Naviguer sur Internet confère des droits et devoirs qu’il convient de connaître et d’exercer, notamment en cas de vol de données à caractère personnel.

« En matière de protection des données à caractère personnel, les utilisateurs d’Internet jouissent d’une série de droits qui sont attachés à leur qualité même de personne physique et dont les informations à caractère personnel peuvent être utilisées à des fins détournées », laisse entendre Mariannick Ouendo, du service conformité de l’Autorité de protection des données à caractère personnel (APDP). Si la révolution numérique n’exclut personne, ni aucun secteur d’activité, son évolution fulgurante peut laisser croire qu’Internet est un open-space sans droits, ni devoirs. Mais d’après le code du numérique du Bénin, les utilisateurs d’Internet sont soumis à des droits tels que le droit à l’information préalable, le droit de rectification et de suppression, le droit d’opposition, le droit d’accès, etc.

A ce sujet, Mariannick Ouendo explique que « le droit à l’information préalable oblige le responsable de traitement à communiquer un certain nombre d’informations obligatoires qui portent sur son identité, les finalités visées à travers la collecte de ces données dans le cadre défini par le responsable, la durée pendant laquelle les informations personnelles seront conservées, la possibilité pour eux d’exercer le droit d’accès à leurs informations, le droit de rectification ou de suppression et le droit de s’opposer à certaines collectes. Autant d’informations pour obtenir le consentement de l’usager avant l’utilisation de ses données à caractère personnel. »

Si dans la plupart des cas, le droit à l’information préalable est respecté, le contraire peut arriver. Ainsi, l’APDP fait obligation au responsable de traitement de concevoir ou d’élaborer ces conditions pour en obtenir son autorisation préalable. Par ailleurs, il y a les cookies qui sont collectées via les plateformes web en ligne.

« Il faudrait que le responsable de traitement, à travers un pop-up, puisse permettre à l’usager de pouvoir donner son accord. Les cookies sont des fichiers d’extension .txt installés via le navigateur, permettant au responsable de traitement de suivre le comportement de l’internaute sur cette plateforme. Les utilisateurs peuvent installer des plugins (extensions) qui leur permettront de bloquer l’accès aux cookies à travers les navigateurs. Ou carrément utiliser l’option privée pour également empêcher ces cookies d’être installés sur les ordinateurs des personnes concernées », précise Hervé Kponon, informaticien au service de conformité à l’APDP.

Rançonnement, sextorsion, chantage, etc.

La perte ou le vol de données à caractère personnel est l’une des réalités du cyberespace. Ces données peuvent servir d’arguments de chantage de la part de personnes malveillantes. A cet effet, l’APDP utilise ses canaux digitaux pour informer les utilisateurs d’Internet. Elle procède à des séances de sensibilisation et de formation dans les écoles et les universités sur les 12 règles obligatoires du numérique, encore qualifiées d’éducation au numérique. Dans les administrations publiques ou privées, les sociétés ou auprès des particuliers, elle intervient à la demande, pour dispenser des formations sur la protection des données à caractère personnel.

Chaque année, des formations sont faites par l’APDP à l’endroit des délégués à la protection des données personnelles, des acteurs publics ou privés qui estiment que les informations et les acquis de ces formations leur seront utiles dans l’exercice de leurs fonctions. L’année dernière par exemple, elle avait fait des sensibilisations dans les collectivités territoriales à travers les 12 départements du Bénin.

« Le vol de données à caractère personnel peut se faire par l’entremise des canaux digitaux. Il peut s’agir de rançonnement, d’usurpation d’identité, de sextorsion ou de chantage. Lorsqu’un citoyen estime que ses données ont été volées, il a la possibilité de porter plainte auprès de l’APDP », rassure Mariannick Ouendo. Ce dernier peut aussi contacter l’APDP via son numéro vert, le 150, pour porter plainte ou poser des préoccupations en rapport avec la mise en conformité de sa structure vis-à-vis de la loi sur la protection des données à caractère personnel.

Processus de traitement des plaintes

Issa Nazifatou Kouré, juriste au service du contrôle et du contentieux de l’APDP, explique qu’après réception des plaintes, l’Autorité prend connaissance du contenu pour identifier les éléments d’appréciations (informations nécessaires et preuves) pouvant conduire l’instruction efficace de la plainte. Lorsqu’il n’y a pas suffisamment d’informations ou de preuves pour permettre l’instruction de la plainte, l’Autorité invite les plaignants ou entre en contact avec eux afin de recueillir ces éléments d’appréciation ou de preuves. Après cette première étape, l’APDP procède à des vérifications et des investigations pour analyser la véracité des faits afin de conduire diligemment le dossier de plainte.

« Et quand tous ces éléments sont rassemblés, poursuit-elle, on essaie d’identifier les violations au régime de données personnelles ou à la vie privée du plaignant qui ont été commises. Quand ces violations sont avérées et constatées, dans le cas où la personne contre qui la plainte a été déposée est connue, on l’interpelle selon les dispositions du code du numérique en la matière pour que les suites adéquates soient données selon le cas de chaque plainte. Dans les cas où les plaintes sont contre x (personne inconnue) les investigations menées par l’APDP permettent également d’identifier le ou les auteurs de ces violations afin de les interpeller pour les suites de droit. »

Après ce processus de traitement, certaines plaintes sont réglées à « l’amiable » au sein de l’APDP. Pour d’autres, les plaignants sont injoignables ou abandonnent la procédure en cours d’instruction. Mais « au regard de la gravité et de la complexité des violations commises, il y a d’autres catégories de plaintes qui sont transmises dans un rapport avec les éléments de preuves nécessaires aux membres de l’APDP. A ce niveau de la procédure, le plaignant et le mis en cause sont invités et écoutés respectivement à la suite de quoi, l’instance décide d’appliquer la loi. A la fin de la procédure, la décision rendue est notifiée aux parties pour exécution », conclut Issa Nazifatou Kouré.

Michaël Tchokpodo

(Source : CIO Mag, 12 décembre 2023)