PRESSE

Instituée par la loi 2009 – 09 du 22 mai 2009, la Commission Nationale de l’Informatique et des Libertés (CNIL) est chargée de la protection des données à caractère personnel et de la vie privée, mais également du contrôle de leur traitement. Ainsi, sans son autorisation ou avis, aucune structure publique ou privée ne peut mettre en œuvre des traitements automatisés de données à caractère personnel.C’est pour se conformer aux prescriptions de la loi que certaines structures aussi bien publiques que privées ont saisi la CNIL pour avis ou autorisation en vue de la mise en œuvre de traitement de données personnelles.

Pour faire suite aux demandes qui lui ont été adressées, la CNIL a adopté plusieurs  délibérations dont certaines méritent d’être signalées :

  1. Délibération n°2016-002/AT/CNIL du 18 août 2016 portant demande d’autorisation de collecte de données personnelles d’identification des abonnés de la société SPACETEL BENIN SA (MTN Bénin)

SPACETEL BENIN SA (MTN BENIN) a saisi la CNIL d’une demande d’autorisation tendant à la collecte de données personnelles aux fins d’identification de ses abonnés.

Après en avoir délibéré, la commission :

  • a autorisé la mise en œuvre du traitement des données portant sur :nom, prénom, adresse, âge, sexe,  situation professionnelle,  date et lieu de naissance ;
  • En revanche, elle n’a pas autorisé la collecte des données biométriques relatives aux empreintes digitales ainsi qu’à la conservation des photos des abonnés de MTN dans le fichier informatique ;
  • La CNIL estime que l’opérateur MTN, société privée dont l’activité consiste pour l’essentiel à offrir des services en matière de télé communication ne peut collecter de données biométriques.
  1. Délibération n°2016- 007 /AV/CNIL du 19 août 2016 portant Avis de la CNIL sur la constitution d’un fichier criminel national informatisé au service des forces de sécurité publique : Police-Gendarmerie-Douanes-Eaux et Forêts.

Le Centre de Documentation de la Sécurité Publique (CDSP) a saisi également la Commission Nationale de l’Informatique et des Libertés (CNIL) d’une demande d’avis relative à la constitution d’un fichier criminel national informatisé au service des forces de sécurité publique : Police-Gendarmerie-Douanes-Eaux et ForêtsAprès en avoir délibéré, la commission a donné son avis favorable pour le traitement relatif à la création d’un fichier criminel national informatisé par le Centre de Documentation de la Sécurité Publique (CDSP) y compris les données biométriques.

  1. Délibération n°2016-004/AV/CNIL du 19 août 2016 portant  avis sur le système d’information à l’IFU et transfert des données de l’Agence Nationale de Traitement (ANT) au Ministre en charge de l’Economie et des Finances.

La Commission Nationale de l’Informatique et des Libertés (CNIL) a été saisie par le Ministère en charge de l’Economie et des Finances en vue du transfert et de l’exploitation des données de la LEPI. Après en avoir délibéré, la commission a émis un avis favorable pour :

  • le traitement du système informatisé d’immatriculation à l’IFU des contribuables ;
  • le transfert des données alpha numériques des citoyens béninois de la base de données de l’ANT à celle  du Ministère en charge de l’Economie et des Finances ;

D’autres structures telles que la banque dénommée SOCIETE GENERALE BENIN, la Société ASD_Market, ont sollicité et  obtenu l’autorisation de collecte et de traitement des données personnelles de leurs clients et / ou de leurs personnels.

La CNIL voudrait, à l’ occasion de ce point de presse, faire observer que de nombreuses structures étatiques ou privées collectent actuellement et font des traitements de données personnelles, y compris biométriques, sans autorisation, ni avis de la CNIL, au mépris des prescriptions de la loi n°2009-09 du 22 mai 2009 portant protection des  données à caractère personnel en République du Bénin.

Par ailleurs, il lui est donné de constater que des informations, même des images portant atteinte à la vie privée sont diffusées  via les réseaux sociaux notamment, WHATSAPP et FACEBOOK. L’anonymat apparent que permettent FACEBOOK et WHATSAPP par exemple, ne saurait favoriser l’impunité et les atteintes graves à la dignité de la personne humaine. La CNIL rappelle que toute atteinte à la loi portant protection des données personnelles est susceptible de sanctions administratives, civiles, et pénales. Les contrevenants encourent une peine d’emprisonnement de cinq (5) à dix (10) ans et/ou une amende de dix (1O.000.000) millions à cinquante (50.000.000) millions de francs.

La CNIL voudrait, par ma voix, rappeler aux responsables de traitements, relevant du secteur public ou privé, qu’ils ont des obligations importantes  et une grande responsabilité dans la mise en œuvre des traitements de données personnelles des clients ou usagers.

Aussi, saisit-elle l’occasion pour inviter tout un chacun à une utilisation responsable et citoyenne des réseaux sociaux.

 

Le Président de Commission Nationale de l’Informatique et des Libertés (CNIL)

Etienne FIFATIN

Au Bénin comme dans tous les pays du monde, nous assistons à une explosion des Technologies de l’Information et de la Communication (TIC). L’on ne saurait imaginer aujourd’hui une administration, un commerce, une activité bancaire, etc. sans informatique : elle est au centre de nos activités professionnelles et même domestiques. Cependant, il importe que le développement des TIC se fasse dans le respect des droits et libertés des citoyens, fondement de nos sociétés démocratiques. « A l’ère des nouvelles technologies, le droit à la vie privée devient le droit des individus, des groupes et institutions de déterminer pour eux-mêmes quand, comment et dans quelle mesure l’information qui les concerne peut être communiquée à d’autres. » (Alan Westin).

C’est dans ce contexte et sous l’impulsion de l’Organisation Internationale de la Francophonie (OIF) et des directives de l’Union Economique et Monétaire Ouest Africaine (directive n°1/2006/CM/UEMOA relative à l’harmonisation des politiques de contrôle et de régulation du secteur des télécommunications du 23 Mars 2006) que le Bénin a adopté la loi N°2009-09 du 22 mai 2009 portant protection des données à caractère personnel, juste avant le vote de la loi portant organisation du Recensement Electoral National Approfondi (RENA) et Etablissement de la Liste Electorale Permanente Informatisée (LEPI).

La présente communication qui porte sur les enjeux de la mise en place d’une autorité indépendante pour le respect du droit à la vie privée et la protection des données à caractère personnel au Bénin appréhendera les moyens légaux dont dispose la CNIL pour faire face aux menaces aux libertés dérivant de l’utilisation des TIC et s’articulera sur les principaux points suivant :

  • Fondements de la loi portant Protection des données à caractère personnel en République du Bénin (loi n° 2009-09 du 22 Mai 2009) ;
  • Définition de quelques concepts de la loi ;
  • Aperçu des structures qui manipulent les données à caractère personnel ;
  • Menaces liés à l’exploitation non contrôlée de ces données ;
  • Enjeux de la mise en place de la CNIL ;

I – Les fondements de la loi portant protection des données à caractère personnel

Au plan international,

La Déclaration Universelle des Droits de l’Homme (DUDH) du 10 Décembre 1948 en son article 12 stipule que « Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteinte à son honneur et à sa réputation. Toute personne à droit à la protection de la loi contre de telles immixtions ou de telles atteintes. » Aussi, la déclaration des principes du sommet mondial de la société de l’information de Genève du 10-12 Décembre 2003 en son point 35 prévoit que « la protection de la vie privée du consommateur est l’un des préalables au développement de la société de l’information et à l’établissement de la confiance parmi les utilisateurs des TIC ».

Au plan communautaire,

Les normes consacrant la protection des données à caractère personnel et la vie privée sont constituées d’une part, des directives de l’Union Economique et Monétaire ouest Africaine (UEMOA), notamment la directive n°1/2006/CM/UEMOA relative à l’harmonisation des politiques de contrôle et de régulation du secteur des télécommunications du 23 Mars 2006, qui stipule que « les Etats membres veillent à ce que les missions de régulation du secteur soient exercées par des Autorités nationales de régulation en vue de la réalisation des objectifs suivants : la garantie des intérêts des populations (…) en assurant un niveau élevé de protection des données à caractère personnel et de la vie privée. » Aussi, la directive n°4/2006/CM/UEMOA relative au service universel et aux obligations de performance du réseau du 23 Mars 2006 en son article 3 prévoit-elle la nécessité pour les Etats, d’œuvrer à la protection des données à personnel et à la vie privée.

Au plan national,

La constitution du 11 Décembre 1990, déjà dans son préambule a affirmé la volonté de notre Etat de respecter les droits fondamentaux de l’Homme, les libertés publiques, la dignité de la personne humaine. Ensuite son article 15 précise que « Tout individu a le droit à la vie, à la liberté, à la sécurité et à l’intégrité de sa personne ».

Le respect de l’identité humaine, de la vie privée, des droits de l’homme et des libertés constitue donc le fondement de la loi 2009-09 du 22 Mai 2009 portant protection des données à caractère personnel en République du Bénin et a été réaffirmé comme principe en son article 2.

 

II – Définition de quelques concepts

2.1 Données à caractère personnel (au sens de la loi n°2009-09 du 22 Mai 2009)

On entend par  « données à caractère personnel » toute information relative à une personne  physique identifie ou susceptible de l’être, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. L’identification se fait à partir des moyens dont disposent ou auxquels peuvent avoir accès le responsable du traitement ou toute autre personne.

Une personne est «identifiée» lorsque par exemple son nom apparaît dans un fichier.

Une personne est «identifiable» lorsqu’un fichier comporte des informations permettant indirectement son identification (ex. : adresse IP, nom, n° d’immatriculation, n° de téléphone, photographie, éléments biométriques tels que l’empreinte digitale, ADN, numéro d’Identification Nationale Étudiant (INE), ensemble d’informations permettant de discriminer une personne au sein d’une population (certains fichiers statistiques) tels que le lieu de résidence, la profession, le sexe et âge…).

Des données que vous pourriez considérer comme anonymes peuvent constituer des données à caractère personnel si elles permettent d’identifier indirectement ou par recoupement d’informations, une personne précise. Il peut, en effet, s’agir d’informations qui ne sont pas associées au nom d’une personne mais qui permettent aisément de l’identifier et de connaître ses habitudes ou ses goûts.

2.2 Données sensibles

Les données sensibles sont celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci. La collecte et le traitement de ces données sont interdits (Article 6)

Cependant, dans la mesure où la finalité du traitement l’exige, ne sont pas soumis à cette interdiction :

  • les traitements pour lesquels la personne concernée a donné son consentement exprès ;
  • les traitements justifiés par un intérêt public après autorisation de la CNIL.

La collecte et le traitement de ces données doivent dans ces hypothèses, être justifiés au cas par cas au regard des objectifs recherchés

Autres données à risque :

  • données génétiques,
  • données relatives aux infractions pénales, aux condamnations, à l’état de santé d’une personne etc.,
  • données comportant des appréciations sur les difficultés sociales des personnes,
  • données biométriques (L’ADN, la rétine, l’iris, les empreintes digitales, le contour de la main, …),

III- Risques liés à l’utilisation des données à caractère personnel

3.1 Aperçu des structures qui manipulent les données à caractère personnel

Il existe des services qui traditionnellement manipulent des données personnelles ; il s’agit :

  • Des services de sécurité qui collectent des informations pour constituer des fichiers sur des personnes suspectes ou auteurs de délits ;
  • Des services administratifs notamment les mairies, les préfectures, les services de l’immigration qui utilisent des données personnelles  servant à élaborer les cartes d’identité et les passeports ;
  • Des centres de santé élaborent des fichiers sur la santé des patients, notamment dans le cadre de la lutte contre certaines maladies. Dans ce cas, les données collectées sont de plus en plus sensibles ;
  • Des banques qui ouvrent un ou plusieurs dossiers pour chaque client : ces dossiers comportent des données personnelles, un numéro et d’autres informations non moins personnelles. La manipulation de ces informations est aujourd’hui exclusivement informatisées et un seul code suffit pour y avoir accès ;
  • Des institutions comme le port et l’aéroport utilisent des données biométriques pour mieux contrôler les accès ;
  • Les réseaux GSM ont organisé de vastes campagnes de collecte de données personnelles afin que chaque abonné soit identifiable ;
  • Les services d’immatriculation de véhicules possèdent une large banque de données qui permet de remonter à chaque propriétaire de vehicule à partir d’un numéro d’immatriculation.

Aujourd’hui, avec les progrès des TIC, nous assistons à une intensification des stratégies de sécurisation et de contrôle, par la mise en place de fichiers utilisant des données de plus en plus sensibles. Plus aucun secteur de la vie n’échappe à cette tendance.

Ainsi, des données biométriques sont-elles collectées, numérisées, enregistrées, organisées, conservées, consultées et utilisées par les responsables des traitements sans requérir l’avis de l’autorité en charge du contrôle de la création de ces traitements. On peut citer pêle-mêle :

  • L’établissement de la Liste Electorale Permanente Informatisée (LEPI). Cette énorme base de données comprend outre les données biométriques des citoyens, les références GPS des lieux de résidence de personnes recensées ;
  • Le Recensement Général de la Population et de l’Habitat (RGPH) organisé tous les 10 ans par l’Institut National de Statistique et d’Analyse Economique (INSAE) collecte des données sur la population, données conservées dans des fichiers numériques ;
  • La mise en place de systèmes d’accès biométrique pour accroître la sécurité dans les ministères et autres administration ;
  • Le recensement biométrique des agents de l’Etat (Côte d’Ivoire, Burkina Faso, Tchad, République Démocratique du Congo) afin de maîtriser les effectifs des fonctionnaires de l’Etat ;
  • La mise en place de réformes au Port Autonome de Cotonou (PAC) avec pour objectif de renforcer la sécurité par un meilleur système d’identification des utilisateurs ;
  • Le recensement biométrique des femmes bénéficiaires des microcrédits au plus pauvres afin d’éviter les crédits multiples ;
  • La mise en place de systèmes d’assurance maladie avec parfois création de fichiers sanitaires sur les bénéficiaires etc.

A cela s’ajoutent l’utilisation de l’informatique dans le monde des affaires (e-commerce, e-banking, marketing), la télécommunication (GSM), le développement des réseaux sociaux (Facebook, Twitter), la géolocalisation  (Google street view, GPS), la vidéosurveillance,  l’utilisation des profils d’ADN à des fins d’enquêtes de police, etc…

Dans la plupart des cas, ces bases sont mises en activité de façon illégale. L’illégalité est fondée parfois sur le contenu de la base et sûrement sur l’absence de déclaration à la Commission. Ce défaut de declaration auprès de la CNIL présente des risques. La collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction de ces bases peuvent porter atteinte à l’identité humaine, à la vie privée de l’individu, aux droits de l’homme, aux libertés publiques, individuelles ou collectives. Quelques exemples seront développés ici:

3.2 Risques liés à la collecte de données personnelles

  • Collecte de données sans consentement des personnes concernées ;
  • Collecte de données sensibles telles que la région d’origine, l’ethnie, la religion, la race etc.
  • Collecte de données inexactes.

3.3 Risques liés à l’utilisation des données

  • Etablissements d’actes et de conventions par une utilisation frauduleuse de données personnelles surtout dans notre pays où des parties signent encore à l’aide des empreintes digitales ; ceci accroit l’insécurité dans les transactions foncières ;
  • Distribution non consentante de publicités par les réseaux GSM ;
  • Utilisations frauduleuses des adresses e-mails et des numéros GSM par des arnaqueurs ;
  • En Novembre 2015, le Président Nigérian a demandé à MTN le versement d’une amende de $ 5 milliards pour ne s’être pas conformé à la décision de l’Etat Fédéral de faire suspendre les lignes des abonnés non enregistrés. L’amende a été ramenée à $ 3,5 milliards lorsque la Société a demandé l’indulgence du Président.
  • Sur le plan international, nous avons encore en mémoire l’affaire WikiLeaks[1]. Au-delà des informations stratégiques publiées par le site, l’affaire concerne aussi la mise en ligne de correspondances personnelles.

3.4 Risques liés à l’interconnexion

Aujourd’hui; il est possible de façon officielle ou frauduleuse, à l’aide de puissants moteurs de recherche, de réaliser l’interconnexion de fichiers d’origines diverses. Il peut s’agir de fichiers d’état civil, d’immatriculation de véhicules, de fichiers sanitaires, de la LEPI, des données bancaires etc. Une remarque s’impose : nous sommes désormais nus, il suffit de connaître le nom d’une personne ou même le numéro d’immatriculation d’un véhicule pour voir s’afficher à l’écran d’un ordinateur toute la vie de l’individu concerné.

  • Les nouvelles Cartes Nationales d’Identité comportent désormais le numéro de téléphone du citoyen. Cette information est certes utile pour le citoyen mais elle est illégale par l’absence de déclaration à la CNIL.
    Par ailleurs, elle représente un exemple d’interconnexion de données introduite sans qu’aucun débat ne soit mené sur le consentement des citoyens.
  • Aux Etats Unis d’Amérique par exemple, les parties politiques utilisent un système de « recoupement informatique des données personnelles » pour identifier les électeurs encore indécis afin de mettre en place des stratégies personnalisées pour les convaincre. Ceci démontre l’importance des défis des organes de protection des données à caractère personnel et du contrôle des traitements.

IV- Enjeux de la mise en place de la CNIL au Bénin

4.1 Rappel de la Mission de la CNIL

La définition et la mission de la CNIL sont prévues aux articles 19 et 20 de la loi informatique et libertés puis aux articles 1 et du règlement intérieur de la Commission.

« La CNIL est un organisme de protection des données à caractère personnel et de contrôle de leur traitement.

La Commission est une structure administrative indépendante. Elle exerce une mission de service public. Elle est dotée de la personnalité juridique, de l’autonomie financière administrative et de gestion. La commission ne reçoit d’instructions d’aucune autorité administrative ou politique. »

« La Commission veille à l’application des dispositions de la loi N° 2009-09 du 22 Mai 2009 portant protection des données à caractère personnel en République du Bénin. »

4.2 Les Enjeux proprement dit

Les enjeux de la Commission sont définis par l’article 21 de la loi informatique et libertés.

Ainsi, la CNIL:

1. Informe et conseille toutes les personnes concernées et les responsables de traitement de leurs droits et obligations;

La loi impose que tout traitement de données personnelles fasse l’objet de formalités préalables (déclaration, demande d’autorisation)auprès de la CNIL, sous peine de sanctions pénales.

Il s’agit en particulier:

  • Des traitements comportant un numéro national d’identification ainsi que tous traitements de portée nationale recensant tout ou partie de la population ;
  • Des traitements comportant des données biométriques nécessaires au contrôle de l’identité des personnes ;
  • Des traitements comportant des données relatives à la santé des personnes ou à leur situation ;
  • Des traitements comportant des données relatives aux infractions et condamnations ;
  • Des traitements intéressant la sûreté de l’Etat, la défense ou la sécurité publique et ceux qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ;
  • Des traitements ayant pour objet l’interconnexion des fichiers correspondant à des intérêts différents ;
  • Des traitements pouvant exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat ;
  • Des traitements prévoyant des transferts des données personnelles à destination d’autres Etats lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l’objet.

2. Contrôle la création et la mise en œuvre des traitements : vérifier la conformité des conditions générales d’utilisation et la politique de confidentialité des entreprises avec les dispositions de la loi.

3. Reçoit les réclamations, pétitions et plaintes relatives à la mise en œuvre des traitements des données à caractère personnel ;

4. Informe le Procureur de la République des violations des dispositions de la loi n°2009-09 du 22 Mai 2009 ;

Exemple : Google Inc. a décidé le 1er mars 2013 de fusionner toutes les différentes règles de confidentialité applicables à tous ses services. La CNIL (française) a prononcé, la plus haute sanction pécuniaire s’élevant à 150 000 euros.

5. Veille aux évolutions des technologies de l’information et de la communication et rendre publique son appréciation des conséquences de ces évolutions sur la protection des libertés et de la vie privée ;

6. Transmet aux pouvoirs publics, les propositions de modification législatives ou réglementaires qui lui semble susceptibles d’améliorer la protection des personnes à l’encontre de l’utilisation des technologies de l’information et de la communication.

Ces enjeux doivent être perçus comme des défis. Dans la pratique, le défi de la protection des données à caractère personnelle est de faire de LA PROTECTION DES DONNEES PERSONNELLES UN DROIT FONDAMENTAL. En voici les grands domaines :

  1. La protection des droits de l’individu en environnement numérique : Les technologies actuelles (et surtout à venir) permettent de tout savoir sur un individu dans l’espace et dans le temps (temps passé et bientôt dans le temps futur), par la collecte et le traitement de données sur cette personne. L’usage que l’on pourrait faire de ces technologies peut être attentatoire à nos libertés fondamentales.
  2. Protéger la vie privée de l’individu (Privacy, privacité ): L’enjeu de la protection des données personnelles, les libertés individuelles et publiques, les droits du citoyen dans une démocratie à protéger son identité et son intimité du regard de l’Etat, l’Etat garant de cette protection;
  3. Protéger les libertés fondamentales dans le contexte d’insécurité : l’enjeu de la protection des données personnelles dans un contexte ETAT Sécurité & Défense. Les technologies sont utilisées pour assurer la sécurité collective des personnes et la défense des intérêts de notre pays.

Le niveau de déploiement de ces technologies a des conséquences directes sur nos libertés fondamentales et nécessite un contrôle.

4. Protéger l’individu face à la Puissance des technologies et leurs risques L’ETAT Sécurité & Défense Utilisation des technologies pour :

  • l’identification et l’authentification : biométrie (éléments du corps identifiant la personne), vidéo & audio-surveillance,
  • le traçage : navigation sur le web (cookies …) , géolocalisation (GPS …), nanotechnologies (puces RFID, …),
  • la prédiction comportementale : profilage, analyse statistiques, …
  • tendance : le couplage de plusieurs technologies et le croisement intelligent des données.

5. Protéger le citoyen parce que les données personnelles ont une valeur marchande : des informations personnelles sont nécessaires aux fournisseurs de service (en ligne ou non) pour offrir des services personnalisés performants à leurs utilisateurs – Exemples : Télépéage, paiement par carte bancaire, achats en ligne, informations ciblées etc. La réutilisation de ces données pour proposer des services payants ciblés sur nos besoins et envies est souvent la contrepartie de la gratuité de beaucoup de ces services.

6. Protéger l’individu de la dépendance aux reseaux sociaux « gratuits »: les grands services de l’internet collectant et utilisant les données personnelles de leurs utilisateurs

  •  Médias sociaux
  • Stockage dans le nuage (Cloud)
  • Publication (blogs, wiki… )
  • Information • Réseaux sociaux
  • News, météo, santé …
  • Partage (textes, photos,
  • Localisation vidéos, musique)
  • Cartes, points d’intérêt, …
  • Moteurs de recherche
  • Divertissement La production
  • Jeux, films, vidéos, musique et la communication
  • E-commerce • Communication indirecte de données
  • E-mails, audio (Voix sur IP),
  • Objets communicants visioconférence, messagerie, WhatsApp
  • GPS, Bluetooth, …

Il s’avère donc indispensable de protéger les droits de l’individu dans une société où tout le monde est surveillé.