IMPACT DU RGPD SUR LA PROTECTION DES DONNÉES EN AFRIQUE : L’OUVRAGE QUI FAIT LE BILAN DE LA QUESTION
Afin de répondre aux évolutions technologiques de nos sociétés où le numérique occupe une place croissante, l'Union européenne a adopté une réglementation, appelée « RGPD », qui consiste à encadrer voire sécuriser l'utilisation des données à caractère personnel, et peut s'appliquer à certaines entreprises africaines. Cet ouvrage se propose de revenir sur les notions clés de la protection des données et d'aborder les mesures juridiques, techniques et organisationnelles rendues obligatoires par le RGPD. Il dessine des pistes de réflexion pour une protection des données à caractère personnel en tant que levier pour une régulation numérique en Afrique, ce qui pourrait favoriser une intégration économique réussie.
Nous avons réalisé à ce sujet une interview avec Pape Fodé Dramé, auteur du livre coécrit avec Rokhaya Sarr sur l’objectif de cet ouvrage et comment il aborde l’impact du RGPD européen sur la protection des données en Afrique.
Diplômé en Droit du numérique à la Sorbonne, ancien juriste à la direction de la conformité de la Commission Nationale de l’Informatique et des Libertés (CNIL), Pape Fodé Dramé est consultant et intervient depuis plusieurs années dans le conseil et l’accompagnement juridiques des organisations notamment dans la protection des données personnelles.
Rokhaya Sarr est avocate à la Cour d’appel de Paris et auteure d’une thèse intitulée « L’impact du RGPD sur la pratique des entreprises établies en France et au Sénégal ». Elle dispense des cours de droit des Tics à l’Université Alioune Diop de Bambey.
L'IMPACT DU RÈGLEMENT SUR LA PROTECTION DES DONNÉES (RGPD) EN AFRIQUE
Avant-propos d'Abdoulaye Sakho. Préface de Frédéric Forster
Africa CyberSecurity Mag : Pourquoi ce titre et quel est l’objectif de cet ouvrage ?
Pape Fodé Dramé : Cet ouvrage a pour but de démontrer comment une législation européenne à priori applicable sur le territoire européen peut en réalité produire pleinement des effets hors Union européenne notamment en Afrique.
Le RGPD est un texte qui encadre le traitement des données à caractère personnel et impose de ce fait aux entreprises collectant ou manipulant de telles données, de mettre en œuvre des mesures techniques, juridiques et organisationnelles tant dans leur fonctionnement interne qu’externe de manière à s’assurer d’une conformité dynamique.
L’ouvrage se positionne en tant qu’outil d’apprentissage de cette nouvelle réglementation. Il illustre en suivant dans l’ordre, les notions clés, les principes légaux et les mesures techniques organisationnelles sans oublier un lexique afin de permettre au grand public de se familiariser avec les terminologies du droit de la protection des données.
Le choix du titre s’explique du fait que le texte européen dispose d’une vocation extraterritoriale puisqu’il impose des obligations aux responsables de traitement et aux sous-traitants établis hors de l’UE et donc éventuellement en Afrique dès lors qu’ils traitent des données de personnes physiques résidentes européennes. L’impact de cette réglementation est significatif puisque désormais avec le RGPD le sous-traitant même situé hors UE est pleinement responsable en cas de manquement aux obligations du RGPD.
Africa CyberSecurity Mag : Vous avez été préfacé par deux sommités de la doctrine du droit du numérique, quels enseignements avez-vous tirés de leurs écrits ?
Pape Fodé Dramé : Comme indiqué précédemment, dans la mesure où nous avons voulu mettre en exergue la particularité d’un texte européen mais qui peut effectivement produire des effets en Afrique, il nous a paru indispensable d’obtenir la caution d’une référence européenne qui maîtrise parfaitement ce texte européen en l’occurrence Frédéric FORSTER qui dirige le pôle Télécoms intervenant en matière de protection des données à caractère personnel du Cabinet Lexing Alain Bensoussan Avocats et auteur de nombreux ouvrages en la matière.
Il était tout aussi primordial de bénéficier du gage d’une référence africaine maîtrisant l'État du Droit et des pratiques africaines à savoir le professeur Abdoulaye SAKHOI qui en plus a eu a dirigé deux thèses de doctorat en matière de conformité. Son avant-propos est intéressant puisqu’il permet d’entrée de camper le débat de la régulation numérique en Afrique.
Ils nous ont fait un grand honneur et nous les en remercions.
Africa CyberSecurity Mag : Quelle place occupe l’Afrique dans la gouvernance mondiale de la protection des données ?
Pape Fodé Dramé : La gestion et la protection des données des africains doit être au cœur des préoccupations de nos Etats africains lorsque l’on sait que la plupart de celles-ci sont hébergées à l’étranger.
Sur les 55 pays africains seuls 29 disposent d’une loi et d’une autorité de protection.
En sus des lois nationales, il existe des textes contraignants en matière de protection des traitements de données à caractère personnel.
Au niveau régional, il y a notamment l’acte additionnel de la CEDEAO de 2010, la Convention de MALABO de l’union africaine la CAE de 2008 pour l’Afrique de l’Est. Au niveau international, il existe la convention 108 du conseil de l’Europe de 1981 ouverte aux Etats Africains ratifiée par le Sénégal en 2016.
La plupart de ces textes interdisent par principe le transfert des données vers un pays n’assurant pas un niveau de protection adéquat.
ll s’agit de textes contraignants mais qui ont besoin d’être modifiés, modernisés afin de tenir compte des avancées technologiques.
A l’heure actuelle, pour l’UE, aucun pays africain n'assure de manière effective un niveau de protection adéquat pour le transfert de données personnelles de ses citoyens.
Tout de même, depuis les années 2000 un certain nombre de pays africains se sont dotés d’une législation spécifique et ont mis en place une autorité de contrôle c’est le cas du Sénégal qui a voté la loi du 25 janvier 2008 et institué la CDP.
Au niveau régional l’Union Africaine et la CEDEAO ont respectivement adopté des textes en la matière Tout comme de CAE en Afrique de l’Ouest Il est donc primordiale que les différentes entités africaines manipulant les données soient conscientes qu’en parallèle à leur législation nationale, existe un texte européen a vocation transnationale pouvant plus ou moins les concerner directement et que le respect des règles posées par le RGPD leurs permettra de prester facilement à destination du marché européen.
Africa CyberSecurity Mag : La protection des données n'est-elle pas un frein à l’innovation ? Quel est le rôle des concepts tels le Privacy by design/default que vous abordez dans votre ouvrage ?
Pape Fodé Dramé : La conformité au sens du RGPD, c’est responsabiliser les entreprises, les conduire à pouvoir démontrer leur conformité à tout moment en cas de contrôle.
Les enjeux sont donc considérables et il est impératif de rassurer les personnes concernées et les partenaires notamment européens afin de leur éviter de lourdes sanctions en cas de sous - traitance par exemple.
En consacrant des concepts à l’instar du Privacy by design ou by default, le RGPD impose aux entreprises d’intégrer la protection de la vie privée et de celle des données personnelles dès la conception d’une technique ou d’une innovation au moyen de mesures techniques ou organisationnelles à l’instar de la pseudonymisation ou du chiffrement. Le Privacy by default suit cette même logique et impose aux responsables de traitements d’intégrer ces mêmes exigences sans qu’aucune action ne soit requise par la personne concernée à cette protection.
Loin d’être un frein à l'innovation, le respect de ces concepts poussent les concepteurs à se mettre en conformité dès l’origine. De sorte que les entreprises qui adoptent un haut niveau de conformité ont intérêt à le faire savoir afin de susciter davantage de confiance des utilisateurs réel gage de compétitivité.
En définitive, l’innovation à savoir la technologie ne doit pas se déployer au détriment des libertés fondamentales, elle doit être à leur service.
Interview réalisée par la Rédaction d’Africa Cybersecurity Mag