Maîtrise de la conservation des données personnelles : respect des exigences légales et préservation de la confidentialité

 

Au Bénin, comme partout ailleurs, la question de leur conservation se pose avec acuité. Entre le respect des exigences légales pour la préservation de la confidentialité et les pratiques minimalistes des entreprises, comment trouver le juste équilibre ?

Qu’en dit la loi ?

Il est essentiel de comprendre les exigences légales qui régissent la conservation des données personnelles. La loi N°2017-20 du 20 Avril 2018 portant Code du Numérique en République du Bénin modifiée par la loi N°2020-35 du 06 janvier 2021 établit des normes strictes concernant la collecte, l’utilisation et la conservation des données personnelles. 

L’article 383 alinéas 6 de ladite loi dispose : « les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées.

Les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 396, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par les dispositions du livre cinquième afin de garantir les droits et libertés de la personne concernée ». 

Cet article stipule que les données personnelles doivent être conservées de manière à permettre l’identification des personnes concernées pendant une durée limitée à celle nécessaire à la réalisation des objectifs pour lesquels elles ont été collectées ou traitées.

Cependant, il est possible de conserver ces données pour des périodes plus longues si elles sont utilisées exclusivement à des fins d’archivage dans l’intérêt public, de recherche scientifique ou historique, ou à des fins statistiques. Dans ce cas, des mesures techniques et organisationnelles appropriées doivent être mises en œuvre pour garantir les droits et libertés des personnes concernées.

Pourquoi assurer la conservation des données personnelles ?

Une fois les exigences légales identifiées, les entreprises doivent élaborer des politiques internes claires et cohérentes pour guider la conservation des données personnelles. Ces politiques devraient préciser la durée de conservation appropriée pour chaque type de données, en tenant compte à la fois des exigences légales et des besoins opérationnels de l’entreprise. 

Par exemple, certaines données peuvent nécessiter une conservation à long terme pour des raisons juridiques ou fiscales, tandis que d’autres peuvent être supprimées une fois qu’elles ne sont plus nécessaires aux finalités poursuivies.

La sécurité des données personnelles conservées est également d’une importance capitale. Les entreprises doivent mettre en place des mesures de sécurité robustes pour protéger ces données contre tout accès non autorisé, la perte ou la destruction accidentelle. Cela peut inclure l’utilisation de technologies de chiffrement, de contrôles d’accès stricts et de sauvegardes régulières pour garantir l’intégrité et la confidentialité des données.

De plus, il est essentiel de mettre en place des processus pour répondre aux demandes d’accès et de suppression des personnes concernées. Les entreprises doivent être en mesure de fournir aux personnes concernées des informations sur les données personnelles qu’elles conservent à leur sujet, ainsi que de supprimer ces données sur demande, conformément aux exigences légales en matière de droit à l’oubli.

Une infraction consacrée par le code du numérique

Le législateur béninois a défini un certain nombre d’infractions réprimées par le Code du numérique en vigueur au Bénin. L’alinéa 13 de l’article 460 du Code dispose que « constitue une infraction au sens des dispositions du livre cinquième, sans préjudice de celles prévues par le code pénal, le fait de conserver des données à caractère personnel au-delà de la durée prévue pour la déclaration préalable adressée à l’Autorité sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques au sens du livre cinquième ».

De cette disposition, il ressort qu’il est considéré comme une infraction, conformément aux dispositions du livre Vème, de conserver des données à caractère personnel au-delà de la durée prévue pour la déclaration préalable à l’autorité compétente. 

Cependant, cette conservation est autorisée si elle est réalisée à des fins historiques, statistiques ou scientifiques, telles que définies par ledit livre.

Sanction en cas de non-respect des exigences liées à la conservation des données

L’article 461 du Code du Numérique définit les sanctions encourues en cas de non-respect par les entreprises des exigences relatives à la protection des données à caractère personnel. Il s’agit de : 

  • Peine d’emprisonnement de six (06) mois à dix (10) ans
  • Sanctions pécuniaires de cinquante millions (50.000.000) de francs CFA à cent millions (100.000.000) de francs CFA
  • Amende de dix millions (10.000.000) de francs CFA à cinquante millions (50.000.000) de francs CFA
  • Effacement de tout ou partie des données à caractère personnel
  • Confiscation des supports matériels des données
  • Interdiction de gestion personnellement, ou par personne interposée pour deux (02) ans maximum

En définitive, la maîtrise de la conservation des données personnelles nécessite une approche proactive et rigoureuse. En respectant les exigences légales, en élaborant des politiques claires et en mettant en œuvre des mesures de sécurité efficaces, les entreprises peuvent garantir une gestion responsable des données personnelles tout en préservant la confidentialité et la confiance de leurs clients.

 Hogbé Hoïcs Cyrcolet BOCOVO

× Puis-je vous aider ?