Une quarantaine de professionnels de banques se sont réunis au Golden Tulip le Diplomate à Cotonou du 20 au 22 Avril 2026, pour une formation proposée par l’Association des Professionnels de Banque et Etablissements Financiers (APBEF) et l’Autorité de Protection des Données à caractère Personnel (APDP).
Un atelier de formation crucial pour les DPO des établissements financiers au Bénin
A partir du lundi 20 Avril, les professionnels des départements conformité et support Informatique des établissements financiers suivants se sont réunis au Golden Tulip :
- AFGC
- BANGE BANK
- BANQUE ATLANTIQUE
- BGFI
- BIIC
- BSIC
- BOA
- CORIS BANK
- ECOBANK
- NSIA BANK
- ORABANK
- SOCIETE GENERALE
- UBA
La majorité des participants étaient des DPO, qui ont suivi pendant 3 jours les ateliers animés par l’équipe de l’APDP mobilisée :
- Delphin TAMADAHO : Conseiller Technique Juridique
- Mariannick OUENDO : Responsable du Service Conformité
- Hervé KPONON : Responsable de la Sécurité des Systèmes d’Information
- Alain OKOTCHE : Juriste au Service Contrôle et Contentieux
- Oulfath PHILIPPE : Juriste au Service Conformité
- Ben Yahmed SOULE : Juriste au Service Conformité
L’APBEF, initiatrice de cette formation, était représentée par Edouard HOUNWANOU.
WDS, représenté par Farel BABADJIHOU, a eu l’honneur de participer à cette formation.
Au bout des 3 jours, les participants ont reçu des attestations de participation.
Au programme : 8 modules de formation sur la Protection des Données Personnelles
Module 1 — Le DPO : rôle et mise en place
Le premier module a posé les fondations conceptuelles et juridiques de toute la formation. Les participants ont d’abord été initiés aux notions essentielles : qu’est-ce qu’une donnée personnelle (identification directe ou indirecte d’une personne), quelles sont les 19 opérations constitutives d’un traitement, et quel est le champ d’application territorial et matériel du Livre V du Code du Numérique.
Sept principes cardinaux ont ensuite été développés :
- licéité, loyauté et transparence
- limitation de la finalité
- responsabilité et réparation
- minimisation des données
- exactitude
- limitation de la durée de conservation
- sécurité/confidentialité
Ces principes ne sont pas des recommandations de bonne pratique — ce sont des obligations légales dont le non-respect expose à des sanctions lourdes.
Le module s’est conclu sur le profil et le rôle du DPO, présenté comme le point focal entre sa structure et l’APDP, autrement dit « l’APDP en miniature » au sein de son organisation. Sa désignation, obligatoire pour les structures publiques et conditionnelle pour les structures privées, doit être validée par l’APDP. Une formation continue est exigée en raison de l’évolution permanente des technologies, dont l’intelligence artificielle.
Module 2 — Le DPO et le responsable de traitement dans la gestion des données de l’entreprise
Ce module a cartographié les acteurs de la chaîne de traitement et clarifié les responsabilités de chacun. L’APDP est l’autorité de contrôle, dotée d’un pouvoir réglementaire, d’autorisation et de sanction. Le Responsable de Traitement (RT) est l’instance décisionnelle : il détermine les finalités, déclare ses traitements, applique les principes de conformité, désigne le DPO et rend compte de sa conformité selon le principe d’Accountability. Le sous-traitant agit pour le compte du RT sous sa responsabilité, tandis que les employés, partenaires et personnes concernées complètent la chaîne.
Le cœur du module a porté sur l’indépendance du DPO : garantie par le législateur, elle se traduit par l’impossibilité de le sanctionner pour l’exercice de ses missions et par son rattachement direct au plus haut niveau de direction. Le RT est tenu de lui fournir les ressources humaines, matérielles et budgétaires nécessaires, ainsi qu’un accès complet aux opérations de traitement et aux données.
Module 3 — Le DPO et la mise en place du registre des traitements
Ce module a présenté trois outils opérationnels complémentaires que le DPO doit maîtriser pour exercer son contrôle interne.
La cartographie des traitements est l’inventaire exhaustif de toutes les opérations effectuées sur les données personnelles. Elle est le préalable indispensable à toute déclaration auprès de l’APDP, comme l’imposent les articles 405 et 407 du Code du Numérique. L’APDP a élaboré une cartographie indicative adaptable.
La politique de classification des données évalue l’impact potentiel de chaque traitement selon trois critères — confidentialité, intégrité et disponibilité — sur une échelle allant de faible à élevé, pour adapter le niveau de protection aux enjeux réels.
Le registre des traitements est une obligation légale qui documente les finalités, catégories de données et de personnes, destinataires, durées de conservation, transferts éventuels et mesures de sécurité. Il doit être disponible à tout moment pour l’APDP. Les PME bénéficient d’une exemption, sauf si leurs traitements présentent un risque pour les droits des personnes, portent sur des données sensibles ou ne sont pas occasionnels.
Module 4 — Le DPO et la gestion des tiers intervenants
Ce module a traité de l’une des dimensions les plus délicates du quotidien d’un DPO : la gestion des entités extérieures qui interviennent dans la chaîne de traitement.
Dans le cadre de la sous-traitance, le DPO intervient à chaque étape : il conseille le RT lors de la sélection du prestataire, participe à la rédaction du contrat pour y intégrer les obligations légales, vérifie les garanties techniques et organisationnelles offertes, et met en place des contrôles et audits réguliers pour s’assurer du respect continu des engagements.
Lorsqu’un tiers autorisé demande communication de données, le DPO doit procéder à une vérification en quatre points : identité et légitimité du demandeur, fondement légal de la demande, périmètre des données sollicitées, et mesures de confidentialité du destinataire. Toutes les vérifications et pièces échangées doivent être tracées.
Face à un tiers non autorisé, le DPO adopte une posture de gardien : il conseille de refuser la transmission, protège les droits des personnes concernées — en particulier pour les données sensibles — et prémunit la structure contre tout risque de violation et de sanction.
Module 5 — Élaboration du plan d’action sécurité
Ce module technique a abordé la sécurité comme un processus continu, articulé autour du cycle protéger → évaluer → définir des règles → mettre en œuvre → contrôler → améliorer.
La sécurité repose sur trois propriétés fondamentales — confidentialité, intégrité et disponibilité (CID) — qui s’appliquent à la fois aux données elles-mêmes et aux systèmes qui les hébergent. Les participants ont vu illustrés des scénarios concrets de vulnérabilité : pare-feu mal configuré, application web exposée à une injection SQL, poste infecté par un ransomware.
L’évaluation des risques suit la formule : Risque = Menace × Vulnérabilité × Impact. Elle permet de prioriser les actions et de justifier les investissements sécurité, en distinguant trois niveaux de protection adaptés à la sensibilité des données.
Le module a conclu sur le cadre normatif de référence : la PSSIE (décret n° 2021-550 du 27 octobre 2021) pour les institutions publiques béninoises, la famille ISO/IEC 27000 pour la gestion de la sécurité de l’information, et les standards sectoriels bancaires PCI DSS, SWIFT CSP et Bâle III.
Module 6 — Le DPO et la gestion des incidents de violation de données
Ce module a couvert l’une des missions les plus opérationnelles du DPO : la gestion structurée des violations de données. Une violation peut prendre trois formes — atteinte à la confidentialité, à l’intégrité ou à la disponibilité — et son identification repose sur une qualification juridique rigoureuse : y a-t-il des données personnelles impliquées ? Un risque pour les droits et libertés est-il avéré ?
La réponse interne doit suivre un workflow en huit étapes : détection → qualification → confinement → analyse d’impact → notification à l’APDP → information des personnes concernées → documentation → retour d’expérience. La notification à l’APDP est obligatoire sans délai dès lors qu’un risque pour les droits existe (art. 427 du CN). Lorsque le risque est élevé, les personnes concernées doivent être directement informées, avec des recommandations pratiques.
Point central souligné : le DPO ne pilote pas techniquement la réponse à l’incident, mais doit impérativement être associé à toutes ses étapes. La conformité continue — audits, simulations, contrôle des délais — est la meilleure garantie contre les violations futures.
Module 7 — Le DPO et la garantie des droits des personnes concernées
Ce module a détaillé les sept droits reconnus par le Code du Numérique aux personnes dont les données sont traitées, et les obligations pratiques qui en découlent pour le DPO et le responsable de traitement.
Ces droits sont : le droit à l’information préalable (art. 415-416), le droit d’accès avec un délai de réponse de 60 jours (art. 437), le droit à la portabilité pour les traitements automatisés fondés sur le consentement ou un contrat (art. 438), le droit d’interrogation sur les fichiers publics (art. 439), le droit d’opposition avec un délai de 30 jours (art. 440), le droit de rectification et de suppression avec un délai de 45 jours (art. 441), et le droit à l’oubli numérique avec un délai de 30 jours prorogeable de 60 jours (art. 443). L’exercice de ces droits est entièrement gratuit pour la personne concernée (art. 421).
En cas de non-respect, trois voies de recours sont ouvertes : réclamation auprès de l’APDP (art. 448), recours devant la chambre administrative de la Cour suprême en cas d’inaction de l’APDP au-delà de 90 jours (art. 449), et action en réparation devant les juridictions de droit commun (art. 451).
Le rôle du DPO est de s’assurer que la politique de confidentialité — dont l’APDP a élaboré un modèle type — est effectivement mise à disposition des personnes concernées, et que les procédures d’exercice des droits sont réellement opérationnelles.
Module 8 — Les outils de mise en conformité
Le dernier module a présenté l’ensemble des ressources pratiques mises à disposition par l’APDP sur son portail https://apdp.bj (Vos démarches → Outils de mise en conformité) pour accompagner les organisations dans leur parcours de conformité.
La boîte à outils comprend des guides d’information (découverte de l’APDP, guide de mise en conformité, guide vidéosurveillance, brochure sur les droits), des formulaires (formulaire unique préalable au traitement et ses annexes sous-traitance, transfert, communication, interconnexion ; formulaires d’engagement de conformité ; formulaire de consentement électronique), et des modèles opérationnels directement réutilisables (voir paragraphe suivant).
Deux obligations documentaires ont été particulièrement soulignées :
- le rapport annuel d’activités (art. 387 du CN), outil de contrôle à distance de l’APDP dont un canevas est disponible en ligne
- le registre des activités de traitement (art. 435 du CN), inventaire vivant de tous les traitements effectués, mis à jour en continu et communicable à l’APDP sur demande
A la fin de ces 8 modules, les participants ont répondu à un quizz de 35 questions. Félicitations aux DPO des structures WDS, ORABANK et AFGC qui ont obtenu les meilleurs scores !
Pour votre mise en conformité, WDS vous propose un guide téléchargeable gratuitement ici.
Des outils pratiques et des conseils pour la mise en conformité
L’APDP a pu proposer au cours de la formation des documents utiles (disponible sur son site web https://service.apdp.bj/) tels que :
- modèle de cartographie exhaustive
- modèle de consentement à la collecte
- modèle de contrat de sous-traitance
- modèle d’engagement de confidentialité
- modèle de politique de gestion des incidents et fiche de notification de violation des données personnelles
- modèle d’analyse d’impact de traitements de dp
- modèle de rapport annuel d’activités
- modèles de registres (traitement du personnel, vidéosurveillance,…)
- grille d’auto-évaluation de maturité selon les 5 niveaux de la norme ISO/IEC 21827
Aussi, l’APDP a rappelé la date limite du 30 Juin 2026 pour la soumission des rapports annuels 2025.
Les échanges ont aussi permis de rappeler l’importance de la bonne interaction entre DPO et Responsable de Traitement (RT), qui, malgré sa supériorité hiérarchique dans l’entreprise sur le DPO, n’est pas sensé influencer ce dernier. Le RT est responsable devant la loi en cas de sanction, et ce même si la faute est commise par un prestataire (sous-traitant). Pour rappel, les sanctions peuvent aller jusqu’à 100 Millions CFA ou 5% du Chiffre d’Affaires de l’entreprise.
L’APDP invite à anticiper sur les démarches de mise en conformité. Effectivement, chaque dossier est analysé pour un comite de 8 experts, qui se réunissent 2 fois par mois pour valider les dossiers, ce qui donne lieu à des délais de réponse de l’APDP de plusieurs semaines (en fonction de nombre de dossiers).
Dans les démarches auprès de l’APDP, il convient aux entreprises de choisir entre 2 régimes :
- régime déclaration : régime par défaut
- régime d’autorisation : si des données sensibles sont manipulées ou si des données sont transférées à l’étranger
La Protection des Données Personnelles vous prend trop de temps ?
La PDP n’est plus une option, c’est une obligation légale. Et cette obligation peut souvent devenir chronophage. Pour les grandes structures, on constate des fois un DPO principal au siège, accompagnés de DPO correspondants dans les représentations de la structure mère.
Si vous êtes débordés, faites vous aider, gagnez du temps !
Contactez Westaf Digital Services pour un diagnostic gratuit de votre situation PDP :
📧 Email : info@wds.africa
📞 Téléphone : 01 41 47 33 33
Nous vous invitons aussi à participer à notre évènement ce 28 Mai : « DPO : comment travailler plus efficacement ? » .
Vous avez manqué cet atelier ? Westaf Digital Services organise régulièrement des événements sur la transformation digitale, la cybersécurité et la conformité réglementaire.
👉 Inscrivez-vous à la newsletter pour être informé en avant-première : https://wds.africa
👉 Consultez nos prochains évènements : https://wds.africa/events
