Etienne-Marie Fifatin, président de la CNIL sur la protection des données à caractère personnel : « Après la sensibilisation, nous passerons à la phase de répression »

Instituée par la loi n°2009-09 du 22 mai 2009 portant protection des données à caractère personnel en République du Bénin, la Commission nationale de l’Informatique et des Libertés (CNIL), est chargée de veiller à ce que l’informatique soit au service du citoyen et ne porte pas atteinte à l’identité humaine, aux droits de l’Homme, à la vie privée, aux libertés individuelles et collectives. Depuis le 26 décembre 2015, elle a un nouveau président en la personne d’Etienne-Marie Fifatin, magistrat de profession, en service à la Cour suprême. Il expose ici les enjeux de sa présidence.

La Nation : Quel est l’état des lieux de la connaissance, par les populations, de leur droit à la protection de leurs données personnelles ?

Etienne-Marie Fifatin : Vous savez que le monde dans lequel nous vivons est dominé par les nouvelles technologies de l’information et de la communication, de sorte que nous ne passons pas une journée sans consulter nos smartphones, sans nous connecter à internet. Bien souvent, dans les services que nous fréquentons, on nous demande des informations. Quand nous allons à la banque pour ouvrir un compte, on nous prend un certain nombre d’informations. Lorsque nous allons acheter une carte SIM auprès des opérateurs GSM, on prend nos données. Toutes ces informations que l’on collecte et qui sont considérées comme importantes, touchant à la vie privée, doivent être protégées. C’est l’objet de la loi 2009-09 du 22 mai 2009 portant protection de données à caractère personnel. Et c’est cette loi qui a mis en place une Commission qui veille à la protection de ces données. Nous devons alors comprendre que dans ce monde numérique qui nous emporte, nous devons faire attention. Nous, à la Commission, nous avons le devoir de protéger les citoyens, de protéger tous ceux qui utilisent ces données pour que ces personnes sachent à quoi s’en tenir. Lorsque nous prenons notre téléphone pour nous connecter, nous devons savoir que nous ne sommes pas toujours seuls. Lorsque nous appelons quelqu’un, ou que nous nous déplaçons, selon les fonctions que nous avons sur notre téléphone, on peut savoir où nous nous trouvons. Aujourd’hui, les populations ne connaissent pas suffisamment leurs droits. Or, ces droits doivent être promus et protégés comme faisant partie des droits fondamentaux de la personne humaine, ainsi que l’a prévu notre Constitution et ses textes subséquents.

Quels sont donc les défis à relever ?

Les défis, aujourd’hui, c’est de faire en sorte que chaque citoyen connaisse ses droits en matière de protection de la vie privée, pour qu’il ne s’expose plus. On dit souvent qu’avec les nouvelles technologies, nous sommes nus. Nous sommes nus parce que quand nous nous connectons, nous ne sommes pas seuls. On peut accéder à nos données. Lorsque nous allons nous faire enregistrer n’importe où sans précaution, nos données sont accessibles. Nous allons à l’hôpital, nous avons une certaine pathologie, on collecte nos données, ce sont des données qui nous sont précieuses et qui doivent être protégées. Le défi est donc d’informer suffisamment les populations. Nous devons faire en sorte que chacun comprenne et prenne des dispositions. Lorsque nous aurons réussi ce travail d’information, que nous avons du reste commencé en faisant le tour de certains collèges du pays à Cotonou, Natitingou et Parakou, où nous sommes allés parler aux élèves, grands utilisateurs de ces outils ; les populations pourront faire valoir leurs droits dans le domaine. Par ailleurs, dans les administrations, dans les services, on enregistre nos données. Ceux qui enregistrent sont considérés comme des responsables de traitement. En tant que tels, ils ont des obligations. Ils doivent, entre autres, déclarer leur traitement. Il leur est même fait obligation, en ce qui concerne la collecte de certaines données, de demander l’autorisation de la CNIL. Ainsi, on ne peut pas collecter les données des populations comme on veut. L’autre défi aujourd’hui, c’est de discipliner un peu le domaine pour que ceux qui collectent les données prennent conscience qu’elles sont confidentielles. Car les données collectées, les données biométriques qui ont trait à la couleur des yeux, des cheveux, les empreintes digitales, les photos, etc. sont très sensibles. Donc il faut faire en sorte que leur traitement se fasse conformément aux normes. Et depuis l’avènement de la loi 2009-09, il y a beaucoup de responsables de traitement qui n’ont pas encore fait leur déclaration à la CNIL ou qui n’ont même pas fait une demande d’autorisation de collecte de données à la CNIL. Nous sommes dans une phase de sensibilisation à leur endroit ; nous passerons ensuite à la phase de répression.

Justement, comment pouvez-vous les sanctionner, ces traiteurs indélicats de données ?

Il y a une série de sanctions prévues par la loi. Il y a des sanctions administratives, des sanctions civiles et des sanctions pénales. Les sanctions administratives vont se décliner par exemple en un avertissement, en interdiction de traiter des données, en blocage du système… Les sanctions civiles sont du domaine des tribunaux civils. Ainsi lorsqu’un traitement de données cause des dommages à autrui, celui qui est responsable de ce traitement est mis en cause et peut être condamné à la réparation par les juridictions compétentes. Enfin, au plan pénal, la loi a indiqué des peines allant jusqu’à 10 années de prison et des amendes jusqu’à 50 millions de FCFA. C’est important et cela doit faire prendre conscience que les données personnelles que l’on collecte sont des données à protéger absolument. C’est à cela que nous allons nous atteler davantage au cours des années à venir pour que chacun -citoyens comme utilisateurs de données-, prenne conscience de l’enjeu de la protection des données personnelles.

Comment comptez-vous concrètement amener les fournisseurs de services nécessitant la capture de certaines données personnelles, à prendre conscience de leurs responsabilités ?

C’est un domaine encore plus complexe parce que ces fournisseurs sont des commerçants. Ils ont un souci de rentabilité et c’est normal. Mais ce faisant, ils ne doivent pas oublier qu’il y a d’autres impératifs comme la sécurisation des données qu’ils collectent. Et il faudrait que cela soit bien compris. Parmi ces fournisseurs d’accès, nous avons certains réseaux GSM qui opèrent aujourd’hui encore sans accomplir les formalités. Nous allons poursuivre notre sensibilisation de manière à ce que la phase de transition passe. Dès lors, nous entrerons en répression. Ainsi, si un opérateur, un fournisseur d’accès ne respecte pas la loi, il subira les sanctions. Cela, nous comptons le faire pour que les droits des citoyens soient mieux respectés.

La CNIL a-t-elle les moyens de sa politique ?

C’est évident que nous n’avons pas tous les moyens. Et en l’état actuel, nous ne pouvons pas prétendre atteindre pleinement nos objectifs. Cependant, la CNIL bénéficie d’une subvention de l’Etat. Elle n’est pas encore suffisante mais c’est un début. Ce serait mieux si nous avions de grands moyens parce que, pour contrôler les responsables de traitement, il nous faut des outils perfectionnés. A supposer que les opérateurs collectent des données et que nous voulons vérifier si ces opérateurs, ces responsables de traitement disposent de moyens suffisants pour assurer une protection, pour le faire il faut des moyens. Dans d’autres pays par exemple, c’est un laboratoire d’outils qui fait les analyses. Lorsque vous tombez sur des cas du genre du procès qui se tient actuellement à Bruxelles contre Facebook, qui collecterait des données indûment, il faut en avoir les moyens car c’est un géant. Voilà pourquoi nous comptons également sur les pouvoirs publics pour doter la CNIL davantage de moyens pour lui permettre d’attendre ses objectifs.

Vous parlez de Facebook. Nombre d’internautes béninois en sont des utilisateurs. De quel pouvoir disposez-vous pour lui faire face le cas échéant ? Votre capacité d’agir ne semble-t-elle pas limitée face aux opérateurs nationaux ?

Vous avez raison. Dans le contexte même où le procès se déroule, il n’est même pas encore évident d’avoir gain de cause contre ce géant. Partant de notre petite expérience, pendant la période électorale, beaucoup de choses ont circulé sur les réseaux sociaux. Vous avez parfois des personnes dont on déforme l’image, vous entendez des personnes parler, vous entendez des voix sans qu’il soit parfois possible d’identifier qui parle parce que le serveur n’est pas ici. Nous n’avons pas toujours les moyens de contrôler. Nous avons été confrontés à des difficultés pour vérifier car, pour cela, il faut avoir des moyens énormes. Or, les mêmes problèmes qui se posent dans les pays européens relativement à Facebook par exemple, se posent également au Bénin. En effet, les données des utilisateurs sont happées, enregistrées à leur insu. Avons-nous les moyens de contrôler tout cela pour le bien de nos populations ? Pour le moment, ce n’est pas évident. On n’a pas les moyens mais je pense qu’il ne faut pas désarmer. Il faut se donner les moyens et je crois que nous le pouvons. Pour le peu qu’on puisse faire au niveau où nous sommes, si l’Etat nous aide, si les utilisateurs nous aident, je crois que nous pouvons aller loin et c’est dans leur intérêt. Les populations peuvent nous aider.

En quoi faisant par exemple ?

Ah ! Par exemple lorsque dans un commerce on demande à collecter leurs données, elles peuvent demander si l’opérateur a une autorisation. Elles peuvent protester, faire remarquer que ces données qui vont être collectées ne semblent pas en adéquation avec le service qui va être rendu. Si vous voulez acheter des produits dans un commerce et qu’on vous dit que pour vous fidéliser, on va prendre vos contacts, vos noms et prénoms, les noms de votre père, de votre conjoint, le nombre d’enfants que vous avez, etc., a-t-on besoin de tout cela pour que vous soyez un client fidèle ? Vous pouvez donc vous y opposer. Lorsque dans une banque on collecte vos données, il faut vous assurer de ce qu’on fait avec. Il faut qu’on vous le dise car nous avons des cas de transfert de données. Vous donnez vos informations à un opérateur sur place, et il les envoie hors du pays ! Il doit vous prévenir et si cela ne vous convient pas, vous êtes en mesure de dire non, de refuser que vos informations se retrouvent dans un pays tiers ; surtout qu’il n’offre pas de garantie adéquate de protection.

Pouvez-vous rappeler ce qu’est la CNIL ?

C’est la Commission nationale de l’informatique et des libertés. Elle a, entre autres attributions, de veiller à la protection des données personnelles. La CNIL, également, peut donner des conseils, des avis, elle donne des autorisations pour les responsables qui veulent collecter des données mais elle peut faire aussi des contrôles. Par exemple quand on collecte des données, la CNIL peut contrôler après ce que l’opérateur en a fait. Donc elle agit en amont et en aval.?