INTRODUCTION

Au cours des dernières décennies le monde a été témoin d'une révolution technologique qui a eu
un impact considérable sur le mode de vie sociale. La révolution numérique a entrainé une
augmentation exponentielle de la collecte du traitement et la transmission des données à
caractère personnel. Cette évolution technologique a suscité des préoccupations majeures sur la
protection de ses données. Quelle est la raison d'être de la présente réflexion. Une meilleure
compréhension du sujet impose une clarification conceptuelle. Selon l'article 4 de la loi numéro
2009-11 du 22 mai 2009 sur la protection des données à caractère personnel, il faut entendre par
« données à caractère personnel », « toutes informations relatives à une personne physique
identifiée ou susceptible de l'être directement ou indirectement par référence à un numéro
d'identification ou à un ou plusieurs éléments qui lui sont propres... ». La loi de 2017-20 du 20
avril 2018 la définit comme « toute information de quelques natures que ce soit et
indépendamment de ce support y compris le son et l'image relative à une personne physique
identifiée ou identifiable si après dénommée personne concernée ». En France, la CNIL a
considéré comme des données personnelles les images captées par la caméra d ’un système de
vidéosurveillance dès lors que la personne filmée est identifiable il en est de même du numéro de
téléphone du numéro d'immatriculation du véhicule du numéro de la carte de crédit et de sécurité
sociale et de l'adresse du courrier électronique voir de l'adresse IP. On en déduit que seules les
informations touchant les personnes physiques sont protégées exceptées celles des personnes
morales. L'étude du thème objet de la présente réflexion se fera à l'aune du droit positif béninois
avec une empreinte de droit comparé. Historiquement, La France a très tôt identifié les risques
liés au traitement des données à caractère personnel et a été le premier état à se doter d'une
législation spécifique en la matière. La genèse de la réglementation de la protection des données
remonte en 1974 avec le scandale du projet Safari (système automatisé pour les fichiers
administratifs et le répertoire des individus). Le gouvernement français souhaitait créer un
identifiant unique visant à interconnecter les grands fichiers des différentes administrations. Ce
projet né 30 ans après la fin de la seconde Guerre mondiale affaire émerger cette crainte que le
système de fichage c'est d'abord et avant tout à la surveillance des citoyens. C'est donc pour
dissuader l'État que la loi « informatique et Liberté » a été adopté le 6 janvier 1978. La CNIL est
alors créée avec la mission de veiller au respect de la loi « informatique et Liberté ». Suivant les
pas du législateur français le Bénin a créé l'Autorité de Protection des Données à caractère
personnel (APDP) qui est également chargée de veiller à ce que l'informatique soit au service du
citoyen et qu'elle ne porte atteinte à l'identité humaine au droit de l'homme à la vie privée aux
libertés individuelle ou publique. Il faut reconnaître que malgré le faible taux d'accès aux TICs,
ainsi que l'écart numérique entre les grands les pays développés et ceux développement,
l'Afrique en général et le Bénin en particulier a réalisé des avancées considérables dans ce
secteur ce qui justifie une législation stricte sur la protection des données. Le cadre légal de ce
travail comprend au plan national la loi numéro 2009-09 du 22 mai 2009 portant protection des
données à caractère personnel la loi numéro 2017-20 du 20 avril 2018 portant code du numérique
en République du Bénin. Outre ses textes, on exploitera également la loi française n° 78-17 du 6
janvier 1978 relative à l'informatique au fichier et aux libertés modifiées par la loi n° 2004-801
du 6 août 2004 relative à la protection des personnes physiques à l'égard de traitement de
données à caractère personnel. Au plan international les sources de droit de la protection des
données à caractère personnel sont constituées surtout par les principes directeurs pour la
réglementation des fichiers informatisés adoptés par l'Assemblée générale des Nations unies le
14 décembre 1990. À l'échelle communautaire, on exploitera l'acte additionnel du 16 février
2010 de la CEDEAO, la convention n° 108 du Conseil d'Europe ainsi que les directives
1995/46/CE et 2002/58/CE. En vertu du risque imminent lié au traitement des données à
caractère personnel, il y a lieu de s'interroger sur les garanties de protection des données
personnelles. Ainsi quels sont les moyens de protection efficace des données à caractère
personnel ? Ce sujet présente un intérêt théorique dans la mesure où il permettra de faire le point
de dispositions réduisant la protection des données personnelles et de renforcer ce dispositif.
L'intérêt pratique réside dans le renforcement de la sécurité des libertés individuelles de l'intimité
de la vie privée dans l'environnement cyber spatial.

La protection des données personnelles est devenue une préoccupation majeure dans un contexte
où le numérique et l'internet ont provoqué une accélération une simplification et une banalisation
de la collecte du transfert et du traitement des données. Cet exposé va donc examiner la
réglementation actuelle en matière de protection des données à caractère personnel (I) ainsi que
les perspectives pour cette réglementation (II).

I- Le respect de la règlementation actuelle des données personnelles

La transformation numérique modifie notre façon de travailler. De plus en plus, les équipes de
marketing incitent les clients à interagir avec l'entreprise par la voie numérique au travers des
médias sociaux et des applications mobiles, en plus des canaux de communication plus
traditionnels comme Internet et la messagerie électronique. À mesure que la quantité
d'informations partagées par les clients via les nouveaux canaux numériques augmente et que les
applications d'entreprise qui traitent des données personnelles se déplacent vers le cloud, le
risque de vol ou de fuite de ces données s'accroît. L'un des objectifs premiers du code du
numérique est de réduire ce risque. Avant de prendre des mesures pour parvenir à une totale
conformité, les entreprises doivent faire en sorte de parfaitement comprendre les exigences qu'il
fixe. Fondé sur les principes généralement reconnus en matière de protection de la vie privée, le
code du numérique énonce dix principes fondamentaux :

A- Les principes directeurs de protection des données à caractère personnel

Il s’agit des principes de de licéité et de loyauté des traitements, principe du consentement et de

légitimité, la dérogation à la prospection commerciale : le droit d ’opposition, le principe de
transparence, le Principe de confidentialité et de sécurité, le principe de finalité, le principe
d’exactitude, le principe de conservation limitée des données, le principe de sécurité, le principe
de la confidentialité des données.
Aux termes de l’article 383, les données à caractère personnel doivent être :
1- traitées légitimement ;
2- collectées, enregistrées, traitées, stockées et transmises de manière licite, loyale,
transparente et non frauduleuse ; adéquates, pertinentes et non excessives au regard des finalités
pour lesquelles elles sont collectées et traitées.
Aux termes de l'article 389, le traitement des données à caractère personnel est considéré comme
légitime si la personne concernée donne son consentement. Le consentement est un concept
central en ce sens que tout résidant sur le territoire doit avoir donné explicitement son
consentement pour que ses données à caractère personnel puissent être collectées, traitées et
conservées. Pour appuyer cette exigence, le code restreint la portée du système de consentement
explicite. Il stipule que ces données doivent être collectées pour une finalité prédéfinie et très
spécifique. Toute personne concernée doit être clairement informée de cette finalité. Redonner au
citoyen le contrôle de ses données. L’exigence de loyauté de ce principe reconnaît à tous les
résidents, le « droit à l’oubli », ce qui signifie qu’ils peuvent obtenir sur demande la suppression
de leurs données à caractère personnel de toutes les banques de données du responsable du
traitement (et de celles de ses sous-traitants). Quant à l ’obligation de transparence, elle confère à
chaque résident le « droit d’accéder » à toutes les données personnelles le concernant détenues
par le responsable du traitement. La personne concernée peut demander une copie de toutes ses
données dans un format numérique, structuré et couramment utilisé, et sa demande devra être
satisfaite dans le mois qui suit sa réception. Portée du principe du consentement Toutefois, il
peut être dérogé à cette exigence du consentement lorsque le traitement est nécessaire :

1- au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;

2- à l'exécution d’une mission d’intérêt public ou relevant de l'exercice de l’autorité publique,
dont est investi le responsable du traitement ou le tiers auquel les données sont
communiquées ;
3- à l’exécution d’un contrat auquel la personne concernée est partie ou à l ’exécution de
mesures précontractuelles prises à sa demande ;
4- à la sauvegarde de l’intérêt ou des droits fondamentaux ou à l ’intimité de la vie privée
physique concernée.
Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n'est
pas fondé sur le consentement de la personne concernée, le responsable du traitement, afin de
déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les
données à caractère personnel ont été initialement collectées, tient compte, entre autres :
1- de l'existence éventuelle d'un lien entre les finalités pour lesquelles les données à caractère
personnel ont été collectées et les finalités du traitement ultérieur envisagé ;
2- du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en
ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;
3- de la nature des données à caractère personnel, en particulier si le traitement porte sur des
catégories particulières de données à caractère personnel, ou si des données à caractère
personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de
l’article 395 et si ce n’est pas le cas ;
4- des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;
5- de l'existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la
pseudonymisation.

La prospection commerciale est un outil indispensable pour l ’entreprise. Omniprésente auprès

des consommateurs, elle n’en reste pas moins importante auprès des professionnels. Dans un
contexte d’économie numérique, comment prospecter en toute conformité ?
L’encadrement de la prospection commerciale Les règles en matière de prospection commerciale
consacrent le principe du recueil du consentement préalablement à toute prospection
commerciale par voie électronique (e-mail, SMS et fax) La personne concernée doit alors donner
son consentement pour la prospection commerciale au moment de la collecte de ses données
personnelles. Le recueil du consentement est souvent matérialisé par une mention du type « En
cochant cette case, vous acceptez de recevoir des propositions commerciales par voie
électronique ». Le recours aux cases pré-cochées est à proscrire, puisque le consentement doit
être univoque, c’est-à-dire qu’il doit résulter d’un acte positif. De plus, le consentement ne vaut
que pour la personne pour laquelle il est recueilli. Le code du numérique prône la transparence :
si les données de la personne concernée sont susceptibles d’être transmises ou cédées à des
partenaires, elle devra en être informée au préalable. Pour être valable, le consentement doit être
spécifique, c’est-à-dire donné pour une finalité spécifique (un objectif donné), il faudra donc
prévoir une autre case à cocher pour la transmission à des tiers (le consentement doit être donné
pour chacune des finalités de la collecte). Il n ’est pas possible d ’utiliser les données recueillies
aux fins de prospection pour une autre finalité. La dérogation à la prospection commerciale : le
droit d’opposition : Toute personne physique a le droit de s'opposer, à tout moment, pour des
motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un
traitement. Elle a le droit, d’une part, d’être informée avant que des données la concernant ne
soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des
fins de prospection notamment commerciale, caritative ou politique et, d ’autre part, de se voir
expressément offrir le droit de s’opposer, gratuitement, à ladite communication ou utilisation. Ce
droit doit être explicitement proposé à la personne concernée d'une façon intelligible et doit
pouvoir être clairement distingué d'autres informations.
Lorsqu'il est fait droit à une opposition conformément à cet article, le responsable du traitement
n'utilise ni ne traite plus les données à caractère personnel concernées. Lorsque les données à
caractère personnel sont collectées à des fins de prospection notamment commerciale, caritative
ou politique, la personne concernée peut s'opposer, gratuitement et sans aucune justification, au
traitement projeté de données à caractère personnel la concernant. Pour exercer son droit
d’opposition, l'intéressé adresse une demande datée et signée, par voie postale ou électronique, au
responsable du traitement ou son représentant. Le responsable du traitement doit communiquer
dans les trente (30) jours qui suivent la réception de la demande prévue à l ’alinéa précédent,
quelle suite il a donnée à la demande de la personne concernée. Lorsque des données à caractère
personnel sont collectées par écrit, que ce soit sur un support papier, support électronique ou tout
autre support équivalent, auprès de la personne concernée, le responsable du traitement demande,
à celle-ci, sur le document grâce auquel il collecte ses données, si elle souhaite exercer le droit
d'opposition. Lorsque les données à caractère personnel sont collectées auprès de la personne
concernée, autrement que par écrit, le responsable du traitement demande à celle-ci si elle
souhaite exercer le droit d'opposition, soit sur un document qu'il lui communique à cette fin au
plus tard soixante (60) jours après la collecte des données à caractère personnel, soit par tout
moyen technique qui permet de conserver la preuve que la personne concernée a eu la possibilité
d'exercer son droit. En cas de contestation, la charge de la preuve incombe au responsable de
traitement auprès duquel est exercé le droit d’accès sauf lorsqu ’il est établi que les données
contestées ont été communiquées par l’intéressé ou avec son accord.
Aux termes de l’article 384, le principe de transparence implique une information obligatoire et
claire ainsi qu’intelligible de la part du responsable du traitement portant sur les données à
caractère personnel.
Aux termes de l’article 385, les données à caractère personnel doivent être traitées de manière
confidentielle et être protégées, notamment lorsque le traitement comporte des transmissions de
données dans un réseau.
Le principe de limitation des finalités établit, d'une part, que les données à caractère personnel
peuvent être traitées pour la ou les finalités prévues initialement uniquement et, d'autre part, que
tout traitement ultérieur des données collectées est interdit sans un nouveau consentement de la
personne concernée L'alinéa 3 de l'article 383 rappelle que les données doivent être << collectées
pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement de
manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment
des prévisions raisonnables de l’intéressé et des dispositions légales et réglementaires applicables
; >>
Le principe d'exactitude est étroitement lié à celui de transparence. Il prescrit à l'alinéa 5 de
l’article 383 que les données doivent être exactes et, si nécessaire, mises à jour. Toutes les
mesures raisonnables doivent être prises afin que les données inexactes ou incomplètes, au
regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées
ultérieurement, soient effacées ou rectifiées ;
Les données ne peuvent être conservées que pour une durée prédéfinie et limitée ; la finalité du
traitement détermine la durée de conservation. A l ’issue du traitement, les données sont soit
anonymisées soit conservées pour une réutilisation ultérieure à des fins de recherche scientifique
uniquement.
L’alinéa 6 de l'article 383 prévoit que les données soient << conservées sous une forme
permettant l'identification des personnes concernées pendant une durée n'excédant pas celle
nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles
elles sont traitées.>> Toutefois, Les données à caractère personnel peuvent être conservées pour
des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins
archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins
statistiques conformément à l’article 396, pour autant que soient mises en œuvre les mesures
techniques et organisationnelles appropriées requises par les dispositions du présent Livre afin de
garantir les droits et libertés de la personne concernée.

L’alinéa 7 de l'article 383 prévoit que les données doivent être traitées de façon à garantir une
sécurité appropriée des données à caractère personnel, y compris la protection contre le
traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine
accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées.
Aux termes de l’Article 385, << les données à caractère personnel doivent être traitées de
manière confidentielle et être protégées, notamment lorsque le traitement comporte des
transmissions de données dans un réseau >
 B- la mise en œuvre du dispositif de protection des données personnelles par un cadre
normatif et institutionnel
En raison de ce que les principes directeurs seront inefficaces si elles n'étaient pas assorties
d'un cadre normatif et institutionnel destiné à garantir leur effectivité, les instruments
juridiques modernes de protection de données caractère personnel ont d'une part institué
une autorité chargée de la protection des données personnelles et ont, d'autre part,
aménagé des formalités préalables au traitement des données à caractère personnel .