concernant le respect des alinéas 1 et 2 ». Aux termes de cet article 387 du code du numérique, est instituée une obligation légale : la production du rapport annuel d’activité de traitement par le responsable de traitement ou son représentant.
Plusieurs entreprises se sont dernièrement vues sanctionner pour non-production du rapport annuel sur la base de ce dispositif. L’Autorité de contrôle, dans le but d’instaurer un environnement numérique sécurisé de protection des données à caractère personnel, énonce des sanctions à l’encontre des entreprises qui persistent dans ce manquement.
Qu’est-ce donc ce rapport annuel? Quels sont les aspects essentiels à retenir du rapport annuel d’activité de traitement ? Quels processus faut-il suivre pour le produire ? Et comment est-il sujet à des sanctions ?
Comprendre le rapport annuel d’activité de traitement
Le rapport annuel d’activité de traitement est bien plus qu’un simple document administratif. Il s’agit d’un instrument de transparence et de responsabilité essentiel dans la gestion des données personnelles. Il est le résultat du processus d’une mise en conformité.
C’est un document qui fournit une vue d’ensemble détaillée des activités de traitement des données effectuées par une organisation au cours d’une année donnée. Il inclut généralement des informations telles que les types de données collectées, les finalités du traitement, les mesures de sécurité mises en place, les transferts éventuels de données vers des tiers, ainsi que des détails sur les droits des personnes concernées.
Au demeurant, en plus d’être une obligation du responsable de traitement aux termes de l’article 387 du code du numérique, le rapport annuel d’activité de traitement permet aux parties prenantes internes et externes de comprendre comment une organisation gère les données personnelles et assure leur protection conformément aux réglementations en vigueur. Il est à ce titre, un des éléments importants du dossier de conformité de l’entreprise.
Son défaut peut donc laisser un vide significatif dans la transparence et la conformité des pratiques de traitement des données d’une entreprise.
Les entreprises ou organismes tenus de produire le rapport annuel
Selon le Code du Numérique, toute organisation qui traite des données personnelles est tenue de produire un rapport annuel d’activité de traitement si elle remplit les critères définis par la réglementation. Autrement dit, la responsabilité de produire un rapport annuel d’activité de traitement incombe à toute organisation qui traite des données personnelles dans le cadre de ses activités. Cela inclut notamment les entreprises, les administrations publiques, les organismes à but non lucratif, ainsi que toute autre entité qui collecte, stocke ou traite des données personnelles dans le cadre de ses activités.
Des personnes désignées par chaque organisation sont généralement chargées de veiller à ce que le rapport annuel d’activité de traitement soit produit et mis à disposition de l’Autorité de Protection des Données à caractère Personnel (APDP).
Ces personnes peuvent être des individus au sein de l’organisation, tels que des directeurs de la conformité, des responsables de la protection des données (DPO), ou des équipes dédiées à la gestion des données.
Par ailleurs, certaines organisations peuvent être tenues de produire des rapports annuels d’activité de traitement plus détaillés en raison de la nature ou de l’étendue de leurs activités de traitement des données. Par exemple, les organisations traitant des données sensibles (article 394 du code du numérique) ou effectuant des transferts internationaux de données peuvent être soumises à des exigences supplémentaires en matière de rapportage.
Comment produire le rapport ?
La production d’un rapport annuel d’activité de traitement exige une approche méthodique et rigoureuse.
Pour commencer, l’organisation doit effectuer un bilan exhaustif de tous les traitements de données qu’elle effectue. Cela implique d’abord de recenser et de documenter toutes les activités de traitement des données personnelles, y compris la collecte, le stockage, la gestion, la modification, la consultation, la suppression et autres traitements.
Une fois ces activités identifiées, une analyse approfondie des données collectées pour chaque processus doit être entreprise. Cette analyse vise à comprendre quelles données sont collectées, dans quel but, sur quelle base légale et pour combien de temps elles sont conservées.
De plus, le Code du Numérique exige que les organisations évaluent les risques potentiels que leurs activités de traitement des données peuvent poser pour les droits et libertés des personnes concernées, tels que la perte de contrôle des données, la discrimination, la violation de la vie privée ou d’autres préjudices.
Ensuite, il est essentiel de documenter les mesures de sécurité techniques et organisationnelles mises en place pour protéger les données personnelles contre les risques identifiés. Ces mesures peuvent inclure le chiffrement des données, la pseudonymisation, la limitation de l’accès aux données et la formation du personnel.
Une fois que toutes les activités de traitement des données ont été documentées et analysées, l’organisme ou l’entreprise doit évaluer sa conformité aux exigences du Code du Numérique. Cette évaluation implique de vérifier si les activités de traitement respectent les principes fondamentaux du Code, tels que la licéité, la loyauté, la transparence, la limitation des finalités, la minimisation des données, l’exactitude, la limitation de la conservation, l’intégrité et la confidentialité.
Enfin, l’organisation doit rédiger le rapport annuel d’activité de traitement en incluant toutes les informations pertinentes sur les activités de traitement des données, les mesures de sécurité mises en place et l’évaluation de la conformité.
Ce rapport doit être clair, précis et complet, et il doit être mis à la disposition des autorités de contrôle et, si nécessaire, des personnes concernées.
Pour éclairer la pratique, l’Autorité a mis en ligne un modèle de rapport d’activités, disponible sur son site www.apdp.bj.
Quand faut-il produire le rapport annuel?
Le Code du numérique ne le précise pas. Toutefois, par délibération de la session plénière du 17 décembre 2021, l’Autorité de contrôle a fixé au 30 juin, l’échéance de dépôt du rapport au titre de l’année N-1.
Les conséquences de la non-production du rapport
La non-production du rapport annuel d’activité de traitement expose les entreprises à une série de risques et de conséquences coûteuses.
Tout d’abord, cela peut entraîner des sanctions financières, sous forme d’amendes substantielles, imposées par les autorités de régulation.
Sur ce, le code du numérique prévoit en son article 455 que « … Lors du premier manquement, il ne peut excéder cinquante millions (50 000 000) de francs CFA. En cas de manquement réitéré dans les cinq (05) années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, il ne peut excéder cent millions (100 000 000) de francs CFA ou, s’agissant d’une entreprise, cinq pour cent (5%) du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de cent millions (100 000 000) de francs CFA… »
De plus, outre ces sanctions financières, la non-production du rapport annuel d’activité de traitement peut également entraîner des répercussions sur la réputation de l’entreprise, conduisant à une perte de confiance de la part des clients et des partenaires commerciaux.
La prise de conscience des responsables de traitement est donc impérative face à l’urgence d’une mise en conformité. Le défaut d’accomplissement des diligences requises auprès de l’Autorité de contrôle, nous expose inévitablement à des sanctions.
Au Bénin, le nombre d’entreprises ayant été sanctionnées pour non-conformité est devenu incalculable. Ainsi, est-il judicieux pour tout responsable de traitement, de se conformer aux exigences du code afin d’éviter les sanctions sévères qui en découlent.
Agir dès maintenant est préférable.