B_nin_carte_JPEG

BENIN : Loi portant code du numérique, promulguée le 23 avril 2018 par le président Patrice Talon

Loi n° 2017-20 portant code du numérique en République du Bénin (suite)

 

Article 425 : Les obligations de confidentialité

Le traitement des données à caractère personnel est confidentiel. Il est effectué exclusivement par des personnes qui agissent sous l’autorité du responsable du traitement et seulement sur ses instructions, sauf en vertu d’obligations légales contraires.

Article 426 : Les obligations de sécurité

Afin de garantir la sécurité des données à caractère personnel, le responsable du traitement et/ou son sous-traitant doivent mettre en œuvre les mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, l'interception notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

Ces mesures doivent assurer, compte tenu de l'état de l'art et des coûts liés à leur mise en œuvre, un niveau de sécurité approprié tenant compte, d'une part, de l'état de la technique en la matière et des frais qu'entraîne l'application de ces mesures et, d'autre part, de la nature des données à protéger et des risques potentiels.

Il incombe également au responsable du traitement, son représentant ainsi qu'au sous- traitant de veiller au respect de ces mesures de sécurité.

Ces mesures peuvent notamment comprendre :

1- la pseudonymisation et le chiffrement des données à caractère personnel ;

2- des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

3- des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;

4- une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Le choix du sous-traitant et les modalités du contrat liant celui-ci avec le responsable du traitement sont soumis aux dispositions du présent Livre.

Aux fins de la conservation des preuves, les éléments du contrat ou de l'acte juridique relatifs à la protection des données et les exigences portant sur les mesures visées à l’alinéa précédent du présent article sont consignés par écrit ou sous une autre forme équivalente mais garantissant la pérennité et l'inaltérabilité du document.

Article 427 : Responsabilités

Le responsable du traitement doit notifier, sans délai, à l'Autorité et à la personne concernée toute rupture de la sécurité ayant affecté les données à caractère personnel de la personne concernée.

Le sous-traitant doit avertir, sans délai, le responsable du traitement de toute rupture de la sécurité ayant affecté les données à caractère personnel qu'il traite pour le compte et au nom du responsable du traitement.

La notification visée à l’alinéa 1er doit, à tout le moins :

1-  décrire la nature de la rupture de sécurité ayant affecté des données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la rupture et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;

2-  communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;

3-  décrire les conséquences probables de la rupture de sécurité ;

4-  décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la rupture de sécurité, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

La communication à la personne concernée visée à l’alinéa 1er n'est pas nécessaire si l'une ou l'autre des conditions suivantes est remplie :

1- le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite rupture, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement ;

2- le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé à l’alinéa 1er n'est plus susceptible de se matérialiser ;

3- elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.

Article 428 : Analyse d’impact

Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires.

Lorsqu'il effectue une analyse d'impact relative à la protection des données, le responsable du traitement demande conseil au délégué à la protection des données, si un tel délégué a été désigné.

L'analyse d'impact relative à la protection des données visée à l’alinéa 1er est, en particulier, requise dans les cas suivants :

1- l'évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire ;

2- le traitement à grande échelle de catégories particulières de données visées à l'article 394, alinéa premier, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 395 ; ou

3- la surveillance systématique à grande échelle d'une zone accessible au public.

L'Autorité établit et publie une liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise conformément à l’alinéa 1er.

L'Autorité peut aussi établir et publier une liste des types d'opérations de traitement pour lesquelles aucune analyse d'impact relative à la protection des données n'est requise.

L'analyse contient au moins :

1- une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement ;

2- une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;

3- une évaluation des risques pour les droits et libertés des personnes concernées conformément à l’alinéa 1 ; et

4- les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect des dispositions du présent Livre, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

Le cas échéant, le responsable du traitement demande l'avis des personnes concernées ou de leurs représentants au sujet du traitement prévu, sans préjudice de la protection des intérêts généraux ou commerciaux ou de la sécurité des opérations de traitement.

Si nécessaire, le responsable du traitement procède à un examen afin d'évaluer si le traitement est effectué conformément à l'analyse d'impact relative à la protection des données, au moins quand il se produit une modification du risque présenté par les opérations de traitement.

Article 429 : Consultation préalable

Le responsable du traitement consulte l'Autorité préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données effectuée au titre de l'article précédent indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.

Lorsque l'Autorité est d'avis que le traitement envisagé visé à l’alinéa 1er, constituerait une violation des dispositions du présent Livre, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, l'Autorité fournit par écrit, dans un délai maximum de huit (08) semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage de ses pouvoirs. Ce délai peut être prolongé de six (06) semaines, en fonction de la complexité du traitement envisagé. L'Autorité informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai de trente (30) jours à compter de la réception de la demande de consultation. Ces délais peuvent être suspendus jusqu'à ce que l'Autorité ait obtenu les informations qu'elle a demandées pour les besoins de la consultation.

Lorsque le responsable du traitement consulte l'Autorité en application de l’alinéa 1er, il lui communique :

1- le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants participant au traitement, en particulier pour le traitement au sein d'un groupe d'entreprises ;

2- les finalités et les moyens du traitement envisagé ;

3- les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en vertu des dispositions du présent Livre ;

4- le cas échéant, les coordonnées du délégué à la protection des données ;

5- l'analyse d'impact relative à la protection des données prévue à l'article précédent ; et

6- toute autre information que l'Autorité demande.

Article 430 : Désignation du délégué à la protection des données

Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque :

1- le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ;

2-  les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou

3-  les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 394 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 395.

Un groupe d'entreprises peut désigner un seul délégué à la protection des données à condition qu'un délégué à la protection des données soit facilement joignable à partir de chaque lieu d'établissement.

Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille.

Dans les cas autres que ceux visés à l’alinéa 1, le responsable du traitement ou le sous-traitant ou les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent désigner un délégué à la protection des données. Le délégué à la protection des données peut agir pour ces associations et autres organismes représentant des responsables du traitement ou des sous-traitants.

Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l'article 432.

Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d'un contrat de service.

Le responsable du traitement ou le sous-traitant publient les coordonnées du délégué à la protection des données et les communiquent à l'Autorité.

Article 431 : Fonction du délégué à la protection des données

Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel.

Le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l'article 432 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l'accès aux données à caractère personnel et aux opérations de traitement, et lui permettant d'entretenir ses connaissances spécialisées.

Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l'exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l'exercice de ses missions. Le délégué à la protection des données fait directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.

Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l'exercice des droits que leur confère les dispositions du présent Livre.

Le délégué à la protection des données est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions.

Le délégué à la protection des données peut exécuter d'autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n'entraînent pas de conflit d'intérêts.

Article 432 : Missions du délégué à la protection des données

Les missions du délégué à la protection des données sont au moins les suivantes :

1-  informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu des dispositions du présent Livre en matière de protection des données ;

2-  contrôler le respect des dispositions du présent Livre en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant ;

3-  dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 428 ;

4-  coopérer avec l'Autorité ;

5-  faire office de point focal pour l'Autorité sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 412, et mener des consultations, le cas échéant, sur tout autre sujet.

Le délégué à la protection des données tient dûment compte, dans l'accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.

Article 433 : Les obligations de conservation

Les données à caractère personnel ne doivent pas être conservées au-delà de la période requise pour les fins en vue desquelles elles ont été recueillies et traitées.

Au-delà de cette période requise, les données ne peuvent faire l’objet d’une conservation qu’en vue de répondre spécifiquement à un traitement à des fins historiques, statistiques ou de recherches en vertu des dispositions légales. Les traitements dont la finalité se limite à assurer la conservation à long terme de documents d’archives sont dispensés des formalités préalables à la mise en œuvre des traitements prévus par les dispositions du présent Livre.

Il peut être procédé à un traitement ayant des finalités autres que celles mentionnées à l’alinéa 2 :

1- soit avec l’accord exprès de la personne concernée ;

2- soit avec l’autorisation de l'Autorité.

Article 434 : Les obligations de pérennité

Le responsable du traitement est tenu de prendre toute mesure utile pour assurer que les données à caractère personnel traitées pourront être exploitées quel que soit le support technique utilisé.

Il doit particulièrement s’assurer que l’évolution de la technologie ne sera pas un obstacle à cette exploitation.

Article 435 : Registre des activités de traitement

Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes :

1-  le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;

2-  les finalités du traitement ;

3-  une description des catégories de personnes concernées et des catégories de données à caractère personnel ;

4- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;

5- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale ;

6- les délais prévus pour l'effacement des différentes catégories de données ;

7- une description générale des mesures de sécurité techniques et organisationnelles.

Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable du traitement, comprenant :

1- le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données ;

2- les catégories de traitements effectués pour le compte de chaque responsable du traitement ;

3- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts, les documents attestant de l'existence de garanties appropriées ;

4- une description générale des mesures de sécurité techniques et organisationnelles.

Les registres visés aux alinéas 1 et 2 se présentent sous une forme écrite y compris la forme électronique.

Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l'Autorité sur demande.

Les obligations visées aux alinéas 1 et 2 ne s'appliquent pas aux petites et moyennes entreprises sauf si le traitement qu'elles effectuent est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s'il n'est pas occasionnel ou s'il porte notamment sur les catégories particulières de données visées à l'article 394, alinéa premier, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions.

Article 436 : Obligations des prestataires de confiance

Sans préjudice du Livre II, les prestataires de services visés par le Livre précité sont soumis aux exigences en matière de protection des données à caractère personnel prévues par les dispositions du présent Livre.

CHAPITRE V

 

DES DROITS DES PERSONNES A L'EGARD DE LEURS

DONNEES PERSONNELLES

 

Article 437 : Droit d’accès

Toute personne physique dont les données à caractère personnel font l’objet d’un traitement peut demander au responsable de ce traitement :

1-    les informations permettant de connaître et de contester le traitement de ses données à caractère personnel ;

2- la confirmation que des données à caractère personnel la concernant font ou ne font pas l'objet de traitement, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les catégories de destinataires auxquels les données sont communiquées ;

3- la communication sous forme intelligible des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l'origine de celles-ci ;

4- le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d’un État tiers ;

5- lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;

6- l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s'opposer à ce traitement ;

7- le droit d'introduire une réclamation auprès d'une Autorité de contrôle ;

8- lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;

9- l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 401, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

A cette fin, la personne concernée adresse une demande datée et signée au responsable du traitement par voie postale ou électronique, ou son représentant.

Une copie des renseignements lui est communiquée sans délai et au plus tard dans les soixante (60) jours de la réception de la demande.

Le paiement des frais pour toute copie supplémentaire demandée par la personne concernée devra être fixé par note de service de la structure responsable du traitement sur  la base des coûts administratifs conséquents.

Toutefois, l'Autorité saisie contradictoirement par le responsable du fichier peut lui accorder :

1- des délais de réponse ;

2- l’autorisation de ne pas tenir compte de certaines demandes manifestement abusives par leur nombre, leur caractère répétitif ou systématique.

Lorsqu’il y a lieu de craindre la dissimulation ou la disparition des informations mentionnées au premier alinéa du présent article, et même avant l’exercice d’un recours juridictionnel, il peut être demandé au juge compétent que soient ordonnées toutes mesures de nature à éviter cette dissimulation ou cette disparition.

Lorsque les données relatives à la santé de la personne concernée sont traitées aux fins de recherches médico-scientifiques, qu'il est manifeste qu'il n'existe aucun risque qu'il soit porté atteinte à la vie privée de cette personne et que les données ne sont pas utilisées pour prendre des mesures à l'égard d'une personne concernée individuelle, la communication peut, pour autant qu'elle soit susceptible de nuire gravement auxdites recherches, être différée au plus tard jusqu'à l'achèvement des recherches. Dans ce cas, la personne concernée doit avoir préalablement donné son autorisation écrite au responsable du traitement que les données à caractère personnel la concernant peuvent être traitées à des fins médico-scientifiques et la communication de ces données peut dès lors être différée.

Article 438 : Droit à la portabilité des données

Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été́ communiquées y fasse obstacle, lorsque :

1- le traitement est fondé sur le consentement ou sur un contrat ; et

2- le traitement est effectué à l'aide de procédés automatisés.

Lorsque la personne concernée exerce son droit à la portabilité́ des données en application de l’alinéa premier, elle a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible.

Ce droit ne s'applique pas au traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité́ publique dont est investi le responsable du traitement.

Le droit visé à l’alinéa premier ne porte pas atteinte aux droits et libertés de tiers.

Article 439 : Droit d’interrogation

Toute personne justifiant de son identité a le droit d’interroger les services ou organismes chargés de mettre en œuvre les traitements automatisés dont la liste est accessible au public en vue de savoir si ces traitements portent sur des informations nominatives la concernant et, le cas échéant, d’en obtenir communication.

Article 440 : Droit d’opposition

Toute personne physique a le droit de s'opposer, à tout moment, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Elle a le droit, d’une part, d’être informée avant que des données la concernant ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection notamment commerciale, caritative ou politique et, d’autre part, de se voir expressément offrir le droit de s’opposer, gratuitement, à ladite communication ou utilisation.

Ce droit doit être explicitement proposé à la personne concernée d'une façon intelligible et doit pouvoir être clairement distingué d'autres informations.

Lorsqu'il est fait droit à une opposition conformément à cet article, le responsable du traitement n'utilise ni ne traite plus les données à caractère personnel concernées.

Lorsque les données à caractère personnel sont collectées à des fins de prospection notamment commerciale, caritative ou politique, la personne concernée peut s'opposer, gratuitement et sans aucune justification, au traitement projeté de données à caractère personnel la concernant.

Pour exercer son droit d’opposition, l'intéressé adresse une demande datée et signée, par voie postale ou électronique, au responsable du traitement ou son représentant. Le responsable du traitement doit communiquer dans les trente (30) jours qui suivent la réception de la demande prévue à l’alinéa précédent, quelle suite il a donnée à la demande de la personne concernée.

Lorsque des données à caractère personnel sont collectées par écrit, que ce soit sur un support papier, support électronique ou tout autre support équivalent, auprès de la personne concernée, le responsable du traitement demande, à celle-ci, sur le document grâce auquel il collecte ses données, si elle souhaite exercer le droit d'opposition.

Lorsque les données à caractère personnel sont collectées auprès de la personne concernée, autrement que par écrit, le responsable du traitement demande à celle-ci si elle souhaite exercer le droit d'opposition, soit sur un document qu'il lui communique à cette fin au plus tard soixante (60) jours après la collecte des données à caractère personnel, soit par tout moyen technique qui permet de conserver la preuve que la personne concernée a eu la possibilité d'exercer son droit.

En cas de contestation, la charge de la preuve incombe au responsable de traitement auprès duquel est exercé le droit d’accès sauf lorsqu’il est établi que les données contestées ont été communiquées par l’intéressé ou avec son accord.

Article 441: Droit de rectification et de suppression

Toute personne physique peut exiger du responsable du traitement que soient, selon les cas, et dans les meilleurs délais, rectifiées, complétées, mises à jour, verrouillées ou supprimées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, non pertinentes ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

Pour exercer son droit de rectification ou de suppression, l'intéressé adresse une demande, par voie postale ou par voie électronique, datée et signée au responsable du traitement, ou son représentant.

Dans les quarante cinq (45) jours qui suivent la réception de la demande prévue à l’alinéa précédent, le responsable du traitement communique les rectifications ou effacements des données effectués à la personne concernée elle-même ainsi qu'aux personnes à qui les données inexactes, incomplètes, équivoques, périmées, non pertinentes ou dont la collecte, l'utilisation, la communication ou la conservation est interdite, ont été communiquées. Quand le responsable du traitement n’a pas connaissance des destinataires de la communication et que la notification à ces destinataires ne parait pas possible ou implique des efforts disproportionnés, il le leur notifie dans le délai imparti. 

En cas de non-respect du délai prévu à l’alinéa précédent, une plainte peut être adressée à l'Autorité par l’auteur de la demande.

Si une information a été transmise à un tiers, sa rectification ou son annulation doit être notifiée à ce tiers, sauf dispense accordée par l'Autorité.

Les ayants droit d’un "de cujus" justifiant de leur identité peuvent, si des éléments portés à leur connaissance leur laissent présumer que les données à caractère personnel la concernant faisant l’objet d’un traitement n’ont pas été actualisées, exiger du responsable de ce traitement qu’il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence.

Lorsque les ayants droit en font la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en vertu de l’alinéa précédent.

Article 442 : Fichier nominatif

Sur avis favorable de l'Autorité, un fichier nominatif peut être complété ou corrigé même d’office lorsque l’organisme qui le tient acquiert connaissance de l’inexactitude ou du caractère incomplet d’une information nominative contenue dans ce fichier.

Si une information a été transmise à un tiers, sa rectification ou son annulation doit être notifiée à ce tiers, sauf dispense accordée par l'Autorité.

Article 443 : Données rendues publiques - Droit à l’oubli

Lorsque le responsable du traitement a rendu publiques les données à caractère personnel de la personne concernée, il prend toutes les mesures raisonnables, y compris les mesures techniques, en ce qui concerne les données publiées sous sa responsabilité, en vue d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tout lien vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci.

Lorsque le responsable du traitement a autorisé un tiers à publier des données à caractère personnel de la personne concernée, il est réputé responsable de cette publication et prend toutes les mesures appropriées pour mettre en œuvre le droit à l’oubli numérique et à l’effacement des données à caractère personnel.

Le responsable du traitement met en place des mécanismes appropriés assurant la mise en œuvre du respect du droit à l’oubli numérique et à l’effacement des données à caractère personnel ou examine périodiquement la nécessité de conserver ces données, conformément aux dispositions du présent Livre.

Lorsque l'effacement est effectué, le responsable du traitement ne procède à aucun autre traitement de ces données à caractère personnel.

Les alinéas 1, 2, 3 et 4 ne s'appliquent pas dans la mesure où ce traitement est nécessaire :

1- à l'exercice du droit à la liberté d'expression et d'information ;

2- pour respecter une obligation légale qui requiert le traitement ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;

3- pour des motifs d'intérêt public dans le domaine de la santé publique ;

4- à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 366, dans la mesure où le droit visé à l’alinéa 1erest susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement ; ou

5- à la constatation, à l'exercice ou à la défense de droits en justice.

Article 444 : Conditions de suppression

L'Autorité adopte, sans préjudice des dispositions du présent code, des mesures ou des lignes directrices aux fins de préciser :

1- les conditions de la suppression des liens vers ces données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communications électroniques accessibles au public ;

2- les conditions et critères applicables à la limitation du traitement des données à caractère personnel.

Article 445 : Droit d’accès relatif à des traitements concernant la sûreté de l’Etat, la défense et la sécurité publique

En ce qui concerne les traitements relatifs à la sûreté de l’Etat, la défense et la sécurité publique, la demande est adressée à l'Autorité qui désigne l’un de ses membres appartenant ou ayant appartenu à la Cour suprême ou à la chambre des comptes de la Cour suprême pour mener toutes investigations utiles et faire procéder aux modifications nécessaires. Celui-ci peut se faire assister d’un autre membre de l'Autorité.

Il est notifié au requérant qu’il a été procédé aux vérifications.

Lorsque l'Autorité constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues ne met pas en cause ses finalités, la sûreté de l’État, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant.

Lorsque le traitement est susceptible de comprendre des informations dont la communication ne mettrait pas en cause les fins qui lui sont assignées, l'Autorité peut prévoir que ces informations peuvent être communiquées au requérant par le gestionnaire du fichier directement saisi dans un délai de quarante (45) jours suivant la réception de la demande.

Article 446 : Représentation d’un enfant mineur

Lorsque l'article 436 s'applique en ce qui concerne l'offre directe de services de la société de l'information aux mineurs, le traitement des données à caractère personnel relatives à un mineur est licite lorsque le mineur est âgé d'au moins seize (16) ans. Lorsque le mineur est âgé de moins de seize (16) ans, ce traitement n'est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard du mineur.

Le responsable du traitement s'efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l'égard de l'enfant, compte tenu des moyens technologiques disponibles.

Article 447 : Représentation d’un majeur incapable

En cas d'incapacité physique ou mentale dûment attestée par un professionnel des soins de santé, les droits, tels que fixés par les dispositions du présent Livre, d'une personne concernée majeure, sont exercés par le ou la  conjoint (e) cohabitant (e), le partenaire cohabitant légal ou le partenaire cohabitant de fait.

Si cette personne ne souhaite pas intervenir ou si elle fait défaut, les droits sont exercés, en ordre subséquent, par un enfant majeur, un parent, un frère ou une sœur majeur de la personne concernée.

Si une telle personne ne souhaite pas intervenir ou si elle fait défaut, c'est un tuteur ad hoc qui veille aux intérêts de la personne concernée.

Cela vaut également en cas de conflit entre deux ou plusieurs des personnes mentionnées dans le présent alinéa.

La personne concernée est associée à l'exercice de ses droits autant qu'il est possible et compte tenu de sa capacité de compréhension.

Article 448 : Droit d’introduire une réclamation auprès de l'Autorité

Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d'introduire une réclamation auprès de l'Autorité, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation des dispositions du présent Livre.

L'Autorité informe l'auteur de la réclamation de l'état d'avancement et de l'issue de la réclamation, y compris de la possibilité d'un recours juridictionnel en vertu de l'article suivant.

Article 449 : Droit à un recours juridictionnel effectif contre l'Autorité

Toute personne concernée a le droit de former un recours effectif devant la juridiction administrative compétente lorsque l'Autorité ne traite pas une réclamation ou n'informe pas la personne concernée, dans un délai de quatre vingt dix (90) jours, de l'état d'avancement ou de l'issue de la réclamation qu'elle a introduite au titre de l'article précédent.

Article 450 : Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant

Toute personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confèrent les dispositions du présent Livre ont été violés du fait d'un traitement de ses données à caractère personnel effectué en violation des dispositions du présent livre.

Article 451 : Droit à réparation et responsabilité

Toute personne ayant subi un dommage matériel ou moral du fait d'une violation des dispositions du présent Livre a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation des dispositions du présent Livre. Un sous-traitant n'est tenu pour responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations prévues par les dispositions du présent Livre qui incombent spécifiquement aux sous-traitants ou qu'il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.

Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre de l’alinéa 2, s'il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.

Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsque, au titre des alinéas 2 et 3, ils sont responsables d'un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective.

Lorsqu'un responsable du traitement ou un sous-traitant a, conformément à l’alinéa 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées à l’alinéa 2.

Les actions judiciaires engagées pour exercer le droit à obtenir réparation sont intentées devant les juridictions compétentes.

CHAPITRE VI

DES SANCTIONS ET MESURES ADMINISTRATIVES

Article 452 : Avertissement et mise en demeure

L'Autorité peut prononcer un avertissement à l’encontre du responsable du traitement qui ne respecte pas les obligations découlant des dispositions du présent Livre.

Elle peut également mettre en demeure le responsable du traitement de faire cesser le manquement constaté dans un délai fixé qui ne peut excéder huit (08) jours.

Article 453 : Manquements graves

Constitue des manquements graves, au titre du présent code, le fait de :

1- procéder à une collecte déloyale de données à caractère personnel ;

2- communiquer à un tiers non autorisé des données à caractère personnel ;

3- procéder à la collecte de données sensibles, de données relatives à des infractions ou à un numéro national d’identification sans respecter les conditions légales ;

4- procéder à la collecte ou à l’utilisation de données à caractère personnel ayant pour conséquence de provoquer une atteinte grave aux droits fondamentaux ou à l’intimité de la vie privée physique concernée ;

5- empêcher les services de l'Autorité d’effectuer une mission de contrôle sur place ou faire preuve d’obstruction lors de la réalisation d’une telle mission.

Article 454 : Types de sanction

Lorsque le responsable du traitement ne se conforme pas à la mise en demeure, l'Autorité peut prononcer à son encontre, dans le respect du principe du contradictoire, les sanctions suivantes :

1- une sanction pécuniaire, à l’exception des cas où les traitements sont mis en œuvre par l’État ;

2- une injonction de cesser le traitement des données à caractère personnel ;

3- un retrait définitif ou temporaire de l’autorisation accordée en application des dispositions du présent Livre ;

4- un verrouillage de certaines données à caractère personnel.

Article 455 :    Montant

Le montant de la sanction pécuniaire prévue au point 1 de l’article précédent est proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement.

Lors du premier manquement, il ne peut excéder cinquante millions (50 000 000) de francs CFA. En cas de manquement réitéré dans les cinq (05) années à compter de la date à laquelle la sanction pécuniaire précédemment prononcée est devenue définitive, il ne peut excéder cent millions (100 000 000) de francs CFA ou, s’agissant d’une entreprise, cinq pour cent (5 %) du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de cent millions (100 000 000) de francs CFA.

Lorsque l'Autorité a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué définitivement sur les mêmes faits ou des faits connexes, celui-ci peut ordonner que la sanction pécuniaire s’impute sur l’amende qu’il prononce.

Article 456 : Injonction

Toute sanction prononcée par l'Autorité peut être assortie d’une injonction de procéder, dans un délai qui ne peut excéder huit (08) jours, à toute modification ou suppression utile dans le fonctionnement des traitements de données à caractère personnel, objet de la sanction.

Article 457 : Rapport

Les sanctions prévues dans les dispositions du présent Livre sont prononcées sur la base d’un rapport établi par l'Autorité. Ce rapport est notifié au responsable du traitement, qui peut faire des observations écrites ou orales dans un délai de quinze (15) jours dès la réception de la notification de l'Autorité et qui peut assister ou se faire représenter aux séances à l’issue desquelles la l'Autorité statue.

Les décisions prises par l'Autorité sont motivées et notifiées au responsable du traitement.

Article 458 : Recours

Les décisions prononçant une sanction peuvent faire l’objet d’un recours devant la juridiction administrative compétente.

Article 459 : Publication

Les sanctions prononcées peuvent être rendues publiques par l'Autorité.

CHAPITRE VII

DES DISPOSITIONS PENALES

Article 460 : Infractions pénales

Constituent des infractions au sens des dispositions du présent Livre, sans préjudice de celles prévues par le code pénal :

1- le fait d’entraver l’action de la l'Autorité :

   - en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités ;

   - en refusant de communiquer à ses membres ou aux agents habilités les renseignements et documents utiles à leur mission, ou en dissimulant lesdits documents ou renseignements, ou en les faisant disparaître ;

   - en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible ;

2- toute personne physique ou morale qui, sans droit même par négligence, procède ou fait procéder à des traitements de données à caractère personnel sans avoir respecté les formalités préalables à leur mise en œuvre telles que prescrites par les dispositions du présent Livre ;

3- quiconque en connaissance de cause, décide de faire usage de données à caractère personnel collectées au moyen de données collectées par le procédé décrit au point (ii), sans en être l’auteur est également condamné comme s’il était l’auteur du traitement frauduleux ;

4- le fait, hors les cas où le traitement des données a été réalisé dans les conditions prévues par les dispositions des dispositions du présent Livre, de procéder ou de faire procéder à un traitement de données à caractère personnel parmi lesquelles, des données sensibles relatives à des infractions ou des données relatives au numéro d’identification national ;

5- le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans avoir mis en œuvre les mesures prescrites par les dispositions du présent Livre ;

6- le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite ;

7- le fait, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner et/ou de manipuler ces informations ;

8- quiconque a transféré, fait ou laissé transférer des données à caractère personnel vers un État tiers sans qu'il ait été satisfait aux exigences prévues au Chapitre 2 du Titre II du présent Livre ;

9- quiconque, pour contraindre une personne à lui communiquer les renseignements obtenus par l'exercice du droit consacré par l’article 436 du présent code, ou à donner son autorisation au traitement de données à caractère personnel la concernant, a usé à son égard de voies de fait, de violence ou menaces, de dons ou de promesses ;

10- le fait de procéder à un traitement des données à caractère personnel concernant une personne physique malgré la demande de rectification ou l’opposition de cette personne, lorsque cette demande de rectification ou cette opposition est fondée sur des motifs légitimes ;

11- le fait de ne pas respecter les dispositions du présent Livre relatives à l’information des personnes ;

12- le fait de ne pas respecter les dispositions du présent Livre relatives aux droits d’accès ;

13- le fait de conserver des données à caractère personnel au-delà de la durée prévue pour la déclaration préalable adressée à l'Autorité sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques au sens du présent Livre ;

14- le fait, par toute personne qui a recueilli, à l’occasion de leur enregistrement, de leur classement, de leur transmission ou d’une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée, de porter sans autorisation de l’intéressé ces données à la connaissance d’un tiers qui n’a pas qualité pour les recevoir ;

15-       le fait de participer à une association formée ou à une entente établie en vue de la commission d’une ou plusieurs infractions prévues par les dispositions du présent Livre.

Article 461 : Peines

Les infractions visées à l’article 445 du présent code sont punies d’une peine d’emprisonnement de six (06) mois à dix (10) ans et d’une amende de dix millions         (10 000 000) à cinquante millions (50 000 000) de francs CFA ou de l’une de ces deux peines seulement.

La complicité et la tentative sont punies des mêmes peines.

Si l’auteur de l’infraction au point 1 de l’article 460 procède ou fait procéder, par simple négligence, à des traitements de données à caractère personnel sans avoir respecté les formalités préalables à leur mise en œuvre telles que prescrites par les dispositions du présent Livre, seule une amende de cinq millions (5 000 000) à cinquante millions (50 000 000) de francs CFA peut lui être infligée.

Le tribunal peut ordonner l’effacement de tout ou partie des données à caractère personnel faisant l’objet du traitement ayant donné lieu à l’infraction.

Les décisions de condamnation devenues définitives prises en vertu de ce Chapitre sont publiées dans le Journal officiel de la République du Bénin ainsi que sur un support électronique aux frais du condamné.

En cas de condamnation pour une des infractions prévues à l’article 460 du présent code, la juridiction de jugement peut prononcer des peines à titre complémentaire.

Elle peut prononcer la confiscation des supports matériels des données à caractère personnel formant l'objet de l'infraction, tels que les fichiers manuels, disques et bandes magnétiques, à l'exclusion des ordinateurs ou de tout autre matériel, ou ordonner l'effacement de ces données ainsi que des sommes, avantages ou produits résultant de l’infraction et appartenant au condamné.

La confiscation ou l'effacement peuvent être ordonnés même si les supports matériels des données à caractère personnel n'appartiennent pas au condamné.

Les objets confisqués doivent être détruits lorsque la décision est passée en force de chose jugée.

Sans préjudice des interdictions énoncées par des dispositions particulières, en cas de condamnation pour une des infractions prévues à l’article 460 du présent code, la juridiction de jugement peut prononcer l’interdiction à titre de peine complémentaire. Cette interdiction implique une interdiction de gérer, personnellement ou par personne interposée, et pour deux (02) ans au maximum, tout traitement de données à caractère personnel.

Toute infraction à l'interdiction édictée par l’alinéa 10 ou toute récidive relative aux infractions visées dans le présent Chapitre sont punies d'un emprisonnement de un an (01) à dix (10) ans et d’une amende de dix millions (10 000 000) à cent millions         (100 000 000) de francs CFA ou de l’une de ces deux peines seulement.

Le présent article n’empêchera pas l’adoption de toute mesure d'indulgence établie par les dispositions du présent Livre, comme la suspension ou une peine avec sursis, sauf pour les décisions visées aux alinéas 5 à 10.

Le responsable de traitement ou son représentant sera passible du paiement des amendes encourues par son sous-traitant.

TITRE III

 

DE L’AUTORITE DE PROTECTION DES DONNEES A

CARACTERE PERSONNEL

                                                          

                                                       CHAPITRE I

DE L’ORGANISATION ET DU FONCTIONNEMENT

Article 462 : Constitution

L'Autorité de protection des données à caractère personnel en abrégé "APDP", ci-après désignée Autorité, veille à l’application des dispositions du présent Livre et au respect de la vie privée en général sur le territoire de la République du Bénin.

Article 463 : Statut

L'Autorité est une structure administrative indépendante dotée de la personnalité juridique, de l’autonomie administrative et de gestion.

Elle exerce une mission de service public et ne reçoit d’instruction d’aucune autorité administrative et politique.

Article 464 : Composition

L'Autorité est composée de onze (11) membres ainsi qu'il suit :

1- trois (03) députés désignés par l’Assemblée nationale en tenant compte de sa configuration politique ;

2- un (01) membre du Conseil Economique et Social élu par ses pairs ;

3- deux (02) personnes qualifiées pour leur connaissance des applications informatiques ayant un diplôme sanctionnant au moins quatre (04) années d’études universitaires et totalisant au moins dix (10) années d’expérience, désignées par l’Assemblée nationale sur une liste de cinq (05) personnes retenues par le Bureau de l'Assemblée nationale, après appel à candidatures ;

4- une (01) personnalité désignée par le Président de la République ;

5- trois (03) magistrats dont deux (02) de la Cour suprême et un (01) de la  juridiction des comptes de même degré ayant au moins quinze (15) années d’expérience professionnelle, élus par leurs pairs ;

6- un (01) avocat ayant au moins quinze (15) années d’expérience, élu par ses pairs.

L'Autorité est dirigée par un Bureau de trois (03) membres.

L'Autorité élit en son sein un Président, un vice-Président et un Secrétaire.

Article 465 : Commissaire du Gouvernement

Un commissaire du Gouvernement, désigné par le Président de la République en Conseil des ministres, siège auprès de l'Autorité.

Le commissaire peut, dans les dix (10) jours suivant une délibération, provoquer une seconde délibération.

Article 466 : Nomination

Les membres de l'Autorité, une fois désignés sont nommés par décret pris en Conseil des ministres.

Pour être nommé et rester membres de l'Autorité, les candidats doivent remplir les conditions suivantes :

- être de nationalité béninoise ;

- jouir de leurs droits civils et politiques ;

- respecter les incompatibilités visées à l’article 473

Article 467 : Vacances

Le mandat d'un membre de l'Autorité prend fin pour cause de décès, d'incapacité physique ou mentale, de démission ou de révocation.

A la demande du Président, il est pourvu à son remplacement par sa structure d’origine. Un nouveau commissaire est nommé pour la période du mandat restant à courir, par décret pris en Conseil des ministres.    

En cas de vacances dûment constatée du Président, le vice-Président assume provisoirement les fonctions de Président, conformément au Règlement intérieur.

La durée de l'exercice de ces fonctions intérimaires ne peut excéder une période de quatre vingt dix (90) jours.

Article 468 : Serments

Avant leur entrée en fonction, les membres  de l'Autorité prêtent serment devant la Cour suprême siégeant en audience solennelle, en ces termes :

«Je jure solennellement de bien et fidèlement remplir ma fonction de membre de l'Autorité en charge de la protection des données à caractère personnel, en toute indépendance et impartialité de façon digne et  loyale et de garder le secret des délibérations».

Les agents recrutés par l'Autorité de protection des données à caractère Personnel prêtent serment devant le Tribunal de première instance de Cotonou en ces termes :

«Je jure de bien et loyalement remplir mes fonctions d’agent de l'Autorité en charge de la protection des données à caractère personnel en toute indépendance et impartialité et de garder le secret des délibérations».

Article 469 : Durée du mandat

La durée du mandat des membres de l'Autorité est de cinq (05) ans renouvelable une (01) fois.

Article 470 : Président

Le Président est l'ordonnateur du budget, il assume la gestion quotidienne de l'Autorité, dirige le secrétariat, préside les réunions de l'Autorité en ses différentes formations ou délègue un autre membre à cette fin qui le représente. Il fait périodiquement rapport devant l'Autorité réunie en séances administratives.

En cas d'empêchement du Président, le vice-Président assure ses fonctions.

Article 471 : Règlement intérieur

L'Autorité adopte son Règlement intérieur qui fixe son mode de fonctionnement.

Elle établit dans son Règlement intérieur, notamment, les règles relatives à l’instruction, à la présentation des dossiers, au traitement des plaintes et aux procédures contradictoires.

Il est publié au Journal officiel

Article 472 : Vote

L'Autorité ne délibère valablement que si la majorité de ses membres au moins est présente. Elle décide à la majorité absolue. En cas de parité des voix, la voix du Président est prépondérante.

Article 473 : Incompatibilités

La qualité de membre de l'Autorité est incompatible avec celle de membre du Gouvernement, l’exercice de fonctions de dirigeant d’entreprise, ou la détention de participations dans les entreprises du secteur de l’informatique ou des communications électroniques.

Les membres de l'Autorité s'abstiennent de tout acte incompatible avec leurs fonctions et, pendant la durée de leur mandat, n'exercent aucune activité professionnelle incompatible, rémunérée ou non.

Aucun membre de l'Autorité ne peut :

1- participer à une délibération ou procéder à des vérifications relatives à un organisme au sein duquel il détient un intérêt, direct ou indirect, exerce des fonctions ou détient un mandat ;

2- être présent lors de la délibération ou des vérifications sur les objets pour lesquels ils ont un intérêt personnel ou pour lesquels leurs parents ou alliés jusqu'au quatrième degré ont un intérêt personnel ;

3- participer à une délibération ou procéder à des vérifications relatives à un organisme au sein duquel il a, au cours des trente six (36) mois précédant la délibération ou les vérifications, détenu un intérêt direct ou indirect, exercé des fonctions ou détenu un mandat.

Après la cessation de leurs fonctions, les membres de l'Autorité sont tenus de respecter les devoirs d'honnêteté et de délicatesse quant à l'acceptation de certaines fonctions ou de certains avantages.

Article 474 : Inamovibilité et indépendance des membres de l'Autorité

Les membres de l'Autorité sont inamovibles pendant la durée de leur mandat.

Toutefois, en cas de faute grave dûment constatée de l’un des membres de l'Autorité ou de la perte de la qualité au titre de laquelle il a été élu ou désigné, il est mis fin à ses fonctions et procédé à son remplacement conformément aux dispositions du présent Livre et du Règlement intérieur de l'Autorité.

Le mandat du successeur ainsi désigné est limité à la période restant à courir. Ce dernier peut être désigné pour un seul mandat.

Dans les limites de leurs attributions, le Président et les membres ne reçoivent d'instructions de personne. Ils ne peuvent être relevés de leur charge en raison des opinions qu'ils émettent ou des actes qu'ils accomplissent pour remplir leurs fonctions.

Article 475 : Secret professionnel

Les membres et les agents de l'Autorité sont tenus au secret professionnel pour les informations dont ils ont connaissance dans le cadre ou à l’occasion de leurs fonctions.

Le personnel de l'Autorité ainsi que les experts et agents assermentés sont soumis, y compris après cessation de leurs activités, à l'obligation de secret professionnel à l'égard de toute information confidentielle, fait ou acte dont ils ont eu connaissance dans l'exercice de leurs fonctions officielles.

La violation des alinéas 1 ou 2 est punie des peines prévues par les dispositions du code pénal relatives au secret des correspondances.

Article 476 : Exception au devoir de discrétion

Les informaticiens appelés, soit à donner les renseignements à l'Autorité, soit à témoigner devant elle sont déliés autant que de besoin de leur obligation de discrétion.

Article 477 : Budget

Il est alloué annuellement à l'Autorité des crédits nécessaires à son bon fonctionnement. Ces crédits sont inscrits au budget de l’État.

L'Autorité peut recevoir des subventions de la part des organisations internationales dont l’Etat est membre et de tous autres organismes légalement constitués. Elle peut également bénéficier de ressources propres issues de l’exercice de ses activités.

Les budgets doivent être rendus publics.

Article 478 : Déclarations - Avis

L'Autorité reçoit, par voie postale ou par voie électronique, les déclarations de traitements informatiques et donne son avis dans les cas prévus par les dispositions du présent Livre.

Article 479 : Liste des traitements autorisés

L'Autorité tient à la disposition du public, la liste des traitements qui ont fait l’objet d’une autorisation.

Article 480 : Saisine de l'Autorité

L'Autorité peut être saisie par toute personne physique ou morale, agissant par elle-même, par l’entremise de son avocat ou par toute autre personne physique ou morale dûment mandatée.

Article 481 : Plaintes - Rapport

L'Autorité reçoit, par voie postale ou par voie électronique, et instruit les plaintes conformément à sa mission.

Chaque année, elle présente au Président de la République et au Président de l’Assemblée nationale, un rapport rendant compte de l’exécution de sa mission.

Il doit être rendu public.

Article 482 : Recours

Les décisions de l'Autorité sont susceptibles de recours devant la juridiction administrative compétente.

CHAPITRE II

DES MISSIONS ET POUVOIRS DE L'AUTORITE

 

Article 483 : Formalités - Attributions – Pouvoirs - Devoirs

L'Autorité s’assure que les technologies de l’information et de la communication (TIC) ne comportent pas de menace au regard des libertés publiques et de la vie privée. Elle veille à ce que les traitements des données à caractère personnel soient mis en œuvre conformément aux dispositions du présent Livre.

A ce titre, l'Autorité est en charge :

1-  de répondre à toute demande d’avis ou recommandation portant sur un traitement de données à caractère personnel ;

2-  d’émettre de sa propre initiative des avis motivés ou des recommandations sur toute question relative à l'application des principes fondamentaux de la protection de la vie privée dans le cadre du présent Livre, ainsi que des lois contenant des dispositions relatives à la protection de la vie privée à l'égard des traitements de données à caractère personnel ;

3-  d’informer les personnes concernées et les responsables de traitements de leurs droits et obligations ;

4-  d’autoriser ou refuser les traitements de fichiers dans un certain nombre de cas, notamment les fichiers sensibles ;

5-  de recevoir les formalités préalables à la création de traitements des données à caractère personnel et le cas échéant autoriser ces traitements ;

6-  de recevoir, par la voie postale ou par voie électronique, les réclamations, les pétitions et les plaintes relatives à la mise en œuvre des traitements des données à caractère personnel et informer leurs auteurs des suites données à celles-ci notamment si un complément d’enquête ou une coordination avec une autre autorité de protection nationale est nécessaire ;

7-. d’effectuer, sans préjudice de toute action devant les tribunaux, des enquêtes, soit de sa propre initiative, soit à la suite d'une réclamation ou à la demande d'une autre Autorité de protection nationale, et informe la personne concernée, si elle l'a saisie d'une réclamation, du résultat de ses enquêtes dans un délai raisonnable ;

8- d’informer sans délai l’autorité judiciaire pour certains types d’infractions dont elle a connaissance ;

9-  d’informer, sans délai, le procureur de la République, conformément aux dispositions du code de procédure pénale, des violations des dispositions du présent Livre, constitutives d’infractions pénales ;

10- d'informer l’Assemblée nationale, le Gouvernement ou d'autres institutions politiques, ainsi que le public, de toute question relative à la protection des données à caractère personnel ;

11- de conduire de fréquentes consultations avec des parties prenantes sur des questions que l'Autorité considère comme pouvant nuire à la protection effective des données à caractère personnel pour les services, les installations, les appareils ou les annuaires au titre du présent Livre ;

12- de requérir des experts ou agents assermentés, en vue de participer à la mise en œuvre des missions de vérification portant sur tout traitement des données à caractère personnel sur le territoire de la République du Bénin ;

13- de veiller au respect des autorisations et consultations préalables ;

14- de prononcer la rectification, l'effacement ou la destruction de toutes les données lorsqu'elles ont été traitées en violation des dispositions du présent Livre et la notification de ces mesures aux tiers auxquels les données ont été divulguées ;

15- de demander au responsable du traitement ou au sous-traitant de satisfaire aux demandes d'exercice des droits prévus par les dispositions du présent Livre présentées par la personne concernée ;

16- de prononcer des sanctions, administratives et pécuniaires, à l’égard des responsables de traitement ;

17- de mettre à jour un répertoire des traitements des données à caractère personnel et à la disposition du public ;

18- de surveiller les faits nouveaux présentant un intérêt, dans la mesure où ils ont une incidence sur la protection des données à caractère personnel, notamment l'évolution des technologies de l'information et des communications et celle des pratiques commerciales ;

19- d’informer le responsable du traitement ou le sous-traitant d'une violation alléguée des dispositions régissant le traitement des données à caractère personnel et, le cas échéant, d’ordonner au responsable du traitement ou son sous-traitant de remédier à cette violation par des mesures déterminées, afin d'améliorer la protection de la personne concernée ;

20- de conseiller les personnes physiques ou morales qui procèdent à des traitements des données à caractère personnel ou à des essais ou expériences de nature à aboutir à de tels traitements ;

21- d’autoriser ou refuser des transferts transfrontaliers de données à caractère personnel vers des Etats tiers ;

22- de sensibiliser le public aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel. Les activités destinées spécifiquement aux enfants, personnes âgées ou personnes gravement malades ou à tous ceux qui ne peuvent pas être en mesure de comprendre la portée des activités qui leur sont proposées, font l'objet d'une attention particulière ;

23- de faire des propositions de modifications législatives ou réglementaires susceptibles de simplifier et d’améliorer le cadre législatif et réglementaire à l’égard du traitement des données ;

24- d’homologuer les codes de conduite et de recueillir et d’autoriser, le cas échéant, les projets, modifications ou prorogations desdits codes ;

25- de mettre en place des mécanismes de coopération avec les autorités de protection des données à caractère personnel d’États tiers dont le partage d’informations et l’assistance mutuelle ;

26- de participer aux négociations internationales en matière de protection des données à caractère personnel.

L'accomplissement des formalités auprès de l'Autorité est gratuit pour la personne concernée. Lorsque les demandes sont manifestement excessives, en raison, notamment, de leur caractère répétitif, l'Autorité peut, néanmoins, exiger le paiement de frais ou ne pas prendre les mesures sollicitées par la personne concernée. Il incombe à l'Autorité d'établir le caractère manifestement excessif de la demande.

Article 484 : Obligations d’information

L'Autorité informe par tous moyens appropriés, les autorités publiques, les organismes privés et les représentants de la société civile, des décisions, et avis qu’elle rend en matière de protection de la vie privée.

Article 485 : Pouvoir réglementaire

Pour exercer les missions qui lui sont confiées par les dispositions du présent Livre, l'Autorité dispose d’un pouvoir réglementaire lui permettant d’autoriser certains traitements, d’adapter des mesures de simplification ou de dispense de déclaration et de définir les modalités d’exercice des droits des personnes, en particulier en matière d’information.

Article 486 : Pouvoirs d’investigation

L'Autorité peut demander aux premiers présidents des cours d’appel ou aux présidents des juridictions administratives, de déléguer un magistrat de leur ressort, éventuellement assisté d’experts, pour des missions d’investigation et de contrôle effectuées sous sa direction.

Afin de conserver certaines données particulièrement susceptibles de perte ou de modification et utiles à la manifestation de la vérité, l'Autorité peut demander au président du tribunal de première instance, que celles-ci soient conservées conformément à la procédure prévue à l’article 78 bis du code de  procédure pénale.

Article 487 : Demande d’information

L'Autorité peut enjoindre aux responsables de fichiers de lui communiquer toutes informations utiles sur les fichiers informatiques qu’ils utilisent.

Article 488 : Obligation de coopération

Les ministres, autorités publiques, dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs et utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent, en principe, s’opposer à l’action de l'Autorité. Ils doivent prendre toutes mesures utiles afin de lui faciliter sa mission.

Article 489 : Accès aux locaux

Les membres de l'Autorité ainsi que les agents de ses services assurent le contrôle de la mise en œuvre du traitement. A cet effet, ils ont accès, de six (06) heures à vingt-et-une (21) heures, dans l’exercice de leur mission, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel et qui sont à usage professionnel, à l’exclusion des parties de ceux-ci affectées au domicile privé.

Le procureur de la République territorialement compétent en est préalablement informé.

Le responsable de locaux professionnels privés est informé de son droit d’opposition à la visite. En cas d’opposition du responsable des lieux ou du responsable du traitement, la visite ne peut se dérouler qu’avec l’autorisation du président du Tribunal de première instance compétent ou du juge délégué par lui.

Toutefois, lorsque l’urgence, la gravité des faits à l’origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie, la visite peut avoir lieu sans que le responsable des locaux en ait été informé, sur autorisation préalable du président du Tribunal de première instance compétent ou du juge délégué par lui. Dans ce cas, le responsable des lieux ne peut s’opposer à la visite.

La visite s’effectue sous l’autorité et le contrôle du président du Tribunal de première instance compétent ou du juge délégué par lui qui l’a autorisée, en présence de l’occupant des lieux ou de son représentant qui peut se faire assister d’un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l’autorité des personnes chargées de procéder au contrôle.

L’acte ayant autorisé la visite est exécutoire au seul vu de la minute. Il mentionne que le juge ayant autorisé la visite peut être saisit à tout moment d’une demande de suspension ou d’arrêt de cette visite. Elle indique le délai et la voie de recours. Elle peut faire l’objet, suivant les règles prévues par le code de procédure civile, d’un appel. Celui-ci connaît également des recours contre le déroulement des opérations de visite.

Les membres de l'Autorité et les agents mentionnés au premier alinéa de cet article peuvent demander communication de tous documents nécessaires à l’accomplissement de leur mission, quel qu’en soit le support, et en prendre copie.

Ils peuvent recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles. Ils peuvent accéder aux programmes informatiques et aux données, ainsi qu’en demander la transcription par tout moyens approprié dans des documents directement utilisables pour les besoins du contrôle.

Ils peuvent, à la demande du Président de l'Autorité, être assistés par des experts désignés par l’autorité dont ceux-ci dépendent.

Seul un professionnel des soins de santé peut requérir la communication de données médicales individuelles incluses dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou à la gestion de service de santé, et qui est mis en œuvre par un membre d’une profession de santé.

A l’issue de la visite, il est dressé contradictoirement procès-verbal des vérifications et visites menées.

Le procès-verbal est adressé, pour observations, à l'Autorité.

Article 490 : Délais

Les différents délais prévus par les dispositions du présent Livre pour permettre à l'Autorité de statuer sont doublés en cas d’exercice par l'Autorité d’un des pouvoirs d’investigation prévus aux articles 487, 488 et 490 du présent code.

 

LIVRE SIXIEME

DE LA CYBERCRIMINALITE ET DE LA CYBERSECURITE

TITRE I

DE LA LUTTE CONTRE LA CYBERCRIMINALITE

CHAPITRE I

DES PRINCIPES GENERAUX

Article 491 : Objet

Les dispositions du présent Livre fixent les règles et les modalités de lutte contre la cybercriminalité en République du Bénin. Elles fixent également le cadre institutionnel, les règles et les modalités d’utilisation de la cryptologie en République du Bénin.

Article 492 : Champ d’application

Les pouvoirs et procédures prévus dans le présent Titre aux fins d’enquêtes ou de procédures pénales spécifiques s’appliquent :

1-  aux infractions pénales établies conformément au Titre I du présent Livre ;

2-  à toutes les autres infractions pénales commises sur et au moyen d’un système informatique ;

3-  à la collecte des preuves électroniques de toute infraction pénale.

Article 493 : Garantie des droits fondamentaux et des libertés

La mise en œuvre et l’application des pouvoirs et procédures prévus au présent Titre sont soumises aux conditions et sauvegardes prévues par le droit interne de la République du Bénin, qui doit assurer une protection adéquate des droits de l'homme et des libertés, en particulier des droits établis conformément aux obligations que celle-ci a souscrites en application du Pacte international relatif aux droits civils et politiques des Nations-Unies et de la Charte africaine des droits de l'homme et des peuples ou d’autres instruments internationaux applicables concernant les droits de l’homme, et qui doit intégrer le principe de la proportionnalité.

Article 494 : Responsabilité des personnes morales

Les personnes morales autres que l’Etat, les collectivités locales et les établissements publics sont responsables des infractions prévues par les dispositions du présent Livre lorsqu’elles sont commises pour leur compte par toute personne physique, agissant soit individuellement, soit en tant que membre d’un organe de la personne morale, qui exerce un pouvoir de direction en son sein, fondé :

1-  sur un pouvoir de représentation de la personne morale ;

2-  sur une autorité pour prendre des décisions au nom de la personne morale ;

3-  sur une autorité pour exercer un contrôle au sein de la personne morale.

Outre les cas déjà prévus à l’alinéa précédent, une personne morale peut être tenue pour responsable lorsque l’absence de surveillance ou de contrôle de la part d’une personne physique mentionnée à l’alinéa précédent a rendu possible l'Autorité des infractions prévues par les dispositions du présent Livre pour le compte de ladite personne morale par une personne physique agissant sous son autorité.

La responsabilité des personnes morales n’exclut pas celle des personnes physiques auteurs ou complices des mêmes faits.

Les peines encourues par les personnes morales, pour les infractions visées au Titre I du présent Livre, sont les suivantes :

1-  une amende dont le montant maximum est égal au quintuple de celui prévu pour les personnes physiques par la loi qui réprime l’infraction ;

2-  la dissolution, lorsque la personne morale a été créée ou, lorsqu’il s’agit d’un crime ou d’un délit puni en ce qui concerne les personnes physiques d’une peine d’emprisonnement supérieure à cinq (05) ans, détournée de son objet pour commettre les faits incriminés ;

3-  l’interdiction définitive ou pour une durée de cinq (05) ans au plus d’exercer directement ou indirectement une ou plusieurs activités professionnelles ou sociales ;

4-  la fermeture définitive ou pour une durée de cinq (05) ans au plus d’un ou de plusieurs des établissements de l’entreprise ayant servi à commettre les faits incriminés ;

5-  l’exclusion définitive des marchés publics ou pour une durée de cinq (05) ans au plus ;

6-  l’interdiction définitive ou pour une durée de cinq (05) ans au plus de faire appel public à l’épargne ;

7- l’interdiction pour une durée de cinq (05) ans au plus d’émettre des chèques autres que ceux qui permettent le retrait de fonds par le tireur auprès du tiré ou ceux qui sont certifiés ou d’utiliser des cartes de paiement ;

8- la confiscation de la chose qui a servi ou était destinée à commettre l’infraction ou de la chose qui en est le produit ;

Toute personne morale condamnée à l'une des peines ci-dessus énumérées a l'obligation d'afficher la décision prononcée ou de la diffuser par la presse écrite soit par tout moyen de communication au public par voie électronique.

CHAPITRE II

DE LA RESPONSABILITE DES ACTEURS DE L'INTERNET

SECTION I

DU REGIME GENERAL DE RESPONSABILITES

 

Article 495 : Obligation de conservation de données

Les fournisseurs de services en ligne détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont ils sont prestataires.

Ils fournissent aux personnes qui éditent un service de communication au public en ligne des moyens techniques permettant à celles-ci de satisfaire aux conditions d'identification prévues à l’article 501.

Les magistrats et les fonctionnaires chargés de la mise en œuvre de l'exercice de l'action publique, les autorités administratives mentionnées à l'article 595 du présent code pourraient requérir auprès des fournisseurs de services en ligne, conformément à la loi, la conservation et la protection de l'intégrité ainsi que la communication des données mentionnées au premier alinéa. 

Les dispositions prévues au Livre V du présent code sont applicables au traitement de ces données.

Article 496 : Responsabilité des opérateurs fournissant un accès à internet

Les opérateurs fournissant un accès à internet ne sont pas responsables du contenu des informations qu'ils transmettent et auxquelles ils donnent accès, s'il est satisfait à chacune des conditions suivantes :

1-  ils ne sont pas à l'origine de la transmission ;

2-  ils ne sélectionnent pas le destinataire de la transmission ;

3-  ils ne sélectionnent, ni ne modifient, les informations faisant l'objet de la transmission.

Pour les besoins du présent article, les activités d'opérateurs fournissant un accès à internet visées à l’alinéa 1er comprennent notamment le stockage automatique, intermédiaire et transitoire des informations transmises, pour autant que ce stockage serve exclusivement à l'exécution de la transmission sur le réseau de communications et que sa durée n'excède pas le temps raisonnablement nécessaire à la transmission.

Les opérateurs fournissant un accès à internet informent leurs abonnés de l'existence de moyens techniques permettant de restreindre l'accès à certains services ou de les sélectionner, et leur proposent au moins un de ces moyens.

Article 497 : Responsabilité des fournisseurs de services en ligne

Les fournisseurs de services en ligne ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d'un destinataire de leurs services, s'ils n'avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où ils en ont eu connaissance, ils ont agi promptement pour retirer ces données ou en rendre l'accès impossible.

L'alinéa précédent ne s'applique pas lorsque le destinataire du service agit sous l'autorité ou le contrôle du fournisseur de services en ligne.

Les fournisseurs de services en ligne ne peuvent voir leur responsabilité pénale engagée à raison des informations stockées à la demande d'un destinataire de leurs services s'ils n'avaient pas effectivement connaissance de l'activité ou de l'information illicites ou si, dès le moment où ils en ont eu connaissance, ils ont agi promptement pour retirer ces informations ou en rendre l'accès impossible.

L'alinéa précédent ne s'applique pas lorsque le destinataire du service agit sous l'autorité ou le contrôle de la personne visée audit alinéa.

Le fait, pour toute personne, de présenter à un fournisseur de services en ligne un contenu ou une activité comme étant illicite dans le but d'en obtenir le retrait ou d'en faire cesser la diffusion, alors qu'elle sait cette information inexacte, est puni d'un (1) an d'emprisonnement et d'une amende de cinq millions (5 000 000) de francs CFA.

Article 498 : Notification de contenus illicites

La connaissance des faits litigieux est présumée acquise par le fournisseur de services en ligne, lorsqu'il lui est notifié les éléments suivants :

1-  la date de la notification ;

3-  si le notifiant est une personne physique : ses nom, prénoms, profession, domicile, nationalité, date et lieu de naissance ; si le notifiant est une personne morale : sa forme, sa dénomination, son siège social et l'organe qui la représente légalement ;

3-  le nom et domicile du destinataire ou, s'il s'agit d'une personne morale, sa dénomination et son siège social ;

4-  la description des faits litigieux et, si possible, leur localisation précise ;

5-  les motifs pour lesquels le contenu doit être retiré, comprenant la mention des dispositions légales et des justifications de faits ;

6-  la copie de la correspondance adressée à l'auteur ou à l'éditeur des informations ou activités litigieuses demandant leur interruption, leur retrait ou leur modification, ou la justification de ce que l'auteur ou l'éditeur n'a pu être contacté.

 Article 499 : Absence d'obligation générale de surveillance

Les opérateurs fournissant un accès à internet et les fournisseurs de services en ligne ne sont pas soumis à une obligation générale de surveiller les informations qu'ils transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites. Ils sont toutefois tenus à l'obligation de vigilance prévue à l'article 377 du présent code.

Le précédent alinéa est sans préjudice de toute activité de surveillance ciblée et temporaire demandée par les services de police, de gendarmerie ou l'autorité judiciaire.

Article 500 : Coopération à la lutte contre la cybercriminalité

Compte tenu de l'intérêt général attaché à la répression de l'apologie des crimes contre l'humanité, de l'incitation à la haine raciale ainsi que de la pornographie enfantine, les opérateurs fournissant un accès à internet et les fournisseurs de services en ligne doivent concourir à la lutte contre les infractions visées au présent Livre.

A ce titre, ils doivent mettre en place un dispositif facilement accessible et visible permettant à toute personne de porter à leur connaissance les faits qui en relèvent. Elles ont également l'obligation, d'une part, d'informer promptement les autorités compétentes de toutes activités illicites mentionnées à l'alinéa précédent qui leur seraient signalées et qu'exerceraient les destinataires de leurs services, et, d'autre part, de rendre publics les moyens qu'elles consacrent à la lutte contre ces activités illicites.

L'autorité judiciaire peut enjoindre, en référé ou sur requête, à tout fournisseur de services en ligne, et à défaut, à tout opérateur fournissant un accès à internet, toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d'un service en ligne.

Article 501 : Editeur de services de communications au public en ligne

Les personnes dont l'activité est d'éditer un service de communications au public en ligne mettent à disposition du public, dans un standard ouvert :

1-  s'il s'agit de personnes physiques, leur nom, prénom, domicile et numéro de téléphone et, si elles sont assujetties aux formalités d'inscription au Registre du Commerce et du Crédit Mobilier ou un registre équivalent, le numéro de leur     inscription ;

2-  s'il s'agit de personnes morales, leur dénomination ou leur raison sociale, leur numéro de téléphone et, s'il s'agit d'entreprises assujetties aux formalités d'inscription au Registre du Commerce et du Crédit Mobilier ou un registre équivalent, le numéro de leur inscription, leur capital social, l'adresse de leur siège social ;

3-  le nom du directeur et du codirecteur de la publication et, le cas échéant, celui du responsable de la rédaction ;

4- le nom, la dénomination ou la raison sociale et l'adresse et le numéro de téléphone du Fournisseur de services en ligne.

Les personnes éditant à titre non professionnel un service de communications au public en ligne peuvent ne tenir à la disposition du public, pour préserver leur anonymat, que le nom, la dénomination ou la raison sociale et l'adresse du fournisseur de services en ligne, sous réserve de lui avoir communiqué les éléments d'identification prévus au présent article.

Les fournisseurs de services en ligne sont tenus à une obligation de confidentialité, pour tout ce qui concerne la divulgation de ces éléments d'identification ou de toute information permettant d'identifier la personne concernée. Cette obligation de confidentialité n'est pas opposable à l'autorité judiciaire, ni aux services d’enquête de police et de gendarmerie.

Article 502 : Sanctions

Est puni d'un (1) an d'emprisonnement et de cinquante millions (50 000 000) de francs CFA d'amende le fait, pour une personne physique ou le dirigeant de droit ou de fait d'une personne morale exerçant l'activité de fournisseur d'accès à internet ou de fournisseur de services en ligne, de ne pas satisfaire à l’une quelconque des obligations définies aux articles 495 à 500 du présent code.

Est puni d'un (1) an d'emprisonnement et de cinquante millions (50 000 000) de francs CFA d'amende le fait, pour une personne physique ou le dirigeant de droit ou de fait d'une personne morale exerçant l'activité d'éditeur de services de communications au public en ligne, de ne pas avoir respecté les prescriptions de l'article 501  du présent code.

SECTION II

DES REGIMES PARTICULIERS DE RESPONSABILITES

 

Article 503 : Fournisseurs de cache

Les fournisseurs de cache ne sont pas responsables des données et informations qu'ils traitent dans le cadre de leurs activités, pour autant que chacune des conditions suivantes soit remplie :

1-  ils ne modifient pas l'information ;

2-  ils se conforment aux conditions d'accès à l'information ;

3-  ils se conforment aux règles concernant la mise à jour de l'information, indiquées d'une manière largement reconnue et utilisée dans le secteur ;

4-  ils n'entravent pas l'utilisation légale de la technologie, largement reconnue et utilisée par le secteur, dans le but d'obtenir des données sur l'utilisation de l'information ;

5-  ils agissent promptement pour retirer l'information stockée ou pour rendre l'accès à celle-ci impossible dès qu'ils ont effectivement connaissance du fait que l'information à l'origine de la transmission a été retirée du réseau ou du fait que l'accès à l'information a été rendu impossible, ou du fait qu'une autorité administrative ou judiciaire a ordonné de retirer l'information ou de rendre l'accès à cette dernière impossible.

Article 504 : Fournisseurs de liens hypertextes

Les fournisseurs de liens hypertextes ne sont pas responsables des informations auxquelles ils donnent accès, dès lors que :

1-  ils suppriment ou empêchent rapidement l'accès aux informations après avoir reçu une injonction de l'autorité judiciaire, de retirer le lien hypertexte ; et que

2-  lorsqu'ils ont pris connaissance ou conscience autrement que par une injonction de l'autorité judiciaire, d'informations illégales spécifiques stockées ou des activités illégales qu'exerceraient les destinataires de leurs services, informent rapidement les services de police, pour leur permettre d'évaluer la nature des informations ou des activités et, si nécessaire, d'ordonner le retrait du contenu.

Article 505 : Fournisseurs de moteurs de recherche

Les fournisseurs de services en ligne qui, de manière automatique ou sur la base des entrées effectuées par autrui, créent un index des contenus en ligne ou mettent à disposition des moyens électroniques pour rechercher les informations fournies par des tiers, ne sont pas responsables des résultats de recherche, à condition qu'ils :

1-  ne soient pas à l'origine de la transmission ;

2-  ne sélectionnent pas le destinataire de la transmission ; et

3-  ne sélectionnent pas ou ne modifient pas les informations contenues dans la transmission.

Article 506: Activités d'hébergement

Un hébergeur n'est pas responsable des informations stockées à la demande d'un utilisateur du service qu'il fournit, à condition que :

1-  lorsqu'il a connaissance d'informations illégales spécifiques stockées ou des activités illégales qu'exerceraient les destinataires du service, il informe rapidement les services de police ou judiciaires, afin de leur permettre d'évaluer la nature des informations et, si nécessaire, faire émettre une injonction pour en retirer le contenu. Aussi longtemps que les services de police et/ou judiciaires n'ont pas pris de décision concernant la copie, l'accessibilité et le retrait des données stockées, l’hébergeur peut uniquement prendre des mesures visant à empêcher l'accès à ces données ; ou

2-  l'hébergeur retire, rend l’accès impossible ou désactive promptement l'accès aux données après avoir reçu des services de police ou judiciaires, une injonction de retirer les données.

L’alinéa 1er ne s'applique pas lorsque le destinataire du service agit sous l'autorité ou le contrôle de l’hébergeur.

CHAPITRE III

DES ATTEINTES AUX RESEAUX ET SYSTEMES D'INFORMATION

 

Article 507 : Accès et maintien illégal

Quiconque accède ou se maintient intentionnellement et sans droit, dans l’ensemble ou partie d’un système informatique est puni d'un emprisonnement de un (01) à cinq (05) ans et d'une amende de cinq cent mille (500 000) francs CFA à un million (1 000 000) de francs CFA ou de l’une de ces peines seulement.

Quiconque accède ou se maintient intentionnellement et sans droit, dans l’ensemble ou partie d’un système informatique, avec une intention frauduleuse est puni d’un emprisonnement de deux (02) ans à cinq (05) ans et d'une amende de cinq cent mille (500 000) francs CFA à deux millions (2 000 000) de  francs CFA ou de l’une de ces peines seulement.

Quiconque avec une intention frauduleuse ou dans le but de nuire, outrepasse son pouvoir d'accès légal à un système informatique, est puni d’un emprisonnement de deux (02) ans à cinq (05) ans et d'une amende de cinq cent mille (500 000) francs CFA à deux millions (2 000 000) de francs CFA ou de l’une de ces peines seulement.

Lorsqu'il résulte des faits visés aux alinéas 1 à 3 soit la suppression, l’obtention ou la modification de données contenues dans le système informatique, soit une altération du fonctionnement de ce système informatique, les peines prévues dans ces alinéas seront doublées.

Lorsque les faits visés aux alinéas 1 à 3 sont commis en violation de mesures de sécurité, la peine est la réclusion criminelle à temps de dix (10) ans à vingt (20) ans et une amende de cinq millions (5 000 000) de  francs CFA à cinq cent millions                 (500 000 000) de francs CFA.

L’accès, pour une durée déterminée, à des systèmes informatiques est autorisé sans que le secret professionnel ou bancaire puisse être opposé conformément aux dispositions du code de procédure pénale.

Article 508 : Atteinte aux données informatiques

Quiconque intercepte, divulgue, utilise, altère ou détourne intentionnellement et sans droit par des moyens techniques, des données informatiques lors de leur transmission non publique à destination, en provenance ou à l’intérieur d’un système informatique, y compris les émissions électromagnétiques provenant d'un système informatique transportant de telles données informatiques, est puni d’un emprisonnement de deux (02) ans à cinq (05) ans et d'une amende de cinq cent mille (500 000) francs CFA à deux millions (2 000 000) de francs CFA.

Quiconque transfère sans autorisation des données d’un système informatique ou d’un moyen de stockage de données informatique est puni d’un emprisonnement de cinq (05) ans à dix (10) ans et d'une amende de cinq millions (5 000 000) à cent millions (100 000 000) de  francs CFA.

Si l’infraction visée à l’alinéa précédent est commise avec une intention frauduleuse, ou en rapport avec un système informatique connecté à un autre système informatique, ou en contournant les mesures de protection mises en place pour empêcher l'accès au contenu de la transmission non publique, les peines prévues à l’alinéa précédent sont doublées.

Une personne ne commet pas une infraction au sens du présent article, si :

1-  l’interception est réalisée conformément à un mandat de justice ;

2-  la communication est envoyée par ou est destinée à une personne qui a consenti à l’interception ;

3-  un fonctionnaire habilité estime qu’une interception est nécessaire en cas d’urgence, dans le but de prévenir un décès, une blessure ou un dommage à la santé physique ou mentale d’une personne, ou d’atténuer une blessure ou un dommage à la santé physique ou mentale d’une personne ;

4-  une personne morale ou physique est légalement autorisée pour les besoins de la sécurité publique ou de la défense nationale ; ou

5-  une personne morale ou physique est légalement autorisée en vertu des dispositions du code de procédure pénale.

Article 509 : Atteinte à l’intégrité du système

Quiconque qui, intentionnellement et sans droit, directement ou indirectement provoque, par tout moyen technologique, une interruption du fonctionnement normal d’un système informatique est puni d’un emprisonnement de deux (02) ans à cinq (05) ans et d'une amende de cinq millions (5 000 000) à cinq cent millions (500 000 000) de francs CFA ou de l’une de ces peines seulement.

Quiconque, suite à la commission des faits visés à l’alinéa 1er, cause un dommage à des données dans le système informatique concerné ou dans tout autre système informatique, est puni d’un emprisonnement de cinq (05) ans à dix (10) ans et d'une amende de cinq millions (5 000 000) à cinq cent millions (500 000 000) de francs CFA ou de  l’une de ces peines seulement.

Quiconque, suite à la commission des faits visés à l’alinéa 1er, provoque une perturbation grave ou empêche, totalement ou partiellement, le fonctionnement normal du système informatique concerné ou de tout autre système informatique, est condamné à la réclusion criminelle à temps de dix (10) ans à vingt (20) ans et à une amende de cinq millions (5 000 000) à cinq cent millions (500 000 000) de francs CFA ou de l'une de ces peines seulement.

Lorsque la commission des faits visés à l’alinéa 1er touche une ou plusieurs infrastructures sensibles, au sens du présent code, la personne responsable est condamnée à la réclusion criminelle à temps de dix (10) ans à vingt (20) ans et à une amende de cinq millions (5 000 000) à cinq cent millions (500 000 000) de francs CFA ou de l'une de ces peines seulement.

La peine d’emprisonnement et l’amende sont applicables même si les conséquences sur le ou les systèmes informatiques visés aux alinéas précédents sont temporaires ou permanentes.

Article 510 : Atteinte à l’intégrité des données

Quiconque, intentionnellement et sans droit, directement ou indirectement endommage, efface, détériore, altère ou supprime des données informatiques est puni d’un emprisonnement de six (06) mois à cinq (05) ans et d'une amende de cinq cent mille (500 000) francs CFA à deux millions (2 000 000) de  francs CFA ou de l’une de ces peines seulement.

Si l'infraction visée à l’alinéa 1er est commise avec une intention frauduleuse ou dans le but de nuire, la peine d'emprisonnement est de deux (02) ans à cinq (05) ans et d'une amende de cinq cent mille (500 000) francs à deux millions (2 000 000) de francs CFA ou l’une de ces peines seulement.

La peine d’emprisonnement et l’amende sont applicables même si les conséquences sur le ou les systèmes informatiques visés aux alinéas précédents sont temporaires ou permanentes.

Article 511 : Abus de dispositifs

Quiconque, intentionnellement et sans droit, produit, vend, obtient en vue de son utilisation, importe, exporte, diffuse ou met à disposition sous une autre forme, un quelconque dispositif, y compris des données informatiques ou des programmes informatiques, principalement conçu ou adapté pour permettre la commission d’une ou plusieurs infractions visées au Titre I du présent Livre, est puni d’un emprisonnement de deux (02) ans à cinq (05) ans et d'une amende de cinq cent mille (500 000) francs CFA à deux millions (2 000 000) de francs CFA ou de l’une de ces peines seulement.

Quiconque, intentionnellement et sans droit, possède au sens du présent code, dans l’intention de l’utiliser, un quelconque dispositif, y compris des données informatiques, principalement conçu ou adapté pour permettre la commission d’une ou plusieurs infractions visées au Titre I du présent Livre est puni d’un emprisonnement de six (06) mois à cinq (05) ans et d'une amende de cinq cent mille (500 000)  francs CFA à deux millions (2 000 000) de francs CFA ou de l’une de ces peines seulement.

Est puni d'une peine d'emprisonnement de deux (02) ans à cinq (05) ans et d'une amende de cinq cent mille (500 000) francs CFA à deux millions (2 000 000) de francs CFA ou de l'une de ces peines seulement, tout officier ou fonctionnaire public, dépositaire ou agent de la force publique qui, à l'occasion de l'exercice de ses fonctions, hors les cas prévus par la loi ou sans respecter les formalités qu'elle prescrit, indûment, possède, produit, vend, obtient en vue de son utilisation, importe, diffuse ou met à disposition sous une autre forme un dispositif, y compris des données informatiques, principalement conçu ou adapté pour permettre la commission d’une ou plusieurs infractions visées au Titre I du présent Livre.

Article 512: Falsification informatique

Quiconque commet un faux, en introduisant, intentionnellement et sans droit, dans un système informatique, en modifiant, altérant ou effaçant des données, qui sont stockées, traitées ou transmises par un système informatique, ou en modifiant par tout moyen technologique l'utilisation possible des données dans un système informatique, et ce dans l’intention qu’elles soient prises en compte ou utilisées à des fins légales comme si les données falsifiées étaient authentiques, est puni d’un emprisonnement de cinq (05) ans à dix (10) ans et d'une amende de cinq millions (5 000 000) à cinquante millions (50 000 000) de francs CFA ou de l'une de ces peines seulement.

Quiconque cherchant à se procurer, pour lui-même ou pour autrui, avec une intention frauduleuse, un avantage économique illégal en introduisant dans un système informatique, en modifiant ou effaçant des données qui sont stockées, traitées ou transmises par un système informatique, ou en modifiant par tout moyen technologique l'utilisation normale des données dans un système informatique, est puni d’un emprisonnement de cinq (05) ans à dix (10) ans et d'une amende de cinq millions         (5 000 000) à cinquante millions (50 000 000) de francs CFA ou de l’une de ces peines seulement.

Quiconque en connaissance de cause, décide de faire usage de données falsifiées, au sens des alinéas 1 et 2, sans en être l’auteur, est puni d’un emprisonnement de cinq (05) ans à dix (10) ans et d'une amende de cinq millions (5 000 000) à cinquante millions (50 000 000) de  francs CFA ou de l’une de ces peines seulement, comme s’il était l’auteur de la falsification informatique.

La peine d’emprisonnement et l’amende sont applicables même si les conséquences sur le ou les systèmes informatiques visés aux alinéas précédents sont temporaires ou permanentes.

Article 513 : Fraude informatique

Quiconque, intentionnellement et sans droit, cause ou cherche à causer un préjudice patrimonial à autrui avec l’intention de procurer un avantage économique illégal à soi-même ou à une tierce partie, est puni d’un emprisonnement de cinq (05) ans à dix (10) ans et d'une amende de cinq millions (5 000 000) à cinquante millions      (50 000 000) de francs CFA :

1-  en introduisant dans un système informatique, en modifiant, altérant ou effaçant des données qui sont stockées, traitées ou transmises par un système informatique ; ou

2-  en perturbant le fonctionnement normal d’un système informatique ou des données y contenues.

CHAPITRE IV

DES INFRACTIONS LIEES A L'UTILISATION DES DONNEES

A CARACTERE PERSONNEL

 

Article 514 : Envoi de messages non sollicités

Tout message électronique non sollicité envoyé sur la base de la collecte de données à caractère personnel doit contenir un lien pouvant permettre au bénéficiaire de se désabonner.

Le non respect de cette disposition expose le contrevenant à une amende de cinq cent mille (500 000)  francs CFA à deux millions (2 000 000) de francs CFA.

Article 515 : Tromperie

Quiconque utilise les éléments d’identification d’une personne physique ou morale dans le but de tromper les destinataires d’un message électronique ou les usagers d’un site internet en vue de les amener à communiquer des données à caractère personnel ou des informations confidentielles est puni d’un emprisonnement de cinq (5) ans et d’une amende de vingt cinq millions (25 000 000) de  francs CFA.

Article 516 : Détournement de fonds

Quiconque utilisera des données à caractère personnel ou des informations confidentielles communiquées dans le but de détourner des fonds publics ou privés est puni d’un emprisonnement de dix (10) ans et d’une amende de cent millions              (100 000 000) de  francs CFA.

Article 517 : Traitement non autorisé

Quiconque aura procédé à un traitement de données à caractère personnel soit sans avoir préalablement informé individuellement les personnes concernées de leur droit d’accès, de rectification ou d’opposition, de la nature des données transmises et des destinataires de celles-ci, soit malgré l’opposition de la personne concernée est puni selon les peines prévues à l’article 454 du présent code.

CHAPITRE V

DES ATTEINTES AUX PERSONNES ET AUX BIENS

SECTION I

DE LA PROTECTION DES MINEURS

Article 518 : Pédopornographie

Quiconque aura par le biais d’un système informatique, intentionnellement et sans droit, exposé, produit pour lui-même ou pour autrui, vendu, offert, loué, distribué, transmis, diffusé, publié ou mis à la disposition des emblèmes, objets, films, photos, diapositives ou autres supports visuels qui représentent des positions ou des actes sexuels à caractère pornographique, impliquant ou présentant des mineurs ou les aura, en vue du commerce ou de la distribution, la diffusion, fabriqués, détenus, importés ou fait importer, remis à un agent de transport ou de distribution, est puni de la réclusion de deux (02) ans à sept (7) ans et d’une amende de vingt millions (20 000 000) à cent millions (100 000 000) de francs CFA.

Quiconque acquiert, détient ou aura possédé au sens du présent code, intentionnellement et sans droit, de la pornographie enfantine au sens du présent code dans un système informatique ou un moyen de stockage de données informatique, est puni d’un emprisonnement de six (06) mois à cinq (05) ans et d’une amende de cinquante millions (50 000 000) à cinq cent millions (500 000 000) de  francs CFA ou de  l’une de ces peines seulement.

Quiconque consulte habituellement ou en contrepartie d'un paiement un service de communication au public en ligne mettant à disposition de la pornographie enfantine au sens du présent code, par quelque moyen que ce soit est puni de dix (10) ans d'emprisonnement et de vingt cinq millions (25 000 000) de  francs CFA d'amende.

Les dispositions du présent article sont également applicables aux images pornographiques d'une personne dont l'aspect physique est celui d'un mineur et dont l’objectif est de faire passer la personne comme un mineur et ce même s'il est établi que cette personne était âgée de dix-huit (18) ans au jour de la fixation ou de l'enregistrement de son image.

La confiscation peut être appliquée à l'égard des infractions visées aux alinéas 1 et 2, même lorsque la propriété des choses sur lesquelles portent l’infraction n'appartiennent pas au condamné.

La responsabilité pénale de l’auteur n’est pas en cause lorsque l’acte est commis dans un objectif de répression de la pédopornographie.

Une interdiction, telle que prévue par le code pénal, peut être prononcée par les tribunaux à titre de peine complémentaire.

Une interdiction à titre provisoire ou définitive de fréquenter certains endroits, établissements à qui l'on confie la garde des mineurs ou d’exercer certaines activités à même de mettre le condamné en rapport avec des mineurs, peut être prononcée par les tribunaux. Cette interdiction est prolongée en cas de récidive.

Sans avoir égard à la qualité de la personne physique ou morale de l'exploitant, propriétaire, locataire ou gérant, le tribunal peut ordonner la fermeture de l'établissement dans lequel les infractions ont été commises, pour une durée de un (01) mois à trois (03) ans.

Article 519 : Sollicitation de mineurs à des fins sexuelles

Un adulte qui propose intentionnellement, par le biais des technologies de communication et d’information, une rencontre à un enfant mineur, dans le but de commettre à son encontre une des infractions visées à l’article 518, est puni des mêmes peines que celles prévues à l’article 518, alinéa 1er.

Lorsque la proposition sexuelle a été suivie d’actes matériels conduisant à ladite rencontre, l’auteur commet une infraction aggravée et est puni de la réclusion criminelle à temps de dix (10) ans à vingt (20) ans et d’une amende de cent millions (100 000 000) à cinq cent millions (500 000 000) de  francs CFA ou de l’une de ces peines seulement.

Article 520 : Facilitation de l’accès des mineurs à des contenus pornographiques

Une personne qui facilite l’accès des mineurs à des images, des documents, du son ou une représentation présentant un caractère de pornographie, par le biais des technologies de communication et d’information, est punie des mêmes peines que celles prévues par les dispositions du code pénal relatives à la corruption de la jeunesse.

Quiconque fabrique, transporte, diffuse par quelque moyen que ce soit et quel qu'en soit le support un message à caractère violent ou pornographique ou de nature à porter gravement atteinte à la dignité humaine ou à inciter des mineurs à se livrer à des jeux les mettant physiquement en danger, soit de faire commerce d'un tel message, est puni des mêmes peines que celles prévues par les dispositions du code pénal relatives à la corruption de la jeunesse.

Lorsque les infractions prévues à l’alinéa précédent sont soumises par la voie de la presse écrite ou audiovisuelle ou de la communication au public en ligne, les dispositions particulières des lois qui régissent ces matières sont applicables en ce qui concerne la détermination des personnes responsables.

Article 521 : Délit de corruption de mineur

Quiconque favorisera la corruption d'un mineur au moyen d’un ou sur un réseau de communication électronique ou un système informatique est puni de dix (10) ans d'emprisonnement et de vingt cinq millions (25 000 000) de  francs CFA d'amende. Ces peines sont portées à douze (12) ans d'emprisonnement et trente cinq millions               (35 000 000) de  francs CFA d'amende lorsque les faits sont commis dans les établissements d'enseignement ou d'éducation ou dans les locaux de l'administration, ainsi que, lors des entrées ou sorties des élèves ou du public ou dans un temps très voisin de celles-ci, aux abords de ces établissements ou locaux.

Les peines sont portées à quinze (15) ans d'emprisonnement et cinquante millions (50 000 000) de francs CFA d'amende lorsque les faits ont été commis à l'encontre d'un mineur de moins de quinze (15) ans.

Article 522 : Prostitution de mineurs

Le fait de solliciter, d'accepter ou d'obtenir, en échange d'une rémunération ou d'une promesse de rémunération, des relations de nature sexuelle de la part d'un mineur qui se livre à la prostitution, y compris de façon occasionnelle, est puni de vingt (20) ans d'emprisonnement et cinquante millions (50 000 000) de  francs CFA d'amende lorsque la personne a été mise en contact avec l’auteur des faits au moyen d’un ou sur un réseau de communication électronique ou un système informatique.

SECTION II

DES INFRACTIONS SEXUELLES ET PROSTITUTION

 

Article 523 : Viol

Le viol est puni de vingt (20) ans de réclusion criminelle et de cinquante millions (50 000 000) de  francs CFA d'amende lorsque la victime a été mise en contact avec l'auteur des faits au moyen d’un ou sur un réseau de communication électronique ou un système informatique.

Article 524 : Infractions sexuelles

Les agressions sexuelles autres que le viol sont punies de dix (10) ans d'emprisonnement et vingt cinq millions (25 000 000) de  francs CFA d'amende lorsque la victime a été mise en contact avec l'auteur des faits au moyen d’un ou sur un réseau de communication électronique ou un système informatique.

Article 525 : Prostitution des personnes vulnérables

Est puni des peines prévues à l’article 522 le fait de solliciter, d'accepter ou d'obtenir, en échange d'une rémunération ou d'une promesse de rémunération, des relations sexuelles de la part d'une personne qui se livre à la prostitution, y compris de façon occasionnelle, lorsque cette personne présente une particulière vulnérabilité, apparente ou connue de son auteur, due à une maladie, à une infirmité, à une déficience physique ou psychique ou à un état de grossesse.

SECTION III

DE LA FRAUDE AUX CARTES BANCAIRES

Article 526: Fraude aux cartes bancaires

Est puni de cinq (5) ans d’emprisonnement et d'une amende de dix millions        (10 000 000) de francs CFA, le fait pour toute personne :

1-  de contrefaire ou de falsifier une carte de paiement ou de retrait au moyen d’un ou sur un réseau de communication électronique ou un système informatique ;

2-  de faire usage, en connaissance de cause, d'une carte de paiement ou de retrait contrefaite ou falsifiée au moyen d’un ou sur un réseau de communication électronique ou un système informatique ;

3-  d'accepter, en connaissance de cause, de recevoir un paiement au moyen d'une carte de paiement contrefaite ou falsifiée au moyen d’un ou sur un réseau de communication électronique ou un système informatique.

Est puni de huit (8) ans d'emprisonnement et de dix millions (10 000 000) de  francs CFA d'amende, le fait pour toute personne, de fabriquer, d'acquérir, de détenir, de céder, d'offrir ou de mettre à disposition des équipements, instruments, programmes informatiques ou toutes données conçus ou spécialement adaptés pour commettre les infractions prévues à l’alinéa 1er.

La confiscation, aux fins de destruction des cartes de paiement contrefaits ou falsifiés est obligatoire dans les cas prévus ci-dessus. Est également obligatoire la confiscation des matières, machines, appareils, instruments, programmes informatiques ou de toutes données qui ont servi ou étaient destinés à servir à la fabrication desdits objets, sauf lorsqu'ils ont été utilisés à l'insu du propriétaire.

Dans tous les cas prévus aux alinéas ci-dessus, le tribunal peut prononcer l'interdiction des droits civiques, civils et de famille ainsi que l'interdiction, pour une durée de cinq (5) ans au plus, d'exercer une activité professionnelle ou sociale.

CHAPITRE VI

DES AUTRES INFRACTIONS

Article 527 : Enregistrement d’images relatives à la commission d’infractions

Est constitutif d'un acte de complicité des atteintes volontaires à l'intégrité de la personne, le fait d'enregistrer sciemment, par quelque moyen que ce soit, sur tout support que ce soit, des images relatives à la commission d’infractions.

Le fait de diffuser l'enregistrement de telles images est puni de cinq (5) ans d'emprisonnement et de vingt cinq millions (25 000 000) de  francs CFA d'amende.

Le présent article n'est pas applicable lorsque l'enregistrement ou la diffusion résulte de l'exercice normal d'une profession ayant pour objet d'informer le public ou est réalisé afin de servir de preuve en justice.

Article 528 : Eléments pour fabriquer des engins de destruction

Le fait de diffuser, au moyen d’un ou sur un réseau de communication électronique ou un système informatique, sauf à destination des professionnels, des procédés permettant la fabrication d'engins de destruction élaborés à partir de poudre ou de substances explosives, de matières nucléaires, biologiques ou chimiques, ou à partir de tout autre produit destiné à l'usage domestique, industriel ou agricole, est puni de dix (10) ans d'emprisonnement et de vingt cinq millions (25 000 000) de francs CFA d'amende.

Lorsque ces procédés ont permis la commission de meurtre ou d’assassinat, la peine est de vingt (20) ans d’emprisonnement et d’une amende de cinquante millions (50 000 000) à cent millions (100 000 000) de francs CFA.

CHAPITRE VII

 

DE L’ATTEINTE AUX DROITS DE LA PROPRIETE

INTELLECTUELLE ET INDUSTRIELLE

 

Article 529 : Dispositions existantes

Les dispositions du présent chapitre viennent compléter les dispositions de la loi n° 2005-30 du 10 avril 2006 relative à la protection des droits d’auteurs et des droits voisins en République du Bénin.

Article 530 : Infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes

A l’article 2 de la loi n° 2005-30 du 10 avril 2006  relative à la protection des droits d’auteurs et des droits voisins en République du Bénin, sont apportées les modifications suivantes :

«L’auteur de toute œuvre originale de l’esprit, littéraire ou artistique, quels qu’en soient le genre, la forme d’expression, le mérite ou la destination, jouit sur cette œuvre, du seul fait de sa création, d’un droit de propriété incorporelle, exclusif à tous et opposable à tous».

A l’article 8 de la loi n° 2005-30 du 10 avril 2006  relative à la protection des droits d’auteurs et des droits voisins en République du Bénin, sont apportées les modifications suivantes :

« Constituent les œuvres de l’esprit protégées par la présente loi :

-    (…)

-    les logiciels, y compris le matériel de conception préparatoire ;

-    (…) ».

SECTION I

DE L’ATTEINTE AUX DROITS DE PROPRIETE INTELLECTUELLE

Article 531 : Sanctions

Sont punis d’une peine d’emprisonnement de trois (03) mois à deux (02) ans et d’une amende de cinq cent mille (500 000) francs CFA à dix millions (10 000 000) de FCFA, les atteintes à la propriété intellectuelle commises au moyen d’un ou sur un réseau de communication électronique ou un système informatique.

Article 532 : Oeuvres de l’esprit

Constitue une atteinte à la propriété intellectuelle, le fait, sans autorisation de l’auteur ou de ses ayants droit de reproduire, représenter ou de mettre à la disposition du public une œuvre de l’esprit protégée par le droit d’auteur ou un droit voisin au moyen d’un ou sur un réseau de communication électronique ou un système informatique.

Article 533 : Contrefaçon de marque, nom commercial, appellation d’origine, indication géographique

Constitue une atteinte à la propriété intellectuelle, le fait sans autorisation de l’auteur ou de ses ayants droit, de reproduire, d’utiliser, de vendre, de dénigrer, de dénaturer une marque, un nom commercial, une appellation d’origine ou une indication géographique appartenant à un tiers au moyen d’un ou sur un réseau de communication électronique ou un système informatique.

Article 534 : Contrefaçon de dessins et modèles

Constitue une atteinte à la propriété intellectuelle, le fait, sans autorisation de l’auteur ou de ses ayants droit de reproduire, de représenter ou de mettre à la disposition du public, un dessin ou un modèle protégé par le droit d’auteur ou un droit voisin au moyen d’un ou sur un réseau de communication électronique ou un système informatique.

Article 535 : Atteinte aux droits de propriété des brevets

Constitue une atteinte à la propriété intellectuelle le fait, en toute connaissance de cause, sans droit, de vendre ou de mettre à disposition du public par reproduction ou par représentation, un bien ou un produit protégé par un brevet d’invention au moyen d’un ou sur un réseau de communication électronique ou un système informatique.

Article 536 : Atteinte aux schémas de configuration de circuits intégrés

Constitue une atteinte à la propriété intellectuelle, le fait, en toute connaissance de cause, sans droit, de vendre ou de mettre à disposition du public par reproduction ou par représentation un schéma de configuration de circuits intégrés au moyen d’un ou sur un réseau de communication électronique ou un système informatique.

Article 537 : Atteinte à une mesure technique efficace

Est puni de sept cent mille (700 000) francs CFA d'amende, le fait de porter atteinte sciemment, à des fins autres que la recherche, à une mesure technique efficace afin d'altérer la protection d'une œuvre par un décodage, un décryptage ou toute autre intervention personnelle destinée à contourner, neutraliser ou supprimer un mécanisme de protection ou de contrôle, lorsque cette atteinte est réalisée par d'autres moyens que l'utilisation d'une application technologique, d'un dispositif ou d'un composant existant.

Est puni de six (6) mois d'emprisonnement et de cinq cent mille (500 000) francs CFA d'amende, le fait de procurer ou proposer sciemment à autrui, directement ou indirectement, des moyens conçus ou spécialement adaptés pour porter atteinte à une mesure technique efficace, par l'un des procédés suivants :

1- en fabriquant ou en important une application technologique, un dispositif ou un composant, à des fins autres que la recherche ;

2- en détenant en vue de la vente, du prêt ou de la location, en offrant à ces mêmes fins ou en mettant à disposition du public sous quelque forme que ce soit, une application technologique, un dispositif ou un composant ;

3- en fournissant un service à cette fin ;

4- en incitant à l'usage ou en commandant, concevant, organisant, reproduisant, distribuant ou diffusant une publicité en faveur de l'un des procédés visés aux points  1 à 3 au moyen d’un ou sur un réseau de communication électronique ou un système informatique.

Ces dispositions ne sont pas applicables aux actes réalisés à des fins de sécurité informatique.

Article 538 : Suppression d’un élément d’information sur le régime des droits pour porter atteinte au droit d’auteur

Est puni de sept cent mille (700 000)  francs CFA d'amende, le fait de supprimer ou de modifier, sciemment et à des fins autres que la recherche, tout élément d'information sur le régime des droits, par une intervention personnelle ne nécessitant pas l'usage d'une application technologique, d'un dispositif ou d'un composant existant, conçus ou spécialement adaptés à cette fin, dans le but de porter atteinte à un droit d'auteur, de dissimuler ou de faciliter une telle atteinte.

Est puni de six (6) mois d'emprisonnement et de cinq cent mille (500 000) francs CFA d'amende, le fait de procurer ou proposer sciemment à autrui, directement ou indirectement, des moyens conçus ou spécialement adaptés pour supprimer ou modifier, même partiellement, un élément d'information sur le régime des droits, dans le but de porter atteinte à un droit d'auteur, de dissimuler ou de faciliter une telle atteinte, par l'un des procédés suivants :

1-  en fabriquant ou en important une application technologique, un dispositif ou un composant, à des fins autres que la recherche ;

2-  en détenant en vue de la vente, du prêt ou de la location, en offrant à ces mêmes fins ou en mettant à disposition du public sous quelque forme que ce soit une application technologique, un dispositif ou un composant ;

3-  en fournissant un service à cette fin ;

4-  en incitant à l'usage ou en commandant, concevant, organisant, reproduisant, distribuant ou diffusant une publicité en faveur de l'un des procédés visés aux points 1 à 3 au moyen d’un ou sur un réseau de communication électronique ou un système informatique.

Est puni de six (6) mois d'emprisonnement et de cinq cent mille (500 000) francs CFA d’amende, le fait sciemment, d'importer, de distribuer, de mettre à disposition du public sous quelque forme que ce soit ou de communiquer au public, directement ou indirectement, une œuvre dont un élément d'information sur le régime des droits a été supprimé ou modifié dans le but de porter atteinte à un droit d'auteur, de dissimuler ou de faciliter une telle atteinte.

Ces dispositions ne sont pas applicables aux actes réalisés à des fins de recherche ou de sécurité informatique.

Article 539 : Altération

Est puni de sept cent mille (700 000) francs CFA d'amende, le fait de porter atteinte sciemment, à des fins autres que la recherche, à une mesure technique efficace afin d'altérer la protection d'une interprétation, d'un phonogramme, d'un vidéogramme ou d'un programme par un décodage, un décryptage ou toute autre intervention personnelle destinée à contourner, neutraliser ou supprimer un mécanisme de protection ou de contrôle, lorsque cette atteinte est réalisée par d'autres moyens que l'utilisation d'une application technologique, d'un dispositif ou d'un composant existant mentionné au chapitre II du présent Livre.

Est puni de six (6) mois d'emprisonnement et de cinq cent mille (500 000)  francs CFA d'amende, le fait de procurer ou proposer sciemment à autrui, directement ou indirectement, des moyens conçus ou spécialement adaptés pour porter atteinte à une mesure technique efficace, par l'un des procédés suivants :

1-  en fabriquant ou en important une application technologique, un dispositif ou un composant, à des fins autres que la recherche ;

2-  en détenant en vue de la vente, du prêt ou de la location, en offrant à ces mêmes fins ou en mettant à disposition du public sous quelque forme que ce soit une application technologique, un dispositif ou un composant ;

3-  en fournissant un service à cette fin ;

4-  en incitant à l'usage ou en commandant, concevant, organisant, reproduisant, distribuant ou diffusant une publicité en faveur de l'un des procédés visés aux points 1 à 3.

Ces dispositions ne sont pas applicables aux actes réalisés à des fins de sécurité informatique.

SECTION II

 

DES MOYENS D’ECHANGE ILLICITE ET TELECHARGEMENT

 SUR INTERNET

Article 540 : Personnes facilitant sur les réseaux, les échanges illicites d’éléments protégés

Est puni de trois (3) ans d'emprisonnement et de trois millions (3 000 000) de  francs CFA d'amende, le fait :

1-  d'éditer, de mettre à la disposition du public ou de communiquer au public, sciemment et sous quelque forme que ce soit, un logiciel manifestement destiné à la mise à disposition du public non autorisée d'œuvres ou d'objets protégés ;

2-  d'inciter sciemment, y compris à travers une annonce publicitaire, à l'usage d'un logiciel mentionné au point 1, au moyen d’un ou sur un réseau de communication électronique ou un système informatique.

Article 541 : Atteinte aux droits d’auteur par un service de communication au public en ligne

En présence d'une atteinte à un droit d'auteur ou à un droit voisin occasionnée par le contenu d'un service de communication au public en ligne, le tribunal de première instance, peut ordonner à la demande des titulaires de droits sur les œuvres et objets protégés, de leurs ayants droit, toutes mesures propres à prévenir ou à faire cesser une telle atteinte à un droit d'auteur ou un droit voisin, à l'encontre de toute personne susceptible de contribuer à y remédier.

Article 542 : Obligation de l’abonné internet de veiller à ce que son accès internet ne fasse pas l’objet d’une utilisation type téléchargement illicite

La personne titulaire de l'accès à des services de communication au public en ligne a l'obligation de veiller à ce que cet accès ne fasse pas l'objet d'une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d'œuvres ou d'objets protégés par un droit d'auteur ou par un droit voisin sans l'autorisation des titulaires des droits lorsqu'elle est requise.

Le manquement de la personne titulaire de l'accès à l'obligation définie au premier alinéa n'a pas pour effet d'engager la responsabilité pénale de l'intéressé, sous réserve des articles 544 et 545 ci-dessous.

Article 543 : En cas de téléchargement illicite : réponse graduée

En cas d’infraction définie à l’article 542 ci-dessus, l’organe national en charge du droit d'auteur et des droits voisins peut envoyer à l'abonné, sous son timbre et pour son compte, par la voie électronique et par l'intermédiaire de la personne dont l'activité est d'offrir un accès à des services de communication au public en ligne ayant conclu un contrat avec l'abonné, une recommandation lui rappelant les dispositions de l'article ci-dessous, lui enjoignant de respecter l'obligation qu'elles définissent et l'avertissant des sanctions encourues. Cette recommandation contient également une information de l'abonné sur l'offre légale de contenus culturels en ligne, sur l'existence de moyens de sécurisation permettant de prévenir les manquements à l'obligation définie à l'article ci-dessus ainsi que sur les dangers pour le renouvellement de la création artistique et pour l'économie du secteur culturel des pratiques ne respectant pas le droit d'auteur et les droits voisins.

En cas de renouvellement, dans un délai de six (6) mois à compter de l'envoi de la recommandation visée au 1er alinéa, de faits susceptibles de constituer un manquement à l'obligation définie à l'article ci-dessus, le Bureau béninois du droit d’auteur peut adresser une nouvelle recommandation comportant les mêmes informations que la précédente par la voie électronique dans les conditions prévues au 1er alinéa. Elle doit assortir cette recommandation d'une lettre remise contre signature ou de tout autre moyen propre à établir la preuve de la date de présentation de cette recommandation.

Les recommandations adressées sur le fondement du présent article mentionnent la date et l'heure auxquelles les faits susceptibles de constituer un manquement à l'obligation définie à l'article ci-dessus ont été constatés. En revanche, elles ne divulguent pas le contenu des œuvres ou objets protégés concernés par ce manquement. Elles indiquent les coordonnées téléphoniques, postales et électroniques où leur destinataire peut adresser, s'il le souhaite, des observations au Bureau de droit d’auteur et droit voisin et obtenir, s'il en formule la demande expresse, des précisions sur le contenu des œuvres ou objets protégés concernés par le manquement qui lui est reproché.

Article 544 : Sanctions du téléchargement illicite

Lorsque l'infraction définie à l’article 542 est commise au moyen d'un service de communication au public en ligne, les personnes coupables des infractions de contrefaçons peuvent en outre être condamnées à la peine complémentaire d’une amende de un million (1 000 000) de francs CFA.

Lorsque ce service est acheté selon des offres commerciales composites incluant d'autres types de services, tels que services de téléphonie ou de télévision, les décisions d’amende ne s'appliquent pas à ces services.

La prononciation de l’amende n'affecte pas, par elle-même, le versement du prix de l'abonnement au fournisseur du service.

Article 545 : Négligence caractérisée

La peine complémentaire définie à l’article précédent peut être prononcée selon les mêmes modalités, en cas de négligence caractérisée définie ci-dessous, à l'encontre du titulaire de l'accès à un service de communication au public en ligne auquel le Bureau béninois du droit d’auteur et droits voisins a préalablement adressé, par voie d'une lettre remise contre signature ou de tout autre moyen propre à établir la preuve de la date de présentation, une recommandation l'invitant à mettre en œuvre un moyen de sécurisation de son accès à internet.

La négligence caractérisée s'apprécie sur la base des faits commis au plus tard un (1) an après la présentation de la recommandation mentionnée à l'alinéa précédent.

Dans ce cas, l’amende maximale est de cinq cent mille (500 000) francs CFA.

Article 546 : Définition de la négligence caractérisée

Constitue une négligence caractérisée le fait, sans motif légitime, pour la personne titulaire d'un accès à des services de communication au public en ligne :

1-  soit de ne pas avoir mis en place un moyen de sécurisation de cet accès ;

2-  soit d'avoir manqué de diligence dans la mise en œuvre de ce moyen.

Les dispositions de l’alinéa 1er ne sont applicables que lorsque se trouvent réunies les deux conditions suivantes :

     - lorsque le titulaire de l'accès s'est vu recommander par le Bureau béninois du droit d’auteur et des droits voisins de mettre en œuvre un moyen de sécurisation de son accès permettant de prévenir le renouvellement d'une utilisation de celui-ci à des fins de reproduction, de représentation ou de mise à disposition ou de communication au public d'œuvres ou d'objets protégés par un droit d'auteur ou par un droit voisin sans l'autorisation des titulaires des droits ;

    - dans l'année suivant la présentation de cette recommandation, cet accès est à nouveau utilisé aux fins mentionnées au point 1 du présent alinéa.

CHAPITRE VIII

DES INFRACTIONS RELATIVES A LA PUBLICITE SUR INTERNET

 

Article 547 : Publicité en faveur des jeux d’argent et de hasard illicites

Le fait de faire de la publicité au moyen d’un ou sur un réseau de communication électronique ou un système informatique en faveur de jeux d’argent et de hasard sur internet non autorisés est interdit.

 Quiconque contrevient à l'interdiction définie à l’alinéa précédent, est puni d'une amende de cinq cent mille (500 000)  francs CFA.

La juridiction compétente peut porter le montant de l'amende au quadruple du montant des dépenses publicitaires consacrées à l'opération illégale.

CHAPITRE IX

 

DES CONTENUS ABUSIFS ET INFRACTIONS

DE PRESSE EN LIGNE

 

Article 548 : Diffusion de matériel raciste et xénophobe par le biais d’un système informatique.

Quiconque, intentionnellement, crée, télécharge, diffuse ou met à disposition sous quelque forme que ce soit, par le biais d’un système informatique du matériel raciste et xénophobe, au sens du présent code, est puni d’un emprisonnement de six (06) mois à sept (07) ans et d’une amende de un million (1 000 000) à dix millions           (10 000 000) de francs CFA.

Article 549 : Menace avec une motivation raciste et xénophobe par le biais d’un système informatique

Quiconque profère, intentionnellement, une menace par le biais d’un système informatique, de commettre une infraction pénale telle que définie par le code pénal, envers une personne en raison de son appartenance à un groupe qui se caractérise par la race, la couleur, l’ascendance ou l’origine nationale ou ethnique, ou la religion dans la mesure où cette appartenance sert de prétexte à l’un ou l’autre de ces éléments, ou à un groupe de personnes qui se distingue par une de ces caractéristiques est puni d’un emprisonnement de six (06) mois à sept (07) ans et d’une amende de un million (1 000 000) à dix millions (10 000 000) de  francs CFA.

Article 550 : Harcèlement par le biais d’une communication électronique

Quiconque initie une communication électronique qui contraint, intimide, harcèle ou provoque une détresse émotionnelle chez une personne, en utilisant un système informatique dans le but d’encourager un comportement grave, répété et hostile est puni d'une peine d'emprisonnement de un (01) mois à deux (02) ans et d’une amende de cinq cent mille (500 000) francs CFA à dix millions (10 000 000) de  francs CFA, ou de l'une de ces deux peines seulement.

 Quiconque aura harcelé, par le biais d’une communication électronique, une personne alors qu'il savait ou aurait dû savoir qu'il affecterait gravement par ce comportement la tranquillité de la personne visée, est puni d'une peine d'emprisonnement de un (01) mois à deux (02) ans et d'une amende de cinq cent mille (500 000) francs CFA à dix millions (10 000 000) de FCFA, ou de l'une de ces deux peines seulement.

Quiconque initie ou relaie une fausse information contre une personne par le biais des  réseaux sociaux ou toute forme de support électronique est puni d'une peine d'emprisonnement d’un (01) mois à six (06) mois et d’une amende de cinq cent mille (500 000) francs CFA à un million (1 000 000) de francs CFA, ou de l'une de ces peines seulement.

Si les faits visés aux alinéas 1 et 2 sont commis au préjudice d'une personne dont la situation de vulnérabilité en raison de l'âge, d'un état de grossesse, d'une maladie, d'une infirmité ou d'une déficience physique ou mentale était apparente ou connue de l'auteur des faits, les peines minimales prévues aux alinéas précédents seront doublées.

Article 551 : Injure avec une motivation raciste et xénophobe commise par le biais d’un système informatique

Quiconque profère, intentionnellement, une insulte publique par le biais d’un système informatique envers une personne en raison de son appartenance à un groupe qui se caractérise par la race, la couleur, l’ascendance ou l’origine nationale ou ethnique, ou la religion ou l’opinion politique dans la mesure où cette appartenance sert de prétexte à l’un ou l’autre de ces éléments, ou un groupe de personnes qui se distingue par une de ces caractéristiques est puni d’un emprisonnement de six (06) mois à sept (07) ans et d’une amende de un million               (1 000 000) à dix millions (10 000 000) de  francs CFA.

Article 552 : Incitation à la haine et à la violence

Quiconque aura provoqué à la discrimination, à la haine ou à la violence à l'égard d'une personne ou d'un groupe de personnes à raison de l’appartenance à une race, à une couleur, à une origine nationale ou ethnique, à la religion, à l’appartenance sexuelle, ou à un handicap au moyen d’un ou sur un réseau de communication électronique ou un système informatique, est puni de un (01) an d'emprisonnement et de cinq millions (5 000 000) de  francs CFA d'amende ou de l'une de ces deux peines seulement.

Article 553 : Incitation à la rébellion

La provocation directe à la rébellion au moyen d’un ou sur un réseau de communication électronique ou un système informatique est punie de six (06) mois d'emprisonnement et de deux millions (2 000 000) à dix millions (10 0000 000) de  francs CFA d'amende.

Article 554 : Provocation de crime ou de délit

Seront punis comme complices d'une action qualifiée de crime ou de délit, ceux qui au moyen d’un ou sur un réseau de communication électronique ou un système informatique auront directement provoqué l'auteur ou les auteurs à commettre ladite action, si la provocation a été suivie d'effet.

Article 555 : Incitation à la commission d’une infraction

Seront punis de un (01) an d'emprisonnement et de cinq millions (5 000 000) de francs CFA d'amende, ceux qui, par l'un des moyens énoncés à l'article précédent, auront directement provoqué, dans le cas où cette provocation n'aurait pas été suivie d'effet, à commettre l'une des infractions suivantes au moyen d’un ou sur un réseau de communication électronique ou un système informatique :

1-  les atteintes à la vie de la personne, les atteintes à l'intégrité physique de la personne et les agressions sexuelles, définies par le code pénal ;

2-  les vols, les extorsions dangereuses pour les personnes, définis par le code pénal.

Article 556 : Négation, minimisation grossière, approbation ou justification d’un génocide ou de crimes contre l’humanité

Une personne qui diffuse ou met à disposition par le biais d’un système informatique des données qui nient, minimisent de manière grossière, approuvent ou justifient des actes constitutifs de génocide ou de crimes contre l'humanité tels que définis par le droit international et reconnus comme tels par une décision finale et définitive d’un tribunal national ou d’un tribunal international établi par des instruments internationaux pertinents et dont la juridiction est reconnue, est punie d’un emprisonnement de six (06) mois à sept (07) ans et d’une amende de un million              (1 000 000) à dix millions (10 000 000) de  francs CFA.

Article 557: Incitation ou provocation à la commission d’actes terroristes et apologie des actes terroristes

Quiconque aura, au moyen d’un ou sur un réseau de communication électronique ou un système informatique, incité ou provoqué directement des actes de terrorisme est puni de dix (10) ans d’emprisonnement et de vingt cinq millions          (25 000 000) de  francs CFA d’amende.

Article 558 : Infractions de presse par le biais d’une communication électronique

Une personne qui commet une infraction de presse, notamment une diffamation, une injure publique, une apologie de crime, par le biais d’un moyen de communication électronique public, est punie des mêmes peines que celles prévues par la loi n° 2015-07 du 20 mars 2015 portant code de l’information et de la communication en vigueur, quel qu’en soit le support.

Article 559 : Droit de réponse

Toute personne nommée ou désignée au moyen d’un ou sur un réseau de communication électronique ou un système informatique, dispose d'un droit de réponse, sans préjudice des demandes de correction ou de suppression du message qu'elle peut adresser au service.

Elle est présentée au plus tard dans un délai de trois (3) mois à compter de la mise à disposition du public du message justifiant cette demande.

Le directeur de la publication est tenu d'insérer dans les trois (3) jours de leur réception, les réponses de toute personne nommée ou désignée dans le service de communication au public en ligne sous peine d'une amende de cinq cent mille          (500 000)  francs CFA.

Article 560 : Divulgation des détails d’une enquête

Est puni d’un emprisonnement de un (01) mois à deux (02) ans, ou d'une amende maximale de cinq millions (5 000 000) de  francs CFA ou de l'une de ces peines seulement, un fournisseur de services qui, dans le cadre d'une enquête pénale, reçoit une injonction stipulant explicitement que la confidentialité doit être maintenue, ou lorsqu'une telle obligation est énoncée par la loi, et qui, sans motif ou justification légitime, ou en se prévalant à tort d'un motif ou d'une justification légitime, divulgue de manière intentionnelle :

1-  le fait qu'une injonction ait été émise ;

2-  toute action réalisée aux termes de l'injonction ; ou

3-  toute donnée collectée ou enregistrée aux termes de l'injonction.

L’obligation de confidentialité prévue à l’alinéa 1 ne s’applique pas en cas de :

-    consentement exprès de l’auteur ou du destinataire de la communication ;

-    interception d’une communication privée sur mandat de justice.

CHAPITRE X

 

DES INFRACTIONS DE DROIT COMMUN COMMISES EN LIGNE

 

Article 561 : Vol de données informatiques

Une personne qui copie, intentionnellement et sans droit, avec une intention frauduleuse des données informatiques au préjudice d’un tiers est puni des mêmes peines que celles prévues dans les dispositions du code pénal relatives au vol.

Article 562 : Usurpation d'identité

Quiconque usurpe, intentionnellement et sans droit par le biais d’un système informatique, l’identité d’un tiers ou une ou plusieurs données permettant de l'identifier en vue de troubler sa tranquillité ou celle d’autrui ou de porter atteinte à son honneur, à sa considération ou à ses intérêts, est puni d’un emprisonnement de un (01) an à cinq (05) ans et d'une amende de cinq millions (5 000 000) à cent millions (100 000 000) de  francs CFA ou de l’une de ces peines seulement.

Quiconque, intentionnellement et sans droit, ou en se prévalant à tort d'un motif ou d'une justification légitime, en utilisant un système informatique à tout stade de l'infraction, transfère, possède ou utilise un moyen d'identifier une autre personne dans l'intention de commettre, d'aider ou d'encourager une activité illégale quelconque constituant un  délit ou un crime, ou dans le cadre d'une telle activité, est puni d’un emprisonnement de un (01) an à cinq (05) ans et d'une amende de cinq millions           (5 000 000) à cent millions (100 000 000) de  francs CFA ou de l’une de ces peines seulement.

Si les faits visés aux alinéas précédents ont été commis au préjudice d'une personne dont la situation de vulnérabilité en raison de l'âge, d'un état de grossesse, d'une maladie, d'une infirmité ou d'une déficience physique ou mentale était apparente ou connue de l'auteur des faits, les peines minimales prévues aux alinéas précédents seront doublées.

Article 563 : Recel

Est puni d'un emprisonnement de cinq (05) ans à dix (10) ans  et de cinq millions (5 000 000) à dix millions (10 000 000) de  francs CFA d'amende, le fait pour toute personne, au préjudice des droits d'autrui, de détenir, d'utiliser ou de transmettre une chose en sachant que celle-ci provient d'une infraction au moyen d’un ou sur un réseau de communication électronique ou un système informatique. Est punie des mêmes peines, le fait pour toute personne, dans les mêmes conditions, de faire office d'intermédiaire afin de transmettre la chose.

Article 564 : Aggravation

Les peines sont portées à dix (10) ans d'emprisonnement et à vingt cinq millions (25 000 000) de  francs CFA d'amende lorsque la personne se livre au recel au moyen d’un ou sur un réseau de communication électronique ou un système informatique, de manière habituelle ou lorsqu'elle s'y livre à l'occasion de l'exercice de sa profession.

Article 565 : Recel portant sur des données informatiques

Une personne qui, intentionnellement et sans droit, aura gardé, retenu ou détenu en tout ou en partie, des données informatiques enlevées, détournées ou obtenues à l'aide d'un crime ou d'un délit prévu par les dispositions du présent Livre, est punie des mêmes peines que celles prévues à l’article 563.

Dans les cas où le fait qui a procuré les objets recelés a été commis avec une ou plusieurs circonstances aggravantes, le receleur est puni des peines définies par les dispositions du présent Livre s’il est établi qu’il était au courant desdites circonstances.

L’amende pourra être élevée au-delà des dix millions (10 000 000) de  francs CFA ou jusqu’à la moitié de la valeur des objets recélés.

Article 566 : Escroquerie

Quiconque, soit en faisant usage de faux noms ou de fausses qualités, soit en employant des manœuvres frauduleuses quelconques, se fait remettre ou délivrer des biens et valeurs par le biais d’un système informatique ou d’un réseau de communication électronique et a par un de ces moyens, escroqué tout ou partie de la fortune d'autrui est puni d'un emprisonnement de deux (02) ans à sept (07) ans et d’une amende égale au quintuple de la valeur mise en cause sans qu’elle soit inférieure à un million (1 000 000) de  francs CFA.

Quiconque, soit en faisant usage de faux noms ou de fausses qualités, soit en employant des manœuvres frauduleuses pour persuader de l'existence de fausses entreprises, d'un pouvoir ou d'un crédit imaginaire, pour faire naître l'espérance ou la crainte d'un succès, d'un accident ou de tout autre événement chimérique, ou pour abuser autrement de la confiance ou de la crédulité se sera fait remettre ou délivrer des données informatiques, et a par un de ces moyens escroqué tout ou partie de la fortune d’autrui, est puni d'un emprisonnement de deux (02) ans à sept (07) ans et d’une amende égale au quintuple de la valeur mise en cause sans qu’elle soit inférieure à un million (1 000 000) de  francs CFA.

Les peines d’emprisonnement sont portées de dix (10) ans à vingt (20) ans et l’amende au quintuple de la valeur mise en cause sans qu’elle soit inférieure à vingt cinq millions (25 000 000) de  francs CFA lorsque l’escroquerie est réalisée :

1-  par un dépositaire de l’autorité publique ou un chargé de service public, dans l’exercice ou à l’occasion de ses fonctions ;

2-  par une personne qui prend indûment la qualité de dépositaire de l’autorité publique ou chargé de service public ;

3-  par une personne ayant fait appel au public en vue de l’émission d’actions, obligations, bons, parts ou titres quelconques soit d’une société, soit d’une entreprise commerciale ou industrielle ;

4-  au préjudice d'une personne dont la situation de vulnérabilité en raison de l'âge, d'un état de grossesse, d'une maladie, d'une infirmité ou d'une déficience physique ou mentale était apparente ou connue de l'auteur des faits.

Les coupables d’infractions visées aux alinéas précédents peuvent se voir prescrire une interdiction, à titre de peine complémentaire, par les tribunaux compétents au sens de l’article 583 du présent code.

Article 567 : Infractions voisines de l’escroquerie

Est puni de trois millions (3 000 000) de francs CFA d’amende, le fait de vendre, d’offrir à la vente ou d’exposer en vue de la vente ou de la cession ou de fournir les moyens en vue de la vente ou de la cession au moyen d’un ou sur un réseau de communication électronique ou un système informatique, des titres d’accès à une manifestation sportive, culturelle ou commerciale ou à un spectacle vivant, de manière habituelle et sans l’autorisation du producteur, de l’organisateur, ou du propriétaire des droits d’exploitation de cette manifestation ou de ce spectacle.

Article 568 : Abus de confiance

Est puni des mêmes peines que celles prévues dans les dispositions du code pénal relatives à l’abus de confiance, le fait pour une personne, au moyen d’un ou sur un réseau de communication électronique ou un système informatique de détourner, au préjudice d'autrui, une chose quelconque qui lui a été remise au titre de l’un des contrats prévus par le code pénal relatif à l’abus de confiance et qu'elle a acceptée à charge de la rendre, de la représenter ou d'en faire un usage déterminé.

Article 569 : Abus de confiance sur des données informatiques

Quiconque ayant reçu des propriétaires, possesseurs, ou détenteurs, des données informatiques à titre de louage, de dépôt, de mandat, de nantissement, de prêt à usage ou pour un travail salarié ou non salarié, n'aura pas, après mise en demeure, exécuté son engagement de les rendre ou représenter ou d'en faire un usage ou un emploi déterminé, est puni des mêmes peines que celles prévues pour l’abus de confiance portant sur des biens corporels par les dispositions du code pénal.

Si les faits visés à l’alinéa précédent ont été commis en abusant des besoins, des faiblesses, des passions ou de l'ignorance d'un mineur ou d'une personne dont la situation de vulnérabilité en raison de l'âge, d'un état de grossesse, d'une maladie, d'une infirmité ou d'une déficience physique ou mentale était apparente ou connue de l'auteur des faits, les peines minimales prévues à l’alinéa précédent seront doublées.

Article 570 : Extorsion

Est puni de un (01) an à cinq (05) ans d'emprisonnement et de cinq cent mille (500 000)  francs CFA à cinq millions (5 000 000) de  francs CFA d'amende, le fait d'extorquer par violence, menace de violence ou contrainte, soit une signature, un engagement ou une renonciation, soit la révélation d'un secret, soit la remise de fonds, de valeurs ou d'une chose quelconque au moyen d’un ou sur un réseau de communication électronique ou un système informatique.

Article 571 : Chantage

Quiconque extorque, en menaçant de révéler ou d'imputer des faits de nature à porter atteinte à l'honneur ou à la considération, soit une signature, un engagement ou une renonciation, soit la révélation d'un secret, soit la remise de fonds, de valeurs ou d'une chose quelconque au moyen d’un ou sur un réseau de communication électronique ou un système informatique, est puni de six (6) ans d'emprisonnement et de cinq millions (5 000 000) de  francs CFA d'amende.

Article 572 : Jeux de hasard illicite en ligne

Quiconque, sans l’autorisation d'une autorité publique, organise publiquement ou propose un jeu de hasard ou met à disposition l'équipement nécessaire, au moyen d’un ou sur un réseau de communication électronique ou un système informatique, est puni d'une peine d'emprisonnement de un (01) mois à trois (03) ans et d'une amende de cinq cent mille (500 000) francs CFA à cinquante millions (50 000 000) de  francs CFA, ou de l'une de ces peines seulement.

Les jeux de hasard sans autorisation d’une autorité publique, en club ou en réunion privée dans lesquels les jeux de hasard sont régulièrement organisés, sont qualifiés de jeux organisés publiquement.

Est puni d’un emprisonnement de trois (03) mois à cinq (05) ans et d'une amende de un million (1 000 000) à cent millions (100 000 000) de  francs CFA, ou de l'une de ces peines seulement, quiconque, dans les cas mentionnés à l’alinéa 1er agit :

1-  professionnellement ;

2-  en tant que membre d'un groupe qui s'est constitué pour commettre en permanence de tels actes,

Quiconque recrute pour un jeu de hasard public est puni d'une peine d'une durée maximale d'un (01) an ou d'une amende ne dépassant pas cinquante millions (50 000 000) de  francs CFA, ou de l'une de ces peines seulement.

Quiconque participe à un jeu de hasard public, est puni d'une peine de prison d'une durée maximale de six (06) mois et d'une amende de un million (1 000 000) à deux cent millions (200 000 000) de  francs CFA, ou de l'une de ces peines seulement.

Article 573 : Blanchiment de capitaux

Le blanchiment de capitaux commis au moyen d’un ou sur un réseau de communication électronique ou un système informatique est puni conformément aux textes en vigueur.

Article 574 : Atteinte à la vie privée commise sur internet

Est puni de cinq (5) ans d'emprisonnement et de vingt cinq millions (25 000 000) de francs CFA d'amende, le fait, au moyen d’un ou sur un réseau de communication électronique ou un système informatique, de volontairement porter atteinte à l'intimité de la vie privée d'autrui :

1-  en captant, enregistrant ou transmettant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel ;

2-  en fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l'image d'une personne se trouvant dans un lieu privé.

Lorsque les actes mentionnés au présent article ont été accomplis au vu et au su des intéressés sans qu'ils s'y soient opposés, alors qu'ils étaient en mesure de le faire, le consentement de ceux-ci est présumé.

Article 575 : Atteinte au secret des correspondances commises sur internet

Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances émises, transmises ou reçues par la voie électronique arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni des mêmes peines que celles prévues dans les dispositions du code pénal relatives au secret des correspondances.

Est puni des mêmes peines, le fait de procéder à l'installation d'appareils de nature à permettre la réalisation de telles interceptions.

Article 576 : Atteinte à la représentation de la personne

Est puni de cinq (5) ans d'emprisonnement et de vingt cinq millions (25 000 000) de  francs CFA d'amende, le fait de publier sur internet, par quelque voie que ce soit, le montage réalisé avec les paroles ou l'image d'une personne sans son consentement, s'il n'apparaît pas à l'évidence qu'il s'agit d'un montage ou s'il n'en est pas expressément fait mention.

CHAPITRE XI

 

DE LA CONSTITUTION DES INFRACTIONS ET DES

AMENAGEMENTS PARTICULIERS

 

SECTION I

 

DE LA CONSTITUTION ET DE LA CONSTATATION

DES INFRACTIONS

 

Article 577 : Mode de preuve électronique

L’écrit sous forme électronique, en application du Livre II, est, pour les besoins de l’application du présent Livre, admis en preuve au même titre que l’écrit sur support papier et possède la même force probante que celui-ci, sous réserve que puisse être dûment identifié la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité et la pérennité.

Article 578 : La constatation et la poursuite des infractions

Les infractions prévues au présent Livre sont constatées et poursuivies conformément aux dispositions du code de procédure pénale et du présent code.

Article 579 : Prescription

Les règles et principes du code pénal relatifs à la prescription s’appliquent aux infractions visées au Titre I du présent Livre.

SECTION II

DES AUTEURS, CO-AUTEURS ET COMPLICES

D'INFRACTIONS

 

Article 580 : Tentative

Le fait de tenter de commettre l’une des infractions visées au Titre I du présent Livre, est puni des mêmes peines.

Article 581 : Complice

Le fait d’inciter à commettre l’une des infractions visées au Titre I du présent Livre, d’y participer ou de s’en rendre complice est puni des mêmes peines.

Article 582 : Récidive

Lorsqu’une des infractions visées au Titre I du présent Livre est commise dans les cinq (5) ans qui suivent le prononcé de la condamnation irrévocable pour l’une de ces infractions, la ou les peines sont doublées.

En cas de multiplicité d’infractions commises par le même contrevenant, l’amende prévue pour chaque infraction est appliquée autant de fois qu’il y a d’infractions distinctes constatées.

Article 583 : Circonstances aggravantes

Lorsqu’une infraction est commise par un membre d’une organisation criminelle ou d’une bande organisée en vue de commettre des infractions pénalement répressibles, la peine initialement prévue est doublée pour l’infraction elle-même ou si plusieurs infractions sont commises pour l’infraction la plus sévèrement réprimée.

Lorsque l’une des infractions prévues en vertu du présent Livre porte atteinte à des données informatiques ou aux systèmes informatiques liés à des infrastructures stratégiques ou sensibles, la peine initialement prévue s’élève jusqu’à la réclusion criminelle à perpétuité et jusqu’à cinq cent millions (500 000 000) de francs CFA d’amende ou l’une de ces deux peines seulement.

SECTION III

DES PEINES COMPLEMENTAIRES

Article 584 : Confiscation

En cas de condamnation pour l’une des infractions prévues au Titre I du présent Livre, la juridiction de jugement prononce la confiscation des matériels, des équipements, des instruments, des systèmes informatiques ou des données informatiques ainsi que des biens numéraires, avantages ou produits résultant de l’infraction.

Les décisions de condamnation prises en vertu de l’alinéa précédent sont publiées dans le Journal officiel de la République du Bénin ainsi que sur un support électronique aux frais du condamné.

Article 585 : Interdiction

En cas de condamnation pour l’une des infractions prévues au Titre I du présent Livre, la juridiction de jugement peut prononcer l’interdiction à titre de peine complémentaire, selon les modalités prévues au présent article. La peine d’interdiction comprend l'interdiction d'émettre des messages de communications électroniques et l’interdiction à titre provisoire ou définitif de l'accès au site ayant servi à commettre l’infraction voire à tout autre site quel qu’il soit, pour une durée de un (01) an à dix (10) ans.

Le tribunal peut faire injonction à toute personne responsable légalement du site ayant servi à commettre l’infraction et/ou à toute autre personne qualifiée de mettre en œuvre les moyens techniques nécessaires en vue de garantir l’interdiction d’accès, d’hébergement ou la coupure de l’accès au site incriminé.

Le tribunal peut prononcer à l’encontre du condamné pour les infractions prévues au Titre I du présent Livre, l’interdiction à titre définitif ou pour une durée de cinq (05) ans au plus, d’exercer toute activité en relation avec le secteur des communications électroniques ou d’exercer une fonction publique, un mandat électif ou une fonction dans une entreprise dont l’Etat est totalement ou partiellement propriétaire ou une activité socio-professionnelle, lorsque les faits ont été commis dans l’exercice ou à l’occasion de l’exercice des fonctions.

Les tribunaux jugeant en matière correctionnelle pourront, s’ils le jugent nécessaire, interdire en tout ou en partie, l’exercice des droits civiques, civils et de famille suivants :

1-  droit de vote et d’élection ;

2-  droit d’éligibilité ;

3-  droit d’être appelé ou nommé aux fonctions de juré ou autres fonctions publiques ou aux emplois de l’administration, ou d’exercer ces fonctions ou emplois ;

4-  droit de port d’armes ;

5-  droit de vote et de suffrage dans les délibérations de famille ;

6-  droit d’être tuteur, curateur, si ce n’est de ses enfants et sur l’avis seulement de la famille ;

7-  droit d’être expert ou témoins dans les actes ;

8- droit de déposer en justice, autrement que pour y donner de simples renseignements.

La violation des interdictions prononcées par les tribunaux est punie d’un emprisonnement de six (06) mois à trois (03) ans et d’une amende de trois cent mille (300 000) à cinq millions (5 000 000) de  francs CFA.

Les décisions de condamnation prises en vertu du présent article sont publiées dans le Journal officiel de la République du Bénin ainsi que sur un support électronique aux frais du condamné.

CHAPITRE XII

DES ENQUETES

Article 586 : Injonction de produire

Il est inséré dans le code de procédure pénale, un article 54 bis rédigé comme suit :

«Le procureur de la République, son substitut ou le juge d’instruction peut ordonner, par le biais d’une injonction de produire, à toute personne, tout établissement ou organisme privé ou public ou toute administration publique présentes sur le territoire de la République du Bénin ou fournissant des prestations de service en République du Bénin, susceptibles de détenir des documents intéressant l'enquête criminelle y compris ceux issus d'un système informatique ou un support de stockage informatique, de lui remettre ces documents, notamment sous forme numérique ou sous une version imprimée, sans que puisse lui être opposée, sans motif légitime, l'obligation au secret professionnel.

Lorsque les réquisitions concernent des personnes mentionnées à l’article 102, la remise des documents ne peut intervenir qu'avec leur accord.

Le procureur de la République, son substitut ou le juge d’instruction peut ordonner, par le biais d’une injonction de produire, à un fournisseur de services présent sur le territoire de la République du Bénin offrant des prestations sur le territoire de la République du Bénin, de communiquer les données informatiques en sa possession ou sous son contrôle relatives aux abonnés et concernant de tels services.

Le procureur de la République, son substitut ou le juge d’instruction peut ordonner, par le biais d’une injonction de produire, à une personne présente sur le territoire de la République du Bénin ayant accès à un système informatique particulier et qui traite des données informatiques spécifiques provenant de ce système de les donner à une personne spécifique.

A l'exception des personnes mentionnées à l’article 102, le fait de s'abstenir de répondre dans les meilleurs délais à cette réquisition est puni d'une amende maximale de dix millions (10 000 000) de francs CFA. »

 

 

 

SECTION I

DES PERQUISITIONS

 

Article 587 : Données stockées dans un système informatique

Lorsque des données stockées dans un système informatique ou dans un support permettant de conserver des données informatisées sur le territoire béninois, sont utiles à la manifestation de la vérité, le juge d’instruction peut opérer une perquisition ou accéder à un système informatique ou à une partie de celui-ci ou dans un autre système informatique ou un support et aux données présentes dans ces derniers dès lors que ces données sont accessibles à partir du système initial ou disponible pour le système initial.

S’il est préalablement avéré que ces données, accessibles à partir du système initial ou disponible pour le système initial, sont stockées dans un autre système informatique situé en dehors du territoire national, elles sont recueillies par le juge d'instruction, par voie de commission rogatoire internationale.

Article 588 : Requête

Les officiers de police judiciaire peuvent, par tout moyen, requérir toute personne susceptible d'avoir connaissance des mesures appliquées pour protéger les données auxquelles il est permis d'accéder dans le cadre de la perquisition de leur remettre les informations permettant d'accéder aux données mentionnées.

Le fait de s'abstenir de répondre dans les meilleurs délais à cette réquisition est puni d'une amende de deux cent mille (200 000) francs CFA.

Article 589 : Conditions de perquisition

Les perquisitions prévues à l’article 587 ne peuvent avoir lieu qu’avec le consentement exprès de la personne chez qui l’opération a lieu.

Cependant, si l’enquête est relative à un crime ou un délit puni de plus de cinq (5) ans de peine d’emprisonnement ou si la recherche de biens le justifie, le juge d’instruction peut, sur autorisation écrite, décider que la perquisition et la saisie seront effectuées sans l’assentiment de la personne.

Article 590 : Copie des données

Lorsque le juge d’instruction découvre dans un système informatique des données stockées qui sont utiles pour la manifestation de la vérité, mais que la saisie du support ne paraît pas souhaitable, ces données, de même que celles qui sont nécessaires pour les comprendre, sont copiées sur des supports de stockage informatique pouvant être saisis et placés sous scellés, elles peuvent être de plus rendues inaccessibles ou retirées du système informatique en question sous ordre du juge.

SECTION II

DE LA CONSERVATION RAPIDE DES DONNEES

 

Article 591 : Injonction de conserver et de protéger l'intégrité des données informatiques

Il est inséré dans le code de procédure pénale, un article 78 bis rédigé comme suit :

« En matière criminelle et en matière correctionnelle, lorsque les nécessités de l’information l’exigent, l'officier de police judiciaire ou le juge d’instruction peut, par le biais d’une notification écrite et :

  • lorsqu’il y a des raisons de croire que les données informatiques stockées dans un système informatique sont particulièrement susceptibles de perte ou de modification ; et
  • que ces données informatiques sont utiles à la manifestation de la vérité,

ordonner à une personne, fournisseur de services en ligne visé à l’article 495 du présent code ou opérateur ou fournisseur de services de communication au public en ligne visés à l’article 34 du présent code, de conserver et de protéger l’intégrité des données informatiques stockées spécifiées dans la notification et qui se trouvent en sa possession ou sous son contrôle, pendant une durée de quatre vingt dix (90) jours maximum afin de permettre aux autorités désignées dans la notification écrite d’obtenir la divulgation des données et pour la bonne démarche des investigations judiciaires.

La durée exacte doit être indiquée dans la notification écrite et est renouvelable jusqu’à atteindre deux (02) ans maximum.

Le gardien des données ou une autre personne chargée de conserver et de protéger ces mêmes données est tenu de garder le secret de la mise en œuvre des procédures prises dans le cadre de l’alinéa 1er. Toute violation du secret est punie par les dispositions prévues par le code pénal relatives au secret professionnel.

L’alinéa 2 ne s’appliquera pas lorsque l’obligation au secret a été levée par l’officier de police judiciaire ou le juge d’instruction, auteur de la notification écrite ».

Article 592 : Conservation et divulgation rapide de données relatives au trafic

 Il est inséré dans le code de procédure pénale, un article 78 ter rédigé comme suit :

« En matière criminelle et en matière correctionnelle, lorsque les nécessités de l’information l’exigent, un officier de police judiciaire ou un juge d’instruction peut, lorsqu’il y a des raisons de croire que les données stockées dans un système informatique sont particulièrement susceptibles de perte ou de modification et que ces données sont utiles à la manifestation de la vérité, par le biais d’une notification écrite, exiger d’une personne contrôlant le système informatique, fournisseur de services en ligne visé à l’article 495 du présent code ou opérateur ou fournisseur de services de communication au public en ligne visés à l’article 34 du présent code, qu'elle divulgue ou conserve suffisamment de données de trafic associées à une communication électronique spécifique, afin d'identifier :

  • le ou les fournisseurs de services ; et/ou
  • la voie par laquelle la communication en question a été transmise.

Si la notification écrite requiert la conservation rapide, les principes de délais de l’article 35 de la présente loi s’appliquent.

Toute personne qui, du chef de sa fonction, a connaissance de la mesure ou y prête son concours, est tenue de garder le secret.

Toute violation du secret est punie par les dispositions prévues par le code pénal relatives au secret professionnel.

L’alinéa 3 ne s’applique pas lorsque l’obligation au secret a été levée par l’officier de police judiciaire ou le juge d’instruction, auteur de la notification écrite ».

Article 593 : Collecte en temps réel des données relatives au trafic

Il est inséré dans le code de procédure pénale, un article 108 bis rédigé comme suit :

« En matière criminelle et en matière correctionnelle, lorsque les nécessités de l’information l’exigent, le juge d’instruction ou l’officier de police judiciaire commis par lui peut utiliser les moyens techniques appropriés pour collecter ou enregistrer en temps réel, sur le territoire de la République du Bénin, les données relatives au trafic de communications spécifiques, transmises au moyen d’un système informatique ou le juge d’instruction ou l’officier de police judiciaire commis par lui peut requérir tout agent qualifié d’un service, organisme placé sous l’autorité ou la tutelle du ministre chargé des communications électroniques ou tout agent qualifié d’un opérateur, en vue de procéder à l’installation d’un dispositif, dans le cadre de ses capacités techniques à collecter ou à enregistrer, transcrire en application de moyens techniques existant, ou à prêter aux autorités compétentes son concours et son assistance pour collecter ou enregistrer lesdites données informatisées.

Toute personne qui, du chef de sa fonction, a connaissance de la mesure ou y prête son concours, est tenue de garder le secret. Toute violation du secret est punie par les dispositions prévues par le code pénal relatives au secret professionnel.

L’alinéa 2 ne s’appliquera pas lorsque l’obligation au secret a été levée par l’officier de police judiciaire ou le juge d’instruction, auteur de la notification écrite ou lorsque l’auteur ou le destinataire de la communication donne son consentement express ».

SECTION III

DE L’INTERCEPTION DES DONNEES INFORMATISEES

 

Article 594 : Interception et accès aux données par les autorités judiciaires

A l’article 108, alinéa 1er du code de procédure pénale, sont apportées les modifications suivantes :

« En matière criminelle et en matière correctionnelle, si la peine encourue est au moins égale à deux (02) ans d’emprisonnement, le juge d’instruction peut, lorsque les nécessités de l’information l’exigent, prescrire l’interception, l’enregistrement et la transcription de correspondances conformément aux dispositions de l’article 12 du présent code, y compris des données relatives au contenu, émises par voie de communications électroniques. »

A l’article 108, 5ème alinéa du code de procédure pénale, sont apportées les modifications suivantes :

« Le juge d’instruction ou l’officier de police judiciaire commis par lui peut requérir tout agent qualifié d’un service, organisme placé sous l’autorité ou la tutelle du Ministre chargé des communications électroniques ou tout agent qualifié d’un opérateur, en vue de procéder à l’installation d’un dispositif d’interception. »

A l’article 108 du code de procédure pénale, deux nouveaux alinéas sont ajoutés après l’alinéa 5 :

« Un agent qualifié d’un service, organisme placé sous l’autorité ou la tutelle du Ministre chargé des communications électroniques ou tout agent qualifié d’un opérateur visé à l’alinéa précédent est tenu au secret.

Toute violation du secret est punie par les dispositions prévues par le code pénal relatives au secret professionnel. »

Article 595 : Interception et accès aux données par les autorités administratives

Pour les nécessités listées à l’article 596 du présent code, les autorités administratives qui seront désignées par voie règlementaire peuvent autoriser :

  • les interceptions de correspondances émises par la voie des communications électroniques, conformément aux dispositions de l’article 12 du présent code ;
  • la conservation et la protection de l’intégrité ainsi que le recueil, y compris en temps réel suivant les modalités prévues à l’article 78 ter du code de procédure pénale, des données et renseignements mentionnés aux articles 33 à 37 et à l’article 495 du présent code.

Les modalités de mise en œuvre des dispositions du présent article seront précisées par voie règlementaire.

Article 596 : Atteintes justifiant les interceptions et les accès aux données

Les opérations visées à l’article 595 du présent code peuvent être autorisées lorsqu’elles sont nécessaires :

  • au maintien de l’indépendance nationale, de l’intégrité du territoire ou de la défense nationale ;
  • à la préservation des intérêts majeurs de la politique étrangère de la République du Bénin ;
  • à la sauvegarde des intérêts économiques, industriels et scientifiques majeurs de la République du Bénin ;
  • à la prévention du terrorisme, des violences collectives de nature à porter gravement atteinte à la paix publique ou de la criminalité et de la délinquance organisées.

SECTION IV

 

DES COMPETENCES DES JURIDICTIONS BENINOISES

EN MATIERE DE CYBERCRIMINALITE

 

Article 597 : Compétences

Les juridictions béninoises sont compétentes lorsque :

1-  l’infraction a été commise sur internet sur le territoire de la République du Bénin dès lors que le contenu illicite est accessible depuis la République du Bénin ;

2-  la personne physique ou morale s’est rendue coupable sur le territoire de la République du Bénin, comme complice, d'un crime ou d'un délit commis à l'étranger si le crime ou le délit est puni à la fois par la loi béninoise et par la loi étrangère et s'il a été constaté par une décision définitive de la juridiction étrangère ;

3-  les délits ont été commis par des Béninois hors du territoire de la République du Bénin si les faits sont punis par la législation du pays où ils ont été commis ;

4-  tout délit puni d'emprisonnement, a été commis par un Béninois ou par un étranger hors du territoire de la République du Bénin lorsque la victime est de nationalité béninoise au moment de l'infraction.

CHAPITRE XIII

DE LA SECURITE DES RESEAUX

Article 598 : Essai de vulnérabilité

Les vendeurs de produits de technologies de l’information et de la communication devront faire réaliser par des experts en sécurité informatique indépendants agréés par le ministère en charge des communications électroniques, un essai de vulnérabilité et une évaluation de la garantie de sécurité, et devront informer les consommateurs de toutes les vulnérabilités décelées dans les produits de technologie de l’information et la communication ainsi que des solutions recommandées pour y remédier.

Article 599 : Détections des évènements

Les opérateurs sont tenus de mettre en œuvre des systèmes qualifiés de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information.

Les qualifications des systèmes de détection et des prestataires de service exploitant ces systèmes sont délivrés par le ministère en charge des communications électroniques.

Article 600 : Contrôles

Les opérateurs doivent soumettre leurs systèmes d'information à des contrôles destinés à vérifier le niveau de sécurité et le respect des règles de sécurité. Les contrôles sont effectués par l’agence nationale de sécurité des systèmes d’information, conformément aux dispositions de l’article 606 du présent code. Le coût des contrôles est à la charge de l'opérateur.

Article 601 : Sanction

Est puni d'une amende de dix millions (10 000 000) de francs CFA, le fait pour les mêmes personnes, d'omettre d'entretenir en bon état, les dispositifs de protection antérieurement établis.

Article 602 : Réponse à une attaque

Pour être en mesure de répondre à une attaque informatique, les services compétents de la République du Bénin peuvent détenir des équipements, des instruments, des programmes informatiques et toutes données susceptibles de permettre la réalisation d'une ou plusieurs des infractions en vue d'analyser leur conception et d'observer leur fonctionnement.

Les actes accomplis dans ce cadre et à ces fins ne peuvent faire l’objet d’aucune poursuite.

Article 603 : Sécurité des systèmes

Pour les besoins de la sécurité des systèmes d'information et des opérateurs, l’Agence Nationale de la Sécurité des Systèmes d’Information peut obtenir des opérateurs, l'identité, l'adresse postale et l'adresse électronique d'utilisateurs ou de détenteurs de systèmes d'information vulnérables, menacés ou attaqués, afin de les alerter sur la vulnérabilité ou la compromission de leur système.

TITRE II

DU CADRE INSTITUTIONNEL

CHAPITRE I

 

DE L’AGENCE NATIONALE DE LA SECURITE DES

SYSTEMES D’INFORMATION

 

Article 604 : Encrage institutionnel

Il est créé une Agence nationale de la sécurité des systèmes d’information           « ANSSI-BENIN », ci-après désignée Agence.

L’Agence est un établissement de droit public à caractère administratif doté de la personnalité juridique, de l'autonomie administrative, financière et de gestion.

L’Agence est rattachée à la Présidence de la République.

Son siège est fixé à Cotonou. Toutefois, il peut être transféré en tout autre lieu du territoire national si les circonstances l’exigent, par décret pris en Conseil des ministres.

Article 605 : Compétences de l’Agence

La sécurité des systèmes d’information et des réseaux sur l’ensemble du territoire de la République du Bénin est du ressort de l’Agence.

Article 606 : Mission de l’Agence

L’Agence est en charge des missions suivantes :

  • en matière de cryptologie, conformément aux dispositions de l’article 617 du présent code ;
  • veiller à l'exécution des orientations nationales et de la stratégie générale de l’État en matière de sécurité des systèmes d’information et des réseaux ;
  • suivre l'exécution des plans et des programmes relatifs à la sécurité des systèmes d’information et des réseaux dans les secteurs public et privé et à assurer la coordination entre les divers intervenants dans ce domaine ;
  • apporter son concours aux services de l’État en matière de sécurité des systèmes d'information et des réseaux ;
  • effectuer un contrôle général de la sécurité des systèmes d’information et des réseaux relevant des divers organismes publics et privés identifiés par voie règlementaire ;
  • centraliser les demandes d'assistance à la suite des incidents de sécurité sur les systèmes d'informations et les réseaux ;
  • assurer la veille technologique dans le domaine de la sécurité des systèmes d’information et des réseaux ;
  • établir et maintenir une base de données des vulnérabilités ;
  • élaborer des recommandations sur la sécurité des systèmes d’information et des réseaux et veiller à leur mise en œuvre dans les organismes publics ;
  • diffuser des informations sur les précautions à prendre pour prévenir ou minimiser les risques d'incident ou leurs conséquences ;
  • collaborer avec l’Office Central de Répression de la Cybercriminalité (OCRC) et toute autre entité publique dans le cadre de ses missions ;
  • participer à la formation dans le domaine de la sécurité des systèmes d’information et des réseaux ;
  • contribuer à l’élaboration des textes légaux et règlementaires relatifs à la sécurité des systèmes d’information et des réseaux ;
  • contribuer, en ce qui concerne ses missions, à l’application des accords, traités et conventions relatifs à la lutte contre la cybercriminalité et la cybersécurité ratifiés par la République du Bénin ;
  • veiller à l'exécution des dispositions légales et règlementaires relatives à la sécurité des systèmes d’information et des réseaux.

Article 607 : Composition organisation et modalités de fonctionnement de l’Agence

La composition, l’organisation et les modalités de fonctionnement de l’Agence sont précisés par décret pris en Conseil des ministres.

CHAPITRE II

 

DE L’OFFICE CENTRAL DE REPRESSION DE

LA CYBERCRIMINALITE

 

Article 608 : Organe de lutte contre la Cybercriminalité

La structure de lutte contre les infractions cybernétiques est dénommée « Office central de répression de la cybercriminalité ­[« OCRC »].

L'OCRC, placé sous la tutelle du ministère en charge de la sécurité publique, a une compétence nationale.

Sont associés aux activités de cet Office, le ministère en charge de la défense nationale, le ministère en charge des finances et le ministère en charge des communications électroniques.

Article 609 : Compétences

L’OCRC a pour domaine de compétence, les infractions spécifiques à la criminalité liées aux technologies de l’information et de la communication.

Dans les conditions fixées à l’article suivant, sa compétence s’étend aux infractions dont la commission est facilitée ou liée à l’utilisation de ces technologies.

Article 610 : Missions et attributions

L’OCRC a pour missions :

1-  de veiller à la prise de mesures préventives contre la cybercriminalité ;

2-  d’animer et de coordonner, au niveau national, la mise en œuvre opérationnelle de la lutte contre les auteurs et complices d'infractions spécifiques à la criminalité liée aux technologies de l'information et de la communication ;

3-  d’effectuer conformément au code de procédure pénale les enquêtes sur les infractions visant ou utilisant les systèmes informatiques ainsi que les modes de traitement, de stockage et de communication de l’information ;

4-  d’apporter son concours technique aux autres services de sécurité à l’occasion des enquêtes en cours nécessitant ses compétences techniques ou son expertise ;

5-  d’assurer en liaison avec les services compétents, les actions de formation et d’information visant à renforcer les capacités opérationnelles des agents de tous les services concourant à la lutte contre ce fléau ;

6-  d’intervenir d'initiative, sous la direction de l'autorité judiciaire saisie, chaque fois que les circonstances l'exigent, pour s'informer sur place des faits relatifs aux investigations conduites.

Article 611 : Organisation de l'OCRC

La composition, l'organisation et les modalités de fonctionnement de l’OCRC sont précisés par décret pris en Conseil des ministres.

Pour accomplir sa mission, l’OCRC centralise, analyse, exploite et communique aux services de la police nationale, de la gendarmerie nationale, de la direction générale des douanes et droits indirects ainsi qu'aux autres administrations et services publics de l'Etat concernés, toutes informations relatives aux faits et infractions liés aux technologies de l'information et de la communication. Il établit également les liaisons utiles avec les organismes du secteur privé concernés.

Article 612 : Transmission d’informations

Dans le cadre de la législation applicable, notamment en matière de secret professionnel, les services de la police nationale, de la gendarmerie nationale, de la direction générale des douanes et droits indirects ainsi que les autres administrations et services publics de l'Etat concernés, adressent, dans les meilleurs délais, à l’OCRC les informations relatives aux infractions visées au présent livre dont ils ont connaissance.

Article 613 : Coopération

Pour les infractions relevant de sa compétence définie au 1er alinéa de l'article 609, l’OCRC constitue, pour la République du Bénin, le point de contact central dans les échanges internationaux. Il contribue au niveau national à l'animation et à la coordination des travaux préparatoires nécessaires et participe aux activités des organes et enceintes internationaux.

Sans préjudice de l'application des conventions internationales, il entretient les liaisons opérationnelles avec les services spécialisés des autres pays et avec les organismes internationaux en vue de rechercher toute information relative aux infractions ainsi qu'à l'identification et à la localisation de leurs auteurs.

Article 614 : Collaboration

L’OCRC collabore avec toutes les administrations publiques ou privées qui sollicitent son assistance technique ou son expertise pour se mettre à l’abri des méfaits criminels.

TITRE III

 

DE LA CYBERSECURITE

 

CHAPITRE I

 

DE LA CRYPTOLOGIE

 

SECTION I

 

DE LA COMMISSION EN CHARGE DE LA CRYPTOLOGIE

 

Article 615 : Champ d’application

Le présent chapitre fixe le cadre légal et institutionnel applicable à la cryptologie en République du Bénin.

Les dispositions du présent chapitre ne s'appliquent pas aux moyens de cryptologie utilisés par les missions diplomatiques et consulaires visées par la Convention de Vienne sur les relations diplomatiques de 1961 ainsi qu'à ceux relatifs à la sécurité intérieure et extérieure de l'Etat du Bénin.

SECTION II

DE LA COMMISSION EN CHARGE DE LA CRYPTOLOGIE

 

Article 615 : Commission de Cryptologie

L’ANSSI-BÉNIN désigne en son sein une commission en charge de la cryptologie en République du Bénin, ci-après désignée la «commission cryptologie».

Cette composition comprend au minimum cinq (05) membres. La commission cryptologie arrête son règlement intérieur fixant ses modalités de fonctionnement.

Ledit règlement intérieur n’entre en vigueur qu’après un avis motivé du ministre en charge des communications électroniques.

Article 617 : Compétences de la commission cryptologie

La commission cryptologie est compétente pour :

1-  toute question relative au développement des moyens ou prestations de cryptologie en République du Bénin ;

2-  analyser les projets de textes législatifs et réglementaires en matière de cryptologie ;

3-  analyser les normes techniques adoptées dans le domaine de la sécurité des systèmes d’information en général et celui de la cryptologie en particulier ;

4-  recevoir les déclarations conformément à l’article 620 ;

5-  octroyer des autorisations conformément à l’article 621 ;

6-  étudier les demandes d’agréments des prestataires de services de cryptologie ;

7- demander et recevoir la communication des descriptions des caractéristiques techniques des moyens de cryptologie ;

8- prononcer des sanctions administratives à l’encontre des contrevenants aux dispositions du présent Chapitre ;

9-  défendre les intérêts de la République du Bénin dans les instances et organismes régionaux et internationaux traitant de la cryptologie ;

          10- mener des enquêtes et procéder aux contrôles des prestataires de services de cryptologie et de produits de cryptologie fournis ;

          11- réceptionner les fichiers électroniques signés par des clés de cryptologie publiques ;

          12- analyser et tester les logiciels, les équipements et les algorithmes de cryptologie ;

     13- auditer les produits de cryptologie.

Article 618 : Secret professionnel

La commission cryptologie et ses membres sont assujettis au secret professionnel.

Toute violation du secret professionnel est punie conformément aux dispositions du code pénal relatives au secret professionnel.

SECTION III

DES REGIMES JURIDIQUES

Article 619 : Liberté d’utilisation

L’utilisation, la fourniture, l'importation et l'exportation des moyens de cryptologie assurant exclusivement des fonctions d'authentification ou de contrôle d'intégrité sont libres, sous la réserve des obligations prévues au présent code.

Néanmoins, lorsque les moyens de cryptologie permettent d’assurer des fonctions de confidentialité, le principe de libre utilisation visé à l’alinéa 1er s’applique uniquement si les moyens s’appuient sur des conventions gérées par un prestataire agréé en vertu de l’article 621 du présent code.

Les prestations de services de cryptologie sont réservées aux prestataires de services de cryptologie, selon les modalités déterminées en vertu du présent chapitre.

Article 620 : Déclaration préalable

La fourniture ou l'importation de moyens de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité est soumise à une déclaration préalable auprès de la commission cryptologie, sous réserve des éventuelles dispenses de déclaration déterminée par décret pris en Conseil des ministres.

Le prestataire ou la personne procédant à la fourniture ou à l'importation d’un moyen de cryptologie tient à la disposition de la commission cryptologie une description des caractéristiques techniques des moyens de cryptologie utilisés.

Un décret pris en Conseil des ministres définit les conditions et délais dans lesquels la déclaration doit être réalisée, conformément à l’alinéa 1er du présent article.

Il fixe notamment :

1-  les conditions dans lesquelles sont réalisées ces déclarations, les conditions et les délais dans lesquels la commission cryptologie peut demander communication des caractéristiques des moyens de cryptologie, ainsi que la nature de ces       caractéristiques ;

2-  les catégories de moyens dont les caractéristiques techniques ou les conditions d'utilisation sont telles que, au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l'Etat, leur transfert ou leur exportation peuvent être soit soumis au régime déclaratif et aux obligations d'information prévus à l’alinéa 1er, soit dispensés de toute formalité préalable.

Article 621 : Autorisation préalable

L'exportation de moyens de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité est soumise à l’autorisation de la commission cryptologie, sous réserve des dispenses de déclaration déterminée par décret.

Le prestataire ou la personne procédant à l’exportation d’un moyen de cryptologie tient à la disposition de la commission cryptologie une description des caractéristiques techniques de ce moyen de cryptologie.

Un décret pris en Conseil des ministres fixe les conditions dans lesquelles sont souscrites les demandes d'autorisation ainsi que les délais dans lesquels la commission cryptologie statue sur ces demandes. Il fixe notamment :

1-  les conditions dans lesquelles sont formulées les demandes d’autorisation ainsi que les délais dans lesquels la commission cryptologie statue sur ces demandes ;

2-  les catégories de moyens dont les caractéristiques techniques ou les conditions d'utilisation sont telles que, au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l'Etat, leur transfert ou leur exportation peuvent être soit soumis au régime de l’autorisation préalable.

SECTION IV

DES PRESTATAIRES DE SERVICES DE CRYPTOLOGIE

 

Article 622 : Agrément préalable à la fourniture de services de cryptologie

Les prestataires de services de cryptologie doivent être agréés par la commission cryptologie.

Les conditions de délivrance de l’agrément aux prestataires de services de cryptologie ainsi que leurs obligations sont définies par décret pris en Conseil des ministres.

Article 623 : Exceptions

La commission cryptologie peut prévoir des exceptions à cette obligation d’agrément préalable pour les prestations cryptologie dont les caractéristiques techniques ou les conditions de fourniture sont telles que, au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l'Etat, cette fourniture peut être dispensée de toute formalité préalable.

Article 624 : Présomption et exonération de responsabilité

Le prestataire de services de cryptologie est entièrement responsable du préjudice causé aux personnes :

  • leur confiant la gestion de leurs conventions secrètes en cas d'atteinte à l'intégrité, à la confidentialité ou à la disponibilité des données transformées à l'aide de ces conventions ;
  • qui se sont fiées raisonnablement au service de cryptologie fourni.

Toute clause contractuelle contraire est réputée non écrite.

Le prestataire de services de cryptologie peut toutefois dégager ou limiter sa responsabilité s'il parvient à démontrer l'absence de négligence ou de faute intentionnelle.

Les prestataires de services de cryptologie sont exonérés de toute responsabilité à l’égard des personnes qui font un usage non autorisé de leurs services, pour autant que les conditions d’utilisation précisent clairement les usages autorisés et non autorisés et soient aisément accessibles aux utilisateurs.

Les prestataires de services de cryptologie doivent obligatoirement contracter une police d'assurance couvrant les risques liés à l'exercice de leurs activités.

 

SECTION V

 

DES SANCTIONS

 

Article 625 : Types de sanctions

Lorsqu’un prestataire de services de cryptologie, même à titre gratuit, ne respecte pas les obligations auxquelles il est assujetti en application du présent Chapitre, la commission cryptologie peut, après audition de l’intéressé et après qu’il ait eu la possibilité de présenter ses observations, prononcer :

1-  l’interdiction d’utiliser ou de mettre en circulation le moyen de cryptologie concerné. Le moyen de cryptologie concerné pourra être remis en circulation dès que les obligations antérieurement non respectées auront été satisfaites, dans les conditions prévues dans les dispositions du présent Chapitre ;

2-  le retrait provisoire de l’autorisation accordée, pour une durée comprise entre un (01) et douze (12) mois ;

3-  le retrait définitif de l’autorisation accordée ;

4-  des amendes dont le montant est fixé en fonction de la gravité des manquements commis et en relation avec les avantages ou les profits tirés de ces manquements. Ces montants ne peuvent être supérieurs à ceux prévus à l’article 626, alinéa 2.

L'interdiction de mise en circulation prévue à l’alinéa 1er point 1 est applicable sur l'ensemble du territoire national. Elle emporte en outre pour le fournisseur l'obligation de procéder au retrait :

-    auprès des diffuseurs commerciaux, des moyens de cryptologie dont la mise en circulation a été interdite ;

-    des matériels constituant des moyens de cryptologie dont la mise en circulation a été interdite et qui ont été acquis à titre onéreux, directement ou par l'intermédiaire de diffuseurs commerciaux.

Le moyen de cryptologie concerné peut être remis en circulation dès que les obligations antérieurement non respectées auront été satisfaites.

Article 626 : Violation de l’obligation de communication des caractéristiques techniques

Est puni d’un emprisonnement de six (06) mois à deux (02) ans et d’une amende de cinq cent mille (500 000) francs CFA  à deux millions (2 000 000) de  francs CFA ou de l’une de ces deux peines seulement, quiconque n’aura pas satisfait à l’obligation de communication à la commission cryptologie d’une description des caractéristiques techniques du moyen de cryptologie dans les conditions prévues par les dispositions du présent chapitre et de ses textes d’application.

Article 627 : Violation de l’obligation de déclaration ou d’obtention d’agrément

Est puni d’un emprisonnement de six (06) mois à cinq (05) ans et d’une amende d'un million (1000 000) à cinq millions (5 000 000) de francs CFA ou de l’une de ces deux peines seulement, quiconque fournit ou importe un moyen de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité sans satisfaire à l’obligation de déclaration préalable auprès de la commission cryptologie, sans préjudice de l’application du code des douanes.

Est puni d’un emprisonnement d’un (01) an à cinq (05) ans et d’une amende de cinq millions (5 000 000) à vingt millions (20 000 000) de  francs CFA ou de l’une de ces deux peines seulement, quiconque fournit des prestations de cryptologie sans avoir obtenu préalablement l’agrément de la commission cryptologie.

Article 628 : Violation de l’obligation d’autorisation

Est puni d’un emprisonnement d’un (01) an à cinq (05) ans et d’une amende de un million (1 000 000) à vingt millions (20 000 000) de  francs CFA ou de l’une de ces deux peines seulement, quiconque aura exporté un moyen de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d’intégrité sans avoir obtenu préalablement l’autorisation de la commission cryptologie, sans préjudice de l’application du code des douanes.

Article 629 : Violation d’une interdiction administrative

Est puni d’un emprisonnement d’un (01) an à cinq (05) ans et d’une amende de un million (1 000 000) à vingt millions (20 000 000) de  francs CFA ou de l’une de ces deux peines seulement, quiconque aura mis à la disposition d’autrui par la vente ou la location un moyen de cryptologie ayant fait l’objet d’une interdiction administrative d’utilisation et de mise en circulation, sans préjudice de l’application du code des douanes.

Article 630 : Obstacle à une enquête

Est puni d'un emprisonnement d’un (01) an à cinq (05) ans et d’une amende de un million (1 000 000) à vingt millions (20 000 000) de  francs CFA ou de l’une de ces deux peines seulement, quiconque aura fait obstacle au déroulement des enquêtes prévues au sens des articles 634 et 635 du présent code ou refusé de fournir des informations ou documents y afférents, sans préjudice de l’application du code des douanes.

Article 631 : Circonstances aggravantes

Lorsqu’un moyen de cryptologie a été utilisé pour préparer ou commettre un crime ou un délit ou pour en faciliter la préparation ou la commission, le maximum de la peine privative de liberté encourue, prévu par le code pénal, est relevé ainsi qu'il    suit :

1-  réclusion criminelle à perpétuité lorsque l'infraction est punie de trente (30) ans de réclusion criminelle ;

2-  trente (30) ans de réclusion criminelle lorsque l'infraction est punie de vingt (20) ans de réclusion criminelle ;

3-  vingt (20) ans de réclusion criminelle lorsque l'infraction est punie de quinze (15) ans de réclusion criminelle ;

4-  quinze (15) ans de réclusion criminelle lorsque l'infraction est punie de dix (10) ans d'emprisonnement ;

5-  dix (10) ans d'emprisonnement lorsque l'infraction est punie de sept (07) ans d'emprisonnement ;

6-  sept (07) ans d'emprisonnement lorsque l'infraction est punie de cinq (05) ans d'emprisonnement ;

7- le double lorsque l'infraction est punie de trois (03) ans d'emprisonnement au plus.

Les dispositions de l’alinéa 1er ne sont pas applicables à l’auteur ou au complice de l’infraction qui, à la demande des autorités compétentes, leur a remis la version intelligible des messages chiffrés, ainsi que les conventions secrètes nécessaires au déchiffrement.

Article 632 : Refus de production de convention secrète

Est puni de trois (03) ans d'emprisonnement et d’un million (1 000 000) à vingt millions (20 000 000) de  francs CFA d'amende, le fait pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application du code de procédure pénale.

Si le refus est opposé alors que la remise ou la mise en œuvre de la convention permet d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq (05) ans d'emprisonnement et de cinq millions (5 000 000) à vingt millions (20 000 000) de  francs CFA d'amende.

Article 633 : Peines complémentaires

Les personnes physiques ou morales coupables de l'une des infractions prévues à la présente section encourent également les peines complémentaires suivantes :

1-  la confiscation, suivant les modalités prévues par le code pénal, de la chose qui a servi ou était destinée à commettre l'infraction ou de la chose qui en est le produit, à l’exception des objets susceptibles de restitution.

Le tribunal peut également prononcer la confiscation des moyens de cryptologie au profit des forces armées pour les besoins de la sécurité publique et de la défense nationale ;

2-  l'interdiction, suivant les modalités prévues par le code pénal d'exercer une fonction publique ou d'exercer l'activité professionnelle ou sociale dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise ;

3-  la fermeture, dans les conditions prévues par le code pénal, pour une durée de cinq (5) ans au plus, des établissements ou de l'un ou de plusieurs des établissements de l'entreprise ayant servi à commettre les faits incriminés ;

4-  l'exclusion, dans les conditions prévues par le code pénal et pour une durée de cinq (05) ans au plus, des marchés publics.

Article 634 : Recherche et constatation des infractions

Toute infraction visée dans les dispositions du présent chapitre est recherchée et constatée par procès-verbal soit par les officiers de police judiciaire et le cas échéant par le juge d’instruction conformément au code de procédure pénale, soit par des agents de l’administration des douanes, conformément aux dispositions du code des douanes.

Le ministre en charge des communications électroniques dans ses attributions peut également, par arrêté, nommer des agents assermentés par la commission cryptologie qui seront habilités à rechercher et constater par procès-verbal, les infractions aux dispositions du présent chapitre et de ses textes d’application.

Article 635 : Code de procédure pénale

Il est inséré dans le code de procédure pénale un article 78 quater rédigé comme suit :

« Le juge d'instruction ou un officier de police judiciaire délégué par le procureur de la République, peut ordonner aux personnes dont il présume qu'elles ont une connaissance particulière du système informatique qui fait l'objet de la recherche ou des services qui permettent de protéger ou de crypter, notamment par le biais d’un moyen de cryptologie, des données qui sont stockées, traitées ou transmises par un système informatique, de fournir des informations sur le fonctionnement de ce système et sur la manière d'y accéder ou d'accéder aux données qui sont stockées, traitées ou transmises par un tel système ou le cas échéant la convention secrète de déchiffrement, dans une forme intelligible.

Le juge d'instruction peut ordonner à toute personne appropriée de mettre en fonctionnement elle-même le système informatique ou, selon le cas, de rechercher, rendre accessibles, copier, rendre inaccessibles ou retirer les données pertinentes qui sont stockées, traitées ou transmises par ce système, dans la forme qu'il aura demandée. Ces personnes sont tenues d'y donner suite, dans la mesure de leurs moyens.

Toute personne qui, du chef de sa fonction, a connaissance de la mesure ou y prête son concours, est tenue de garder le secret. Toute violation du secret est punie conformément aux dispositions relatives au secret professionnel du code pénal.

L'Etat est civilement responsable pour le dommage causé de façon non intentionnelle par les personnes requises à un système informatique ou aux données qui sont stockées, traitées ou transmises par un tel système. »

SECTION VI

DES MESURES DE CONTROLE ET SANCTIONS

Article 636 : Procédure d’avertissement

Lorsqu'une infraction au présent chapitre ou à l'un de ses textes d’application est constatée, les services compétents, ou les agents habilités adressent au contrevenant un avertissement le mettant en demeure de mettre fin au comportement constitutif d'infraction.

L'avertissement est notifié au contrevenant dans un délai de quinze (15) jours à compter de la date de la constatation des faits, par envoi recommandé avec accusé de réception ou par la remise d'une copie, sous quelque support que ce soit, du procès-verbal de constatation des faits.

L'avertissement mentionne :

1-  les faits imputés et là où les dispositions du présent Chapitre ou l'un des textes d’application, qui ont été enfreintes ;

2-  le délai dans lequel il doit y être mis fin ;

3-  qu'en l'absence de suite donnée à l'avertissement, les agents habilités peuvent aviser le procureur de la République ou appliquer le règlement par voie de transaction prévu au présent chapitre.

Article 637 : Recherche et constatation des actes interdits

Sans préjudice des compétences et attributions des officiers de police judiciaire, les agents habilités recherchent et constatent les infractions visées au présent chapitre.

Les procès-verbaux dressés par ces agents font foi jusqu'à preuve du contraire. Une copie est adressée au contrevenant, par envoi recommandé avec accusé de réception, dans les quarante cinq (45) jours à dater de la constatation des faits.

Sans préjudice de leur subordination à l'égard de leurs supérieurs dans l'administration, les agents visés à l’alinéa 1er exercent les pouvoirs qui leur sont conférés en vertu du présent article sous la surveillance du procureur général pour ce qui concerne les tâches de recherche et de constatation de délits visés par les dispositions du présent Livre.

Le procès-verbal visé à l’alinéa 2 du présent article n'est transmis au procureur de la République que lorsqu'il n'a pas été donné suite à l'avertissement.

En cas d'application de l'article 638, le procès-verbal n'est transmis au procureur de la République que lorsque le contrevenant n'a pas accepté la proposition de transaction.

Article 638 : Règlement transactionnel

Lorsque le dommage éventuellement causé à un tiers a été entièrement réparé, les agents habilités des services compétents peuvent, au vu des procès-verbaux et constatant une infraction aux dispositions du présent chapitre, proposer aux contrevenants le paiement d'une somme qui éteint l'action publique.

Le Conseil des ministres, par décret, fixe les tarifs ainsi que les modalités de paiement et de perception. La somme prévue conformément à l’alinéa 1er ne peut être inférieure au montant minimum prévu pour cette infraction et ne peut être supérieure au montant maximum prévu pour cette infraction.

Le paiement effectué dans le délai indiqué éteint l'action publique, et les sommes payées sont restituées au contrevenant, sauf si auparavant une plainte a été adressée au Procureur de la République ou le juge d'instruction a été requis d'instruire ou le tribunal a été saisi du fait.

Article 639 : Affichage

Le tribunal peut ordonner l'affichage du jugement ou du résumé qu'il rédige, pendant le délai qu'il détermine, aussi bien à l'intérieur qu'à l'extérieur des établissements du contrevenant et aux frais de celui-ci, de même que la publication du jugement ou du résumé aux frais du contrevenant par la voie des journaux ou de toute autre manière.

 

LIVRE SEPTIEME

DES DISPOSITIONS TRANSITOIRES ET FINALES

TITRE PREMIER

DES DISPOSITIONS TRANSITOIRES

 

Article 640 : Validité des licences et autorisations en cours

Les licences et autorisations visées au Livre I et délivrées avant l’entrée en vigueur de la présente loi, conservent leur validité jusqu’à leur date d’expiration ou de modification.

Article 641 : Délais de mise en conformité

Les licences, autorisations et déclarations visées au Livre I et délivrées avant l’entrée en vigueur de la présente loi, devront être mises en conformité avec elle dans un délai de six (06) mois à compter de la date de son entrée en vigueur.

Les personnes physiques ou morales visées et/ou dont l’activité relève des dispositions de la présente loi, bénéficient d’un délai transitoire de six (06) mois à compter de sa date d’entrée en vigueur, pour se mettre en conformité avec toutes les dispositions nouvelles prévues par la présente loi.

Ce délai est allongé, le cas échéant, de durées égales aux délais nécessaires aux autorités publiques béninoises pour assurer la mise en conformité des personnes visées à l’alinéa précédent, aux dispositions nouvelles prévues par la présente loi, notamment dans les cas où l’autorisation, la réponse ou la réaction des autorités publiques béninoises est attendue, aux fins de mise en conformité.

Article 642 : Modalités de mise en conformité

Les modalités de mise en conformité des licences, cahiers de charges et conventions d’exploitation des opérateurs sont précisées par décret pris en Conseil des ministres.

Article 643 : Délai octroyé en cas de prospection directe

Un délai d’un (01) an à compter de la date d’entrée en vigueur de la présente loi est octroyé afin que les personnes physiques ou morales pratiquant la prospection directe au sens des articles 332 à 337 du présent code, et souhaitant utiliser des coordonnées de personnes légalement recueillies avant l’entrée en vigueur de la présente loi, puissent obtenir le consentement de ces personnes, dans l’objectif de les utiliser à des fins de prospection directe.

A l’expiration de ce délai, les personnes visées à l’alinéa précédent sont présumées avoir refusé l’utilisation ultérieure de leurs coordonnées personnelles à des fins de prospection directe si elles n’ont pas manifesté expressément leur consentement aux personnes physiques ou morales pratiquant la prospection directe.

Article 644 : Entrée en vigueur des dispositions de l’article 464

La nouvelle composition de l'APDP n’entre en vigueur qu’à l’expiration du mandat en cours.

Article 645 : Mandats en cours

Les mandats des organismes de l’ARCEP-Bénin, de l’ABSU-SEP et de l'APDP (ex CNIL) actuellement en cours, vont jusqu’à leur terme nonobstant l’entrée en vigueur de la présente loi.

Article 646 : transfert de personnel, de patrimoine et de contrats

Les personnels du Secrétariat exécutif de l’ex-ARCEP-Bénin, de l’ex-ABSU-CEP et de l’ex-CNIL, leurs patrimoines ainsi que les contrats en cours d’exécution y compris les contrats de travail, sont respectivement transférés à l’ARCEP-Bénin, à l’ABSU-CEP et à l'APDP créées par la présente loi.

TITRE II

DES DISPOSITIONS FINALES

 

Article 647 : Dispositions abrogatoires

La présente loi portant code du numérique en République du Bénin abroge toutes dispositions antérieures contraires notamment celles :

- de la loi n° 2014-14 du 14 juillet 2014 relative aux communications électroniques et à la poste en République du Bénin, à l’exception des dispositions relatives  au secteur postal ;

- de la loi n° 2009-09 du 24 mai 2009 portant protection des données à caractère personnel en République du Bénin.

            La présente loi sera exécutée comme loi de l’Etat.-

Porto-Novo, le 13 juin 2017

                                                             P/le Président de l’Assemblée nationale, et PO,

     le deuxième Vice-Président,

     

          Robert GBIAN