Blog

Avec la croissance des échanges numériques, les données personnelles sont devenues un pilier de l’économie moderne. Mais cette richesse informationnelle doit être protégée. Le responsable de traitement a l’obligation de respecter des normes strictes pour éviter tout manquement qui pourrait mettre en péril les droits des individus.

Lorsqu’un responsable de traitement de données personnelles ne respecte pas les obligations légales qui lui incombent, il s’expose à des sanctions multiples et variées. Ces sanctions peuvent être de nature administrative, civile ou pénale et dépendent de la gravité des infractions commises, telles que définies par le Code du Numérique.
Au-delà des sanctions financières, les conséquences de ces manquements peuvent également affecter la réputation du responsable de traitement et engendrer une perte de confiance des parties prenantes. Dans un contexte où la protection des données personnelles est de plus en plus centralisée dans la régulation du numérique, une telle non-conformité pourrait gravement nuire à la crédibilité et à la pérennité de l’entité en cause.

Comprendre les manquements graves : Infractions aux droits des personnes concernées

Les manquements graves peuvent être définis de manière générale comme des infractions aux règles juridiques essentielles qui régissent une activité, pouvant entraîner des sanctions proportionnelles à la gravité de l’infraction. Dans le domaine de la protection des données personnelles, un manquement grave est une violation qui affecte substantiellement les droits des personnes concernées, mettant en péril la confidentialité, l’intégrité et la sécurité de leurs informations personnelles.
Le législateur béninois a dressé une liste exhaustive des manquements qui pourraient constituer ce panel. Au regard de l’article 453 du code du Numérique, il s’agit entre autre du fait de :

• Procéder à une collecte déloyale de données à caractère personnel ;
• Communiquer à un tiers non autorisé des données à caractère personnel ;
• Procéder à la collecte de données sensibles, de données relatives à des infractions ou à un numéro national d’identification sans respecter les conditions légales ;
• Procéder à la collecte ou à l’utilisation des données à caractère personnel ayant pour conséquence de provoquer une atteinte grave aux droits fondamentaux ou à l’intimité de la vie privée physique concernée ;
• Empêcher les services de l’Autorité d’effectuer une mission de contrôle sur place ou faire preuve d’obstruction lors de la réalisation d’une telle mission.
  Ces infractions peuvent entraîner des sanctions variées, en fonction de la gravité des faits et des conséquences pour les personnes concernées.

Sanctions administratives : La réponse régulatrice aux manquements

En cas de manquement aux obligations légales en matière de protection des données personnelles, l’autorités de régulation dispose de plusieurs leviers pour sanctionner le responsable de traitement. Ces sanctions varient en fonction de la gravité des faits et peuvent être proportionnées afin d’assurer la conformité. Les sanctions administratives incluent notamment :

• Avertissement : Cette sanction est prononcée lorsqu’il est probable qu’une infraction ait été commise mais qu’il est jugé approprié de ne pas infliger d’amende immédiate. Autrement dit, lorsque le Responsable de traitement ne respecte pas les obligations découlant des dispositions du code du numérique, l’Autorité régulatrice, l’APDP, peut prononcer un avertissement à son encontre (Article 452 alinéa 1).
• Mise en demeure : L’autorité régulatrice enjoint au responsable de traitement de mettre en conformité les traitements dans un délai imparti. Elle lui fait donc obligation en la mettant en demeure de faire cesser le manquement constaté dans un délai fixé qui ne saurait excéder huit (08) jours, conformément aux dispositions de l’article 452 alinéa 2 du Code du Numérique.
• Lorsque le responsable de traitement ne se conforme pas à la mise en demeure, l’Autorité peut prononcer à son encontre, dans le respect du principe du contradictoire, les sanctions ci-après :
• Sanction pécuniaire : le montant de la sanction pécuniaire est proportionné à la gravité des manquements. Le code précise que lors du premier manquement, il ne peut excéder cinquante millions (50.000.000) de FCFA.
• En cas de récidive dans les 5 années à compter de la date de la première sanction, le montant peut être revu à la hausse mais ne peut excéder cent millions (100.000.000) de FCFA.
• S’agissant d’une entreprise, le montant de la sanction peut être évalué jusqu’à 5% de son chiffre d’affaires hors taxe du dernier exercice clos dans la limite de cent millions (100.000.000) de F CFA. (Article 455 du code du numérique).
• Injonction de cesser le traitement des données à caractère personnel : Les autorités de protection des données peuvent ordonner au responsable de traitement de cesser immédiatement les traitements de données illicites. Cette injonction vise à protéger les droits et libertés des personnes concernées en mettant fin à des pratiques non conformes aux régulations en vigueur.
• Retrait définitif ou temporaire de l’autorisation accordée : Les autorités peuvent retirer de manière temporaire ou définitive à un responsable de traitement, l’autorisation de traiter des données à caractère personnel. Cette sanction intervient notamment lorsque l’autorisation initiale était conditionnelle à la mise en œuvre de mesures spécifiques qui n’ont pas été respectées par le responsable de traitement.
• Verrouillage de certaines données à caractère personnel : Les autorités peuvent ordonner le verrouillage de certaines données, empêchant leur utilisation tant que les problèmes de conformité ne sont pas résolus. Cette mesure vise à prévenir l’utilisation abusive ou illicite des données en attendant une mise en conformité complète avec les exigences légales.

Responsabilité civile : Indemnisation des préjudices subis

Le responsable de traitement peut être tenu de réparer les dommages causés par une violation du Code du numérique. Les personnes concernées peuvent engager des actions en justice pour obtenir une indemnisation pour les préjudices subis (dommages matériels et immatériels). Ce droit est ainsi tiré des dispositions phares du code civil applicable au Bénin notamment l’article 1382 qui consacre le principe de la responsabilité civile du fait personnel en énonçant clairement « Tout fait quelconque de l’homme qui cause à autrui un dommage oblige celui par la faute duquel il est arrivé à le réparer ».

Sanctions pénales : Peines pour violation grave du Code du Numérique

Certaines législations nationales peuvent prévoir des sanctions pénales en cas de violation grave du Code du numérique. Le code du numérique béninois prévoit en son chapitre VII des peines d’emprisonnement et des amendes en cas de collecte frauduleuse de données personnelles ou de non-respect des mesures de sécurité.
Une étude spécifique complémentaire sera amorcée et abordera de long en large les infractions pénales relatives aux manquements prévues dans le présent code.

Réputation et confiance : L’impact des manquements sur l’entreprise

En plus des sanctions légales et financières, les manquements à la protection des données peuvent gravement affecter la réputation du Responsable de traitement. Une perte de confiance des clients, partenaires et parties prenantes peut avoir des conséquences à long terme sur l’activité de l’entreprise.

En somme, les manquements d’un responsable de traitement en matière de protection des données personnelles entraînent des répercussions bien au-delà des sanctions administratives, civiles, et pénales. Ces infractions impactent directement la confiance des clients et partenaires, et peuvent compromettre durablement la réputation de l’entité concernée. Dans ce contexte, la mise en place de mesures de conformité solides est essentielle pour assurer non seulement le respect des obligations légales, mais aussi la pérennité et la crédibilité de l’organisation. La protection des données devient ainsi un enjeu stratégique et éthique auquel chaque responsable doit accorder la plus grande attention.

Sègla Mauriac Camus AHOUSSINOU