Transfert de données: le cadre réglementaire posé par le Code du numérique

À l’ère de la mondialisation numérique, les données à caractère personnel n’ont que faire des barrières géographiques. Elles circulent en une fraction de seconde à travers les réseaux et infrastructures délocalisées à l’autre bout de la planète. Face à cette réalité des échanges de données dématérialisées, le code du numérique béninois a dû se doter d’un cadre réglementaire encadrant les transferts hors des frontières nationales. Des normes de conformité en la matière qui prennent en compte aussi bien la protection des données que l’importance de la libre circulation des données à des fins légitimes.

Le filtre de l’équivalence

Transfert ne rime pas avec laisser-aller pour le législateur béninois. L’article 391 de la Loi n° 2017-20 du 20 avril 2018 portant code du numérique en République du Bénin pose en principe que les données ne peuvent être transférées vers un État tiers que si celui-ci assure un niveau de protection “équivalent”. Une exigence de conformité avec les standards internationaux en vue de prévenir tout risque de dérive dans des pays aux réglementations plus laxistes.

L’appréciation de cette “équivalence” de protection s’effectue au regard de plusieurs éléments clés listés par le texte :

  • La réglementation en vigueur dans le pays destinataire, ses normes sectorielles et ses pratiques jurisprudentielles en matière de droits de l’homme, de libertés fondamentales, de sécurité publique, de défense, de sécurité nationale et de droit pénal ;
  • L’existence d’autorités indépendantes de contrôle dotées de pouvoirs effectifs ;
  • Les engagements internationaux pris par le pays tiers ou l’organisation internationale en question, ou d’autres obligations découlant de conventions ou d’instruments juridiquement contraignants ainsi que de sa participation à des systèmes multilatéraux ou régionaux, en particulier en ce qui concerne la protection des données à caractère personnel.

L’Autorité de Protection des Données Personnelles (APDP) se charge de procéder à cette analyse d’équivalence pour chaque État tiers concerné avant d’autoriser le transfert à un responsable de traitement. 

La possibilité d’une permission de circulation par voie de décret

Exceptionnellement, le Conseil des ministres peut par décret et après avis conforme de  l’Autorité, autoriser un transfert ou un ensemble de transferts de données à caractère personnel vers un État tiers ou une organisation internationale n’assurant pas un niveau de protection adéquat et suffisant, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants.

Une voie rapide et dérogatoire, qui n’échappe cependant pas au filtre d’équivalence mis en place par le Code.  

Les cas de dérogation tolérés

Dans certaines circonstances précises, le code autorise des transferts de données en dehors des pays aux réglementations jugées non équivalentes. L’article 392 du code dresse la liste de ces cas de dérogation admis, à titre exceptionnel, pour ne pas entraver la libre circulation des données pour des motifs légitimes. Parmi ces dérogations figurent notamment :

  • Le consentement exprès de la personne concernée, informée des risques liés au transfert ;
  • La nécessité d’exécuter un contrat entre cette personne et le responsable du transfert ;
  • La sauvegarde de l’intérêt vital de la personne concernée ou d’autrui ;
  • La constatation, l’exercice ou la défense d’un droit en justice ;
  • L’exécution d’un intérêt légitime du responsable, sous réserve d’un strict examen de proportionnalité.

Chacune de ces exceptions dérogatoires fait l’objet d’une interprétation stricte par l’Autorité de contrôle. Elles restent subordonnées au respect de garanties appropriées en matière de confidentialité, d’intégrité et de protection des données transférées.

Au final, c’est un évitement ponctuel du principe de l’adéquation sous conditions qui apporte ainsi une dose de souplesse et de pragmatisme au cadre réglementaire, sans remettre en cause ses principes fondateurs de sécurisation des flux de données. 

Une responsabilité collective des acteurs dans les transferts hors du Bénin

Les acteurs impliqués dans les transferts de données hors du Bénin portent une responsabilité cruciale dans la protection des informations personnelles des individus. 

En tant que premiers intervenants, les responsables de traitement des données ont un rôle prépondérant à jouer. Ils doivent mettre en place des mesures de sécurité robustes pour prévenir tout accès non autorisé ou toute utilisation abusive des données. De plus, ils doivent garantir que seules les informations nécessaires sont collectées et traitées, et ce, dans le respect des droits des individus.

Les tiers impliqués dans les transferts de données, tels que les prestataires de services cloud ou les partenaires commerciaux, ne sont pas exempts de responsabilité. Ils doivent respecter les accords contractuels en matière de protection des données et garantir la sécurité et la confidentialité des informations qui leur sont confiées.

En cultivant une culture de responsabilité et de transparence, ils peuvent non seulement prévenir les risques pour les individus, mais également stimuler l’innovation et la confiance dans un monde numérique en constante mutation.

Hermann Avoa LOUGBEGNON

× Puis-je vous aider ?