En Afrique aussi, la protection des données personnelles est un sujet majeur. La preuve : 37 pays sur 54 ont déjà une loi nationale sur la protection des données. Parmi les pionniers dans ce domaine figurent le Cap-Vert (depuis 2001), la Tunisie, le Sénégal, le Maroc et le Bénin. Cependant, la mise en œuvre effective de ces lois prend du temps et, même si les premières sanctions sont tombées, certaines barrières subsistent. Zoom sur la situation…

Chaque fois que vous naviguez en ligne, vous laissez des traces. En effet, dès que vous visitez un site web, des cookies sont injectés dans votre navigateur. Certains sont nécessaires, comme ceux liés à votre localisation, afin que les opérateurs puissent afficher le site dans la bonne langue. Mais certains opérateurs autorisent aussi des entreprises tierces, à placer des cookies pour analyser votre comportement en ligne.

Toutes ces données permettent, in fine, de construire votre profil numérique et de le mettre à jour en temps réel. Sauf que ces données sont parfois très intimes et peuvent inclure : vos nom et prénom, votre âge, votre genre, votre adresse mail, votre historique de recherche et d’achat, les articles que vous avez lus, les vidéos et les films que vous avez visionnés, vos activités sur les réseaux sociaux, différentes informations sur votre santé, votre niveau d’éducation, votre situation financière, votre orientation politique, voire vie intime. 

Lutter contre la manipulation et la discrimination

Dans le meilleur des cas, ces entreprises tierces peuvent utiliser ces données pour mieux vous connaître et vous proposer des offres personnalisées. Mais d’autres risques peuvent émerger. Une compagnie d’assurance pourrait, par exemple, vous refuser un contrat ou vous proposer des prix plus élevés en fonction de vos antécédents médicaux. Une banque pourrait aussi vous identifier comme “client fragile” et vous refuser un prêt, juste en fonction de votre lieu de résidence ou de vos habitudes d’achat en ligne. 

Voilà pourquoi ces données personnelles doivent être protégées, leur confidentialité préservée et leur collecte encadrée. Et ce, sans que cette protection nuise à leur libre circulation ni à leur exploitation par les entreprises et les organismes publics du continent africain. 

La CEDEAO crée un cadre légal

Celui-ci s’est déjà emparé de la question et plusieurs initiatives régionales visant à harmoniser la réglementation ont été menées. Ainsi, dès 2009, la CEDEAO (Communauté économique des États d’Afrique de l’Ouest) a considéré qu’il était important de combler un vide juridique et de créer un cadre légal harmonisé pour le traitement des données à caractère personnel. Elle a donc défini un cadre juridique et institutionnel, et établi les formalités nécessaires au traitement, les principes directeurs (consentement, légitimité, licéité, loyauté, finalité, pertinence, conservation, d’exactitude, transparence, confidentialité, sécurité, etc.), les principes spécifiques (origine raciale, ethnique, l’état de santé, transfert vers un pays tiers, interconnexion de fichiers, etc.), les droits des personnes fichées (droit à l’information, d’accès, d’opposition, de rectification ou de suppression) et les obligations du responsable du traitement (confidentialité, sécurité, conservation et de pérennité). 

L’Afrique francophone au diapason

En 2013, 6 États francophones se sont appuyés sur ce travail et ont publié l’Acte additionnel sur la protection des données personnelles : le Bénin, le Burkina Faso, Cap-Vert, le Ghana, le Niger et le Sénégal. La Côte d’Ivoire aussi, a transposé dans sa législation nationale cet acte additionnel de la CEDEAO. La loi PDCP (Protection des Données à Caractère Personnel) a d’ailleurs fait de l’ARTCI (Autorité de Régulation des Télécommunications de Côte d’Ivoire) l’autorité de protection nationale et a aussi intégré les dispositions de la convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel et la Convention de Budapest sur la cybercriminalité du 23 novembre 2001. Depuis, des campagnes de sensibilisation et de communication ont été menées auprès des responsables de traitements et différents groupes de travail ont été mis en place. 

Faire de la protection de la vie privée un droit fondamental

L’Algérie, le Maroc et la Tunisie ont également fait d’énormes progrès dans la mise en place d’une législation sur la protection des données. En Algérie, la Constitution de 2020 a consacré ce droit, soulignant que “la protection des personnes lors du traitement de données à caractère personnel est un droit fondamental”. Même chose au Maroc. Ces pays ont aussi créé leurs propres autorités de protection des données et sont membres de l’Association francophone des autorités de protection des données personnelles (AFAPDP). Notez d’ailleurs qu’en Algérie, l’ANPDP (Autorité nationale de protection des données personnelles) a organisé en mai dernier ses premières formations au profit des institutions publiques et privées pour expliquer le contenu de la loi.

L’UA et la SACD encadrent aussi la protection des données

Il existe d’autres initiatives panafricaines relatives à la protection des données, dont la Convention de Malabo de l’Union Africaine (2014) et la loi type sur la protection des données élaborée par la SACD (Communauté de développement de l’Afrique australe) en 2013. Depuis, l’Eswatini et la Tanzanie ont adopté de nouvelles lois sur la protection des données et d’autres pays de la zone ont modifié leurs lois ou publié de nouveaux règlements. Plusieurs pays d’Afrique sub-saharienne ont également créé ou renforcé leurs autorités de protection des données, notamment le Botswana, la Mauritanie, le Nigéria et le Rwanda. Rappelons que ces autorités jouent un rôle crucial dans l’application des lois et la sensibilisation.

Vers davantage de contrôles (et de sanctions)

En 2022, un nouveau virage a été abordé et l’accent a été mis sur le renforcement des lois existantes et l’augmentation des contrôles et des sanctions de la part des autorités de protection des données. Le gouvernement marocain a, par exemple, annoncé qu’il enquêtait sur TLSContact pour avoir traité et transféré des données en dehors du Maroc sans son autorisation. La DPA angolaise, de son côté, a infligé une amende de 150 000 USD à Africell pour avoir traité des données d’abonnés sans autorisation. L’année dernière, elle a infligé une amende de 525 000 USD à une banque commerciale pour avoir divulgué sans autorisation des données relatives à ses employés.

La DPA sud-africaine a même renvoyé le ministère national de la santé devant la commission des sanctions pour une enquête sur des violations de la loi pendant la pandémie de COVID-19. Enfin, un tribunal nigérian a condamné une société de prêt numérique à une amende de 5 millions de nairas pour communication non sollicitée. Ces sanctions et ces développements témoignent de l’importance croissante accordée à la protection des données personnelles en Afrique. Plusieurs pays africains prévoient de modifier leurs lois sur la protection des données ou d’en adopter de nouvelles en 2023.  

Accélérer l’entrée en vigueur des réglementations

Mais le principal frein réside dans la lenteur de la mise en œuvre des réglementations. En Algérie, par exemple, la loi relative à la protection des personnes physiques dans le traitement des données à caractère personnel date du 10 juin 2018, mais n’est entrée en vigueur qu’en août 2023, soit plus de 5 ans plus tard. Le délai d’application a été encore plus long en Afrique du sud, puisqu’une loi similaire a été votée en 2013, mais n’est entrée en vigueur qu’en 2021, soit 8 ans plus tard.

Mieux sensibiliser et mieux former

Si la législation a du mal à suivre le rythme de l’évolution de la sphère numérique, et notamment de l’essor de l’IA générative, elle s’adapte. Si ce cadre légal est essentiel, d’autres facteurs sont à prendre en compte pour permettre une meilleure exploitation des données sans rogner la confiance, notamment la sensibilisation et l’éducation à l’importance de la protection des données. La production de savoir sur ce sujet aiderait certainement les acteurs à mieux comprendre, respecter, appliquer et faire évoluer la loi.

Nous restons bien entendu à votre disposition si vous souhaitez en savoir plus sur ce sujet : contactez-nous. 

Rejoignez-nous sur nos réseaux sociaux :

• Sur LinkedIn : https://www.linkedin.com/company/gd-expert
• Sur Twitter : https://twitter.com/GDExpert
• Sur Facebook : https://www.facebook.com/GlobalDocumentExpert/