Blog

À l’heure où le Bénin accélère sa transformation numérique, la question de la sécurité des données personnelles s’impose avec une acuité croissante. Parmi les obligations légales qui en découlent, la notification des violations de données occupe une place centrale mais pratiquement fragile.

Un cadre juridique existant, mais encore en construction.

Le Bénin s’est doté d’un arsenal législatif structurant en matière de protection des données personnelles. La loi n°2017-20 portant Code du numérique, modifiée en 2021, constitue le texte fondamental en la matière. Son Livre V est entièrement consacré à la protection des données personnelles et s’applique indistinctement à l’ensemble des traitements, qu’ils soient publics ou privés.

L’objectif poursuivi est clair : protéger la vie privée des citoyens et garantir leurs droits fondamentaux à l’ère numérique. C’est dans ce cadre que s’inscrit l’obligation de notification des violations de données. Cette obligation découle directement de l’article 426 du Code, lequel impose au responsable de traitement de prendre toutes les mesures nécessaires pour protéger les données contre la perte, l’accès non autorisé ou l’altération.

L’autorité chargée de veiller au respect de ces dispositions est l’Autorité de Protection des Données Personnelles (APDP), autorité administrative indépendante dont les missions couvrent le contrôle, la réception des plaintes, la sanction et la régulation du numérique au Bénin.

Ce que la loi impose concrètement.

Le principe posé par le Code du numérique est sans ambiguïté : toute violation de données doit être notifiée à l’APDP sans délai. Cette obligation concerne aussi bien les entreprises que les administrations publiques, et s’étend à toutes les formes de violations :

• perte de données,
• accès non autorisé,
• fuite
• et piratage.

Si le Code est moins explicite que son homologue européen sur le contenu précis de la notification, la pratique juridique et le raisonnement par analogie permettent d’en dégager les éléments essentiels. Une notification complète devrait ainsi renseigner : la nature de la violation, les catégories de données concernées, le nombre de personnes affectées, et les mesures déjà prises ou envisagées pour y remédier.

La notification n’est pas une obligation isolée. Elle s’inscrit dans un ensemble cohérent d’obligations liées : la déclaration préalable de tout traitement, le respect des droits des personnes (accès, rectification, opposition), et le principe de transparence consacré aux articles 415 à 418 du Code. En ce sens, notifier une violation, c’est prolonger l’exigence de transparence qui fonde tout le dispositif de protection des données.

Un régime de sanctions à triple détente

Le non-respect de l’obligation de notification expose son auteur à un régime de sanctions administratives, financières et pénales.

Sur le plan administratif, l’APDP dispose d’un arsenal gradué : avertissement, mise en demeure, suspension du traitement. Ces mesures visent à corriger les comportements défaillants avant d’aller plus loin.

Sur le plan financier, les sanctions peuvent atteindre 50 millions de francs CFA, voire 100 millions de francs CFA ou 5 % du chiffre d’affaires selon la gravité des manquements. Des montants significatifs, qui témoignent de la volonté du législateur de donner un poids réel à ces obligations.

Enfin, sur le plan pénal, le Code prévoit des infractions liées au non-respect de ses dispositions, y compris l’obstruction à l’autorité de contrôle. La responsabilité du responsable de traitement est engagée même en cas de simple négligence, ce qui élève considérablement le niveau d’exigence attendu.

Les enjeux pratiques : quand la réalité résiste au droit

C’est sur le terrain des réalités opérationnelles que le bât blesse. Entre l’obligation légale et son application effective, un écart significatif persiste, nourri par plusieurs facteurs structurels.

La détection des violations, premier obstacle. Notifier suppose d’abord de détecter. Or, dans un environnement où les outils de cybersécurité restent limités et les équipes techniques peu outillées, une violation peut survenir et passer inaperçue. Ce qui n’est pas détecté ne sera jamais notifié et n’engage la responsabilité de personne.

Des organisations insuffisamment préparées. La grande majorité des entreprises et administrations béninoises ne dispose pas de procédures internes dédiées à la gestion des incidents de sécurité. L’absence de registre des incidents et la rareté des Délégués à la Protection des Données (DPO) laissent les organisations démunies face à leurs obligations.

Une réticence culturelle à notifier. Au-delà des moyens techniques, une résistance psychologique freine la notification. La peur de ternir sa réputation, de perdre la confiance de ses clients ou partenaires, ou simplement le manque de culture juridique en matière de protection des données, conduisent beaucoup d’acteurs à privilégier le silence sur la transparence. C’est précisément l’inverse de ce que la loi exige. Le flou sur les délais, source d’insécurité juridique. Contrairement au RGPD européen qui impose une notification dans les 72 heures suivant la découverte de la violation, le Code du numérique béninois se contente d’exiger une notification « sans délai ». Cette imprécision génère une insécurité juridique réelle. Quand commence ce délai ? Quelle durée est acceptable? L’absence de réponse claire fragilise l’obligation et complique son contrôle.

Les enjeux juridiques de fond

Au-delà des difficultés pratiques, l’obligation de notification soulève des enjeux juridiques de premier plan.

D’abord, elle est un instrument de protection des droits fondamentaux en imposant la transparence en cas de violation. Le législateur cherche à préserver la vie privée, l’identité numérique et la sécurité financière des personnes dont les données ont été compromises.

Ensuite, elle est un vecteur de responsabilisation des acteurs. En engageant la responsabilité du responsable de traitement même pour négligence, le Code entend faire de la sécurité des données une priorité de gouvernance, et non une variable d’ajustement.

Enfin, elle est un levier de renforcement de l’APDP. Chaque notification reçue est une information précieuse pour l’autorité de contrôle. Elle lui permet d’identifier les secteurs à risque, d’orienter ses contrôles, de développer une doctrine, et, à terme, de bâtir une jurisprudence.

360 Conseils : accompagner la mise en conformité

C’est précisément dans ce cadre que s’inscrit l’action de 360 Conseils, cabinet labellisé par l’Autorité de Protection des Données Personnelles (APDP). Cette reconnaissance officielle permet à 360 Conseils d’accompagner entreprises et administrations dans une démarche de mise en conformité complète au Code du numérique, assortie d’un suivi structuré reposant sur trois axes fondamentaux.

Vers une protection des données assumée

La maîtrise des données personnelles dessine un avenir où conformité juridique, sécurité des systèmes et confiance des citoyens deviennent indissociables. La garantir, c’est affirmer une responsabilité numérique et protéger les personnes dans un environnement de plus en plus exposé aux violations.

La notification des violations, si elle est intégrée comme réflexe organisationnel, offre une opportunité inédite de renforcer la crédibilité des acteurs publics et privés. La conformité demeure la condition de cette évolution. Sans culture juridique solide et sans procédures fiables, aucune transformation numérique ne peut prospérer durablement.

EN CONCLUSION « L’avenir de la protection des données repose sur une conformité assumée, celle qui sait conjuguer rigueur juridique, responsabilité des acteurs et confiance des citoyens dans un numérique souverain. »

Par Ornella HODONOU,

Juriste spécialisée en droit du numérique