Dans un contexte de digitalisation accélérée des cabinets d'audit et d'expertise comptable en Afrique de l'Ouest, la protection des données personnelles s'impose désormais comme une obligation réglementaire incontournable au Bénin. L'Autorité de Protection des Données Personnelles (APDP), instituée par la Loi n°2017-20 du 20 avril 2018 portant code du numérique en République du Bénin, a engagé depuis le premier semestre 2026 une série d'inspections ciblées auprès des professionnels libéraux, dont les cabinets d'audit, d'expertise comptable et de conseil juridique. **Cadre réglementaire applicable** La Loi n°2017-20, texte fondateur de la gouvernance numérique béninoise, encadre l'ensemble des traitements automatisés et manuels de données à caractère personnel. Elle s'articule avec la Directive n°C/2010/CEDEAO sur la cybersécurité et la protection des données personnelles, qui impose aux États membres de l'espace communautaire des standards minimaux harmonisés. Par ailleurs, de nombreux clients des cabinets étant des filiales de groupes européens ou des entités sous consolidation IFRS, le Règlement Général sur la Protection des Données (RGPD - Règlement UE 2016/679) s'applique en extraterritorialité dès lors que des données de résidents européens sont traitées, ce qui est fréquent dans les missions d'audit légal et de due diligence. **Implications pratiques pour les cabinets** Les cabinets sont qualifiés de « responsables de traitement » au sens de la Loi n°2017-20 lorsqu'ils collectent et traitent des données personnelles de salariés, dirigeants, actionnaires ou tiers dans le cadre de leurs missions. À ce titre, plusieurs obligations s'imposent en pratique : - **Déclaration ou autorisation préalable** : tout traitement de données sensibles (données financières individuelles, données judiciaires dans les missions d'investigation) doit faire l'objet d'une déclaration auprès de l'APDP, conformément aux articles 334 à 342 du Code du Numérique ; - **Mise en place d'un registre des traitements** : inventaire documenté de l'ensemble des flux de données au sein du cabinet, exigence alignée sur l'article 30 du RGPD ; - **Clauses contractuelles** : les lettres de mission et contrats avec les clients et sous-traitants (éditeurs de logiciels comptables, prestataires cloud) doivent intégrer des clauses de protection des données conformes aux articles 349 et suivants du Code du Numérique ; - **Nomination d'un référent données** : bien que non obligatoire pour les structures de taille modeste, la désignation d'un Délégué à la Protection des Données (DPD) est fortement recommandée par l'APDP ; - **Transferts internationaux de données** : les cabinets utilisant des solutions cloud hébergées hors du Bénin doivent s'assurer de l'existence de garanties adéquates, notamment des clauses contractuelles types ou des décisions d'adéquation. **Sanctions encourues** Les manquements à la Loi n°2017-20 exposent les responsables de traitement à des sanctions administratives pouvant aller jusqu'à la suspension des traitements, ainsi qu'à des amendes pécuniaires et des poursuites pénales prévues aux articles 549 à 562 du Code du Numérique béninois. Ces risques s'ajoutent aux risques déontologiques encadrés par l'Ordre National des Experts Comptables et Comptables Agréés du Bénin (ONECCA-Bénin). **Recommandations AUDITIA** Les cabinets sont invités à réaliser sans délai un audit de conformité données personnelles, à mettre à jour leur documentation contractuelle et à former leurs équipes aux bonnes pratiques de gestion des données. La conformité en matière de données personnelles devient un avantage concurrentiel et un gage de confiance pour les clients institutionnels et les partenaires internationaux.