Protection des données au Bénin : Vers une sécurité des données plus résiliente

Dans un monde de plus en plus interconnecté, la protection des données est devenue une priorité stratégique. Au Bénin, cette réalité s'impose avec une acuité particulière. Alors que le pays accélère sa transformation numérique, la sécurité des données personnelles et sensibles se positionne au cœur des préoccupations des autorités, des entreprises et des citoyens. Des initiatives et des mesures ont été prises par le Bénin pour renforcer la résilience de sa sécurité des données. Ce qui offre ainsi une feuille de route pour une gestion sécurisée et souveraine de l'information numérisée dans un contexte de vulnérabilités croissantes et de cybermenaces sophistiquées.

Pour en parler, Africa Cybersecurity Mag reçoit pour vous M. Luciano HOUNKPONOU, Président de l'Autorité de Protection des Données Personnelles du Bénin (APDP-Bénin). Ici, l’Expert de droit numérique nous offre un aperçu captivant des progrès fulgurants réalisés en matière de Protection des Données Personnelles au Bénin. Depuis sa prise de fonction en mars 2024, M. Luciano HOUNKPONOU partage ici les initiatives en cours au Bénin en matière de sécurité des données personnelles.

Africa Cybersecurity Mag :  Quelles mesures ont été mises en place par le gouvernement béninois pour renforcer la résilience de la sécurité des données ?

Luciano HOUNKPONOU :  Le gouvernement béninois a mis en place plusieurs mesures pour renforcer la résilience de la sécurité des données, en réponse à la montée des cybermenaces et à l'importance croissante de la protection des informations sensibles. Voici quelques-unes de ces mesures :

1. Cadre Législatif et Réglementaire :

• Loi n° 2017-20 du 20 avril 2018 modifiée par la loi n°2020-35 du 06 janvier 2021 portant code du numérique en république du Bénin : 

Le Bénin, à travers les dispositions du livre V^ème du code du numérique, a adopté une loi spécifique pour la protection des données personnelles, assurant ainsi un cadre juridique solide pour la collecte, le traitement et la conservation des données.

• Stratégie Nationale de Sécurité Numérique (SNSN) : 

Le gouvernement béninois avait approuvé la SNSN le 06 mai 2020. Cette stratégie ambitionne de garantir un cyberespace sécurisé pour une économie numérique florissante. Elle est assortie d'un plan d'actions triennal (2020-2022) composé de 47 actions et repartie sur 5 axes.

2. Agence des Systèmes d’Information et du Numérique (ASIN) :

• Création de l'ASIN : Cette agence est chargée d’assurer la mise en œuvre opérationnelle des programmes et projets entrant dans le cadre des stratégies de développement des services et systèmes d’information sécurisés au Bénin. 
• Formation et Sensibilisation : L'ASIN organise des formations pour les agents publics et des campagnes de sensibilisation pour le grand public sur les bonnes pratiques en matière de sécurité informatique.

3. Centre National d’Investigations Numériques (CNIN) : Il reprendra les attributions de l’Office Central de Répression de la Cybercriminalité (OCRC) et disposera de missions plus élargies absorbant partiellement celles de l’Agence des Systèmes d’Information et du Numérique (ASIN) relatives à la cybercriminalité.
4. Infrastructures et Technologies :

• L’équipe gouvernementale de réponse aux incidents de sécurité informatique au Bénin (bjCSIRT) : Le Bénin dispose d'un bjCSIRT qui assure la surveillance des menaces, la réponse aux incidents de sécurité et le partage d'informations sur les vulnérabilités et les attaques.
• Investissement dans les technologies de sécurité : Le gouvernement investit dans des solutions technologiques avancées pour détecter et prévenir les cyberattaques, telles que les systèmes de détection d'intrusion et les pare-feux.

5. Collaboration Internationale :

• Partenariats et Coopération : Le Bénin est membre de l’Association Francophone des Autorités de Protection des Données Personnelles (AFAPDP) et du Réseau Africain des Autorités de Protection des Données Personnelles (RAPDP). Il collabore également avec d’autres organisations internationales (l’Union Africaine par exemple) et des pays partenaires pour renforcer ses capacités en cybersécurité. Des programmes de formation, des échanges d'expertise et des initiatives conjointes sont mis en place pour améliorer la sécurité des données.

6. Promotion de l’Innovation et de la Recherche :

• Encouragement de la recherche en cybersécurité : Le gouvernement soutient les initiatives de recherche et développement dans le domaine de la cybersécurité, y compris les collaborations avec les universités et les institutions de recherche.
• Hackathons et concours : Des événements comme les hackerLab sont organisés par l’ASIN pour encourager les innovations en matière de cybersécurité et découvrir de nouveaux talents.

Ces mesures illustrent l'engagement du gouvernement béninois à créer un environnement sécurisé pour les données et à protéger les infrastructures critiques contre les cybermenaces.

Africa Cybersecurity Mag : Quels sont les rôles et responsabilités des entreprises privées au Bénin en matière de protection des données personnelles de leurs clients ?

Luciano HOUNKPONOU :  Le Responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c'est-à-dire l’objectif et la façon de le réaliser. En pratique et en général, il s’agit de la personne morale incarnée par son représentant légal.

Ainsi un responsable de traitement qui traite et manipule les données personnelles quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission ou diffusion ou toute autre forme de mise à disposition, rapprochement) fait une opération et est soumis à certaines obligations relatives à la protection desdites données notamment :

1. Obligation de déclaration de traitement de données personnelles auprès de l’APDP : cf art. 405 ; 407. Tout responsable de traitement qui envisage de collecter ou traiter des données à caractère personnel doit remplir des formalités préalables selon les dispositions des articles sus cités.
2. Respect des différents principes de protection des données personnelles ;

Le responsable de traitement qui fait un traitement de données personnelles doit respecter les principes fondamentaux relatifs à la protection des données personnelles tels rappelé dans le chapitre précédent :

• Principe du consentement et de la légitimité (cf art 389/390) ;
• Principe de transparence (cf art 384) ;
• Principe de finalité ; (cf art 383.3);
• Principe de licéité (cf art 383) ;
• Principe de confidentialité et de sécurité (cf art 385) ; Principe de responsabilité du responsable de traitement (cf art 387) ;
• Durée de conservation limitée des données personnelles (cf 383.6) ;
• Principe de proportionnalité ;
• Respect des droits des personnes concernées (droit à l’information préalable-droit d’accès – droit d’opposition-droit de rectification et de suppression-droit à la portabilité-droit à l’oubli-droit d’interrogation…).

3. Obligation d’information (Cf article 415) – Collecte des données auprès de la personne dont les données font l’objet d’un traitement / Collecte indirecte de données personnelles (Cf article 416) - Dispense de l’obligation d’information (Cf article 417) ;
4. Obligation d’assurer la confidentialité et la sécurité des données traitées ;
5. Analyse d’impact relative à la protection des données personnelles à faire par le responsable de traitement avant la mise en œuvre de certains traitements (art.428-429) ;
6. Respect des différents droits des personnes concernées par le traitement ;
7. Tenue d’un registre des activités liées au traitement (art. 435) ;
8. Rapport annuel à établir et à transmettre à l’APDP (art. 387).
9. Désigner un délégué à la protection des données (cf art 430)

Africa Cybersecurity Mag : Comment le Bénin gère-t-il les incidents de violation de données et quelles sont les sanctions prévues pour les contrevenants ?

Luciano HOUNKPONOU :  Concernant l’incident de violation de données personnelles, il convient de préciser que c’est tout incident de sécurité portant sur les données de sorte à porter atteinte aux principes de confidentialité, de disponibilité de l’intégrité qui gouvernent le régime de protection des données personnelles au Bénin. 

L’Autorité de Protection des données à caractère personnel, a mis en place un canevas appelé politique de gestion des incidents à la portée des responsables de traitements pour leur permettre d’évaluer les risques d’incidents de sécurité susceptibles d’affecter les données personnelles qui sont traitées et d’indiquer les précautions à prendre en cas de survenance d’un incident de cet ordre. 

Il s’agit des mesures de remédiation à l’incident et d’atténuation de l’effet de la violation de données à caractère personnel en particulier sur les personnes concernées. Ainsi, à la survenance d’un incident de violation sur les données personnelles, le responsable de traitement selon les dispositions de l’article 427 du code du numérique est tenu de notifier sans délai à l’APDP, et aux personnes concernées toute rupture de sécurité ayant affecté les données à caractère personnel de la personne concernée. Après la notification de l’incident à l’Autorité, les agents techniques qualifiés à cet effet, étudient la nature de l’incident, son degré de criticité, et son impact réel sur la vie privée des personnes concernées par l’incident. Un rapport comportant tous ces éléments de preuve est rédigé puis transmis au responsable de traitement et aux membres de l’Autorité pour une issue contentieuse au cours de laquelle les sanctions prévues par le code du numérique peuvent être prononcée. 

Il est important de préciser que si le responsable de traitement ne notifie pas la survenance de l’incident, l’Autorité peut s’auto- saisir lorsqu’elle est informée de sa survenance. La personne concernée également peut saisir l’Autorité à travers une plainte pour ces cas d’incident.

Pour revenir aux sanctions encourues par les auteurs de ces violations, l’APDP peut d’abord prononcer des avertissements ou mettre en demeure l’auteur de la violation d’avoir à faire cesser le manquement dans un délai de 08 jours à compter de sa réception. Elle peut aussi prononcer des sanctions pécuniaires, des injonctions de faire cesser le traitement de données personnelles, décider de retirer temporairement ou définitivement l’autorisation accordée et de verrouiller certaines données.

À titre illustratif, en 2022, l’Autorité a déjà prononcé une sanction pécuniaire de plus de vingt (20) millions de FCFA contre un responsable de traitement à la suite d’un incident de violation sur les données personnelles survenu au sein de sa structure.

Africa Cybersecurity Mag : Quels sont les principaux défis auxquels le Bénin est confronté en matière de protection des données personnelles ?

Luciano HOUNKPONOU :  Culture de la protection des données personnelles : méconnaissance de l’existence de la loi et de l’institution garante de la protection des données personnelles en République du Bénin ;

• Faible taux de mise en conformité des structures/organisations traitant des données personnelles : bien que les opérations de sensibilisation sur la problématique, les ateliers/ séminaires/formations, les opérations de contrôle sur site et à distance, les sanction administratives et pécuniaires infligées aux contrevenants, etc aient été multipliées depuis quelques années, les responsables de traitement n’ont toujours pas le réflexe de se mettre en conformité avec la loi ; 
• multiplication des incidents se rapportant à la violation des droits des personnes concernées ;
• multiplication des infractions et des plaintes (cyber harcèlement, usurpation d’identité, chantage à la webcam, atteinte au patrimoine par le biais des technologies de l’information et de la communication, …) ;
• handicap se rapportant au budget (contrainte budgétaire) alloué par l’Etat à l’APDP pour l’accomplissement de sa mission ;
• Infrastructures Inadéquates : les infrastructures technologiques pour assurer une cybersécurité efficace sont limitées ou obsolètes. Cela inclut les réseaux, les systèmes de gestion des données et les dispositifs de sécurité.
• Accès aux Technologies Modernes limité : l'accès limité aux technologies de pointe et aux solutions de sécurité avancées peut entraver la capacité des entreprises et des institutions à protéger efficacement les données.

En résumé, le Bénin doit relever des défis complexes en matière de protection des données personnelles, impliquant des aspects techniques, humains, législatifs et culturels. Une approche intégrée, impliquant des investissements dans l'infrastructure, la formation, et la sensibilisation, ainsi qu'une coopération internationale renforcée, est essentielle pour surmonter ces obstacles.

Africa Cybersecurity Mag : Comment les institutions financières béninoises se préparent-elles à faire face aux cybermenaces et à protéger les données sensibles de leurs clients ?

Luciano HOUNKPONOU :  Bien que cette mission particulière n’ait pas été spécifiquement dévolue par le code du numérique à l’APDP mais plutôt à une structure connue aujourd’hui sous le nom de Centre National d’Investigation Numérique (CNIN), l’APDP, fort de sa mission de conseil, de veille et d’accompagnement des responsables de traitement, initie plusieurs actions en amont afin de protéger les institutions financières des attaques d’individus malveillants. 

Ainsi, à travers des ateliers thématiques organisés par l’APDP à l’endroit des institutions financières béninoises (banques, Systèmes Financiers Décentralisés, activités relatives au transfert électronique de la monnaie, etc) et les décisions faisant suite aux demandes d’autorisation de traitement, des injonctions et recommandations sont faites conformément aux dispositions des articles 425 et 426 (principes du respect de la confidentialité et de la sécurité des données). 

En conséquence, la mise en place de mesures de sécurité physiques, techniques, logiques, organisationnelles et juridiques exigées de l’APDP de ce secteur d’activité entre en ligne de compte afin de prévenir et d’assurer la protection des données sensibles des clients et parer aux attaques cybercriminelles.  

On pourrait rajouter que les institutions financières béninoises se préparent à faire face aux cybermenaces et à protéger les données sensibles de leurs clients en mettant en place des politiques de sécurité robustes, en sensibilisant et formant leur personnel aux meilleures pratiques en matière de sécurité informatique, en utilisant des technologies de sécurité avancé, en surveillant continuellement leurs réseaux et systèmes informatiques, et en collaborant avec les autorités compétentes. 

Africa Cybersecurity Mag :  Comment le Bénin collabore-t-il avec d'autres pays et organisations internationales pour renforcer sa cybersécurité et la protection des données ?

Luciano HOUNKPONOU :  Le Bénin s'engage activement dans différentes initiatives régionales et internationales à travers notamment Réseau Africain des Autorités de Protection des Données (RAPDP), qui réunit plusieurs Autorités de protection des données à travers le continent. Cette implication témoigne de la volonté du Bénin de promouvoir une approche collaborative et concertée en matière de cybersécurité et de protection des données à l'échelle régionale. Les Assemblées Générales du Réseau qui ont lieu tous les ans sont couplées à une Conférence Internationale sur la Protection des Données Personnelles qui regroupe les experts du monde entier autour de thématiques bien choisies. Le Réseau travaille à harmoniser au niveau de ses membres la législation sur la protection des données personnelles à l’instar du RGPD. Ceci permettra de mener ensemble des actions à l’endroit des GAFAM par exemple. 

Il en est de même au niveau de l’Union Africaine à travers l’incitation à la ratification de la convention de Malabo et le projet PRIDA (Policy and Regulation Initiative for Digital Africa), l’AFAPDP et nous avons des accords de coopération avec plusieurs pays avec lesquels nous échangeons et partageons des expériences spécifiques aux cas que nous rencontrons. 

Ainsi, en renforçant notre diplomatie, l’APDP bénéficie de l'échange de connaissances, de l'identification des meilleures pratiques et du renforcement des capacités dans ces domaines critiques. Cette coopération renforce la résilience du Bénin face aux défis numériques actuels, en lui permettant d'adopter des stratégies et des politiques mieux informées pour protéger ses systèmes et ses citoyens contre les menaces cybernétiques.

Propos recueillis par Christelle HOUETO, journaliste digital