État des lieux des législations sur la protection des données personnelles en Afrique
En Afrique, la protection des données personnelles est devenue une préoccupation croissante en raison de la digitalisation que connaît le continent au fil des années. Certains pays africains pionniers se sont intéressés, dès le début des années 2000, aux enjeux de la protection des données personnelles. En réponse à ces enjeux, plusieurs pays africains ont commencé à mettre en place des lois et des réglementations visant à encadrer la collecte, le traitement et la conservation des données personnelles. À ce jour, sur 54 pays africains, 37 disposent d’une loi nationale sur la protection des données. Il s'agit de : l’Afrique du Sud, Algérie, Angola, Bénin, Botswana, Burkina-Faso, Cap-vert, Comores, République démocratique du Congo, République du Congo, Côte d'Ivoire, Egypte; Eswatini, Gabon, Ghana, Guinée, Guinée équatoriale, Kenya, Lesotho, Madagascar, Mali, Maroc, Maurice, Mauritanie, Niger, Nigéria, Ouganda, Rwanda, Sao-Tomé-et-Principe, Sénégal, Seychelles, Tanzanie, Tchad, Togo, Tunisie, Zambie, Zimbabwé.
Selon Kranck Kié dans son livre blanc intitulé : le cyberespace africain à l'épreuve de l'Intelligence Artificielle (IA), la Côte d’Ivoire, le Bénin et le Togo peuvent être cités comme de bons élèves en la matière avec la création d’agences spécialisées. Avec notamment : l’Agence Nationale de la Cybersécurité (ANCy) au Togo, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) du Bénin et du Sénégal et l’Autorité de Régulation des Télécommunications/TIC de Côte d’Ivoire (ARTCI). En outre, un projet supplémentaire de mise en œuvre d’une agence nationale de sécurisation des systèmes d’information visant à accompagner les institutions publiques et entreprises privées est en cours en Côte d’Ivoire. Par ailleurs, des textes de lois visant à encadrer l’exploitation des données personnelles et les activités dans le domaine cyber ont également vu le jour dans plusieurs pays Ouest-africains.
Le Nigeria Data Protection Act (NDPA) de 2023 établit un cadre juridique pour la réglementation des données personnelles au Nigéria. Le Ghana a adopté une loi sur la cybersécurité en 2020. Dans le cadre de la préparation à la mise en œuvre de la loi, l’Autorité de la cybersécurité (CSA) a été créée pour réglementer l’écosystème de la cybersécurité dans le pays. En Côte d’Ivoire, un projet de loi a été soumis en 2022 dans l’optique de durcir la répression de la cybercriminalité. La modification des articles 17, 33, 58, 60, 62 et 66 de la loi relative à la lutte contre la cybercriminalité instaure des peines maximales d’emprisonnement liées à toutes utilisations illicites des TIC.
Les dernières évolutions principales en matière de protection des données en Afrique
En réalité, au cours des deux derniers mois de l'année 2023, des progrès notables ont été réalisés en ce qui concerne la protection des données sur le continent africain. Suite à l'approbation lors de la 25ᵉ session du Conseil des ministres, le premier projet de loi éthiopien relatif à la protection des données personnelles a été rendu public pour consultation. Ce projet de loi instaure une commission chargée de la protection des données et précise les obligations des acteurs impliqués dans le traitement des données.
Le 17 novembre 2023, la Commission Nigériane de Protection des Données (NDPC) a publié un avis d'orientation sur les retours d'audit de conformité à la protection des données. Le 12 décembre, la commission a lancé sa Feuille de route stratégique et plan d'action pour la protection des données (NDP-SRAP) pour 2023-2027. De plus, le Président de la NDPC a introduit un Code de conduite pour les organisations de conformité à la protection des données (DPCO), signalant une prochaine mise en œuvre.
Le 07 décembre 2023, le Parlement du Malawi a adopté le projet de loi sur la protection des données. Le projet de loi vise à réglementer le traitement des données personnelles conformément aux principes mondiaux et prévoit la déclaration des traitements de la part des responsables de traitement, reprenant ainsi les dispositions de l'Inde et du Nigeria. Actuellement, le projet de loi est en attente de l'assentiment du président.
L’autorité de protection des données de l’Île Maurice a publié un projet de guide sur la protection des données personnelles dans le secteur financier. Le guide expose les meilleures pratiques et donne des éclairages sur la protection des données pour les institutions du secteur financier.
Voilà ainsi autant de lois et différentes décisions qui visent à garantir la sécurité et la confidentialité des données personnelles. Les cadres juridiques définissent les principes de collecte, de traitement, et de stockage des données, et accordent souvent des droits aux individus sur le contrôle de leurs informations personnelles.
Efforts régionaux de protection de données en Afrique
Les États de la Communauté Économique des États de l'Afrique de l'Ouest (CEDEAO) travaillent conjointement depuis 2010 à l’harmonisation de la réglementation en matière de cybersécurité, notamment grâce à :
• L’acte additionnel A/SA.1/01/10 relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO;
• L’acte additionnel A/SA.2/01/10 portant transactions électroniques dans l’espace de la CEDEAO;
• La Directive C/DIR/1/08/11 portant lutte contre la cybercriminalité dans l’espace de la CEDEAO.
La CEDEAO offre également un accompagnement à ses États membres dans le renforcement de la cybersécurité à travers des actions de partage d’information, de sensibilisation et de formation. Ces efforts ont pour objectif principal de renforcer les coopérations entre les gouvernements, les acteurs de la cybersécurité et avec les institutions régionales. Il est question de soutenir la croissance économique de ces États à travers des mesures visant à garantir la résilience et la sécurité des opérateurs d’importance vitale (OIV).
Par ailleurs, pour une gouvernance des données correctement réglementée, il est à espérer que les pays africains ratifient la Convention de Malabo et renforcent leurs cadres juridiques municipaux respectifs en matière de protection des données afin de compléter la gestion des données personnelles par les organisations publiques et privées, non seulement sur leurs territoires respectifs, mais aussi sur l'ensemble du continent. À ce jour, 15 États africains ont déjà ratifié la convention permettant à celle-ci d'entrer en vigueur. Il s’agit entre autres de : Togo, Zambie, Sénégal, Rwanda, Namibie, Niger, Île Maurice, Mozambique, Guinée, Ghana, République Démocratique du Congo, Cap-vert, Angola, Côte d'Ivoire et la Mauritanie.
Cependant, des défis subsistent, notamment le manque d'infrastructures adéquates, le faible niveau de sensibilisation dans certaines régions, et la nécessité d'une coopération transfrontalière pour faire face à la nature mondiale des transactions en ligne. Dans ce contexte en constante évolution, la sensibilisation et l'éducation sur l'importance de la protection des données, ainsi que la coopération régionale, jouent un rôle essentiel. Une meilleure utilisation des données et le recours à des technologies de pointe doivent permettre au continent de générer une croissance durable. Au vu des nouvelles menaces qui pèsent sur le paysage numérique africain, force est de constater que la législation peine encore à s’adapter à l’évolution constante de la sphère cybernétique, notamment face à la démocratisation de l’Intelligence Artificielle. Cette disparité entre les moyens de protection et les capacités des acteurs malveillants, exacerbée par la montée en puissance de l’Intelligence Artificielle dans le domaine de la sécurité numérique, place les acteurs du numérique du continent face à des défis importants.
image par Africa Data Protection, Tech Hive Advisory
Christelle HOUETO
Journaliste digital