Réglementation sur la protection des données : Quelles avancées pour les pays africains ?

Les pays africains prennent de plus en plus au sérieux depuis quelques années leur transformation digitale et s’y engagent. La réglementation des données  est une priorité et se retrouve au cœur des discussions. Ainsi, des pays africains veulent consolider leur arsenal juridique et leur cyberespace. Ce qui va permettre de bénéficier d’une meilleure coopération internationale. La réglementation des données demeure un outil de lutte contre toutes formes d’actes répréhensibles en ligne. 

La réglementation des données en Afrique australe

Selon une étude réalisée par Jules Hervé Yimeumi, juriste Délégué à la Protection des Données, la réglementation des données en Afrique a connu une certaine évolution ces derniers mois. Ainsi, en Afrique australe, le Botswana est l’un des rares pays à avoir traité le sujet du transfert des données. En effet,  avec la Loi 32 de 2018 sur la Protection des Données, le Ministre des Affaires présidentielles, de la Gouvernance et de l’Administration Publique a publié une ordonnance sur le transfert des données personnelles. Cette ordonnance précise que les données personnelles peuvent être transférées du Botswana vers 45 pays. Toujours en Afrique australe, la Tanzanie, la Namibie, et le Zimbabwe ont également pris des décisions significatives. Ainsi,  le parlement tanzanien a adopté un projet de loi sur la protection des renseignements personnels. Un projet qui va permettre à ce pays de rejoindre le rang des pays ayant une réglementation des données dans cette région de l’Afrique. La Namibie n’a pas voulu rester en marge. Ainsi, elle a lancé un appel à contribution sur le projet de loi relatif à la protection des données à caractère personnel. Au Zimbabwe, l’autorité en charge de la protection des données, Postal and Telecommunication Regulatory Authority of Zimbabwe, a annoncé un nouveau projet de règlement sur la cybersécurité et la protection des données. L’évolution de l’actualité de la protection des données au Zimbabwe se précise. C’est ainsi qu’en 2021, les autorités zimbabwéennes ont promulgué la loi N°05/2021 relative à la protection des données. Ces mêmes autorités en 2022, ont publié un projet de règlement sur la cybersécurité et la protection des données. En République Démocratique du Congo, les autorités ont adopté en décembre 2022 un projet de loi autorisant la ratification de la Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel, adoptée à Malabo, le 27 juin 2014. Il faut rappeler que la RDC a adopté la Loi n° 20/017 du 25 novembre 2020 relative aux télécommunications et aux technologies de l’information et de la communication. Notons qu’elle est entrée en vigueur, mais attend encore un arrêté d’exécution qui fixera les conditions et modalités de collecte, d’enregistrement, de traitement, de stockage et de transmission des données à caractère personnel. En outre, le pays dispose d’un projet de loi portant Code du Numérique adopté par le Conseil des ministres ce 14 octobre 2022.

Évolution en Afrique centrale

Sur les 11 pays de l’Afrique centrale, seulement 4 - Tchad, Congo, Rwanda et Angola - ont ratifié à ce jour la convention de Malabo. Aujourd’hui, a question de l’application de ces règlements préoccupe encore plus. Car quand une loi sur la protection des données existe, les citoyens des pays africains ont aussi un rôle à jouer pour la faire respecter. Une chose qu’on ne constate malheureusement pas. Les pays membres de la Communauté Économique des États de l’Afrique Centrale (CEEAC) dont l’Angola, le Burundi, le Cameroun, la République centrafricaine, la République du Congo, la République Démocratique du Congo, le Gabon, la Guinée équatoriale, le Tchad, Sao Tomé-et-Principe et le Rwanda ont adopté des  projets de lois-types. Ces projets de lois-types sont relatifs à la protection des données à caractère personnel. Ils s'inscrivent dans le cadre des évolutions nationales et internationales et se fondent sur une évaluation critique des législations des États membres de la CEEAC/CEMAC et des conventions internationales en matière de cybersécurité. Ils concernent également des interventions et pratiques réglementaires en vigueur dans les États membres de la CEEAC. Ces projets de lois-types ont été validés par la décision N°07/CEEAC/CCEG/XVII/20 portant adoption des lois types relatives aux télécommunications, technologies de l’information et de la communication (TIC), à la cybersécurité et du cadre réglementaire d’interconnexion transfrontalière des États membres de la CEEAC. Il faut rappeler que cette décision a été adoptée en juillet 2020 lors de la XVIIème session ordinaire de la conférence des chefs d’États et de gouvernements de la Communauté Économique des États de l’Afrique Centrale (CEEAC). Ces différentes dispositions juridiques en matière de réglementation des données ont permis aux pays membres de se conformer aux exigences actuelles du numérique en Afrique et dans le monde.

Actualité de la règlementation en Afrique de l’Ouest

Au  Nigeria, la National Information Technology Development Agency (NITDA) a publié le 04 octobre 2022 un nouveau projet de loi sur la protection des données personnelles. Celui-ci décrit les principes et les bases légales pour le traitement des données personnelles. À cela s’ajoute l’analyse d’impact relative à la protection des données (AIPD), la nomination d’un délégué à la protection des données (DPO) et les droits des personnes concernées.

Il faut noter que  21 pays sur 54 en Afrique disposent au moins d’une loi sur la protection des données. C’est un constat positif. Néanmoins, il demeure nécessaire d’envisager une action mutualisée sur l’ensemble du continent tant sur la réglementation des données que sur l’ensemble de toutes les questions majeures du numérique à l’instar de la cybersécurité, la lutte contre la cybercriminalité, etc.

La réglementation des données au Madagascar

Au pays malgache, la protection des données personnelles est régie par la loi n° 2014 - 038 du 9 janvier 2015. Elle s’applique à tout traitement automatisé ou non de données à caractère personnel opéré sur le territoire malgache et mis en œuvre par un responsable de traitement établi ou non sur son territoire. Toutefois, elle ne s’applique pas aux traitements de données utilisés pour l’exercice d’activités exclusivement personnelles et/ou uniquement à des fins de journalisme ou d’expression littéraire ou artistique. En outre, l'Agence pour l'Enseignement Français à l’Étranger (AEFE) et le réseau des établissements à programme français à Madagascar ont mis en place le 25 mai 2018, une politique générale de protection des données à caractère personnel. Cette politique générale de protection des données s’applique à tous les traitements de données à caractère personnel au niveau des Lycées français sur le territoire malgache.  

Retrouvez en téléchargement libre, les Projets de Lois Types de la Communauté Économique des Etats de l’Afrique Centrale (CEEAC) et les projets de Directives de la Communauté Économique et Monétaire de l’Afrique Centrale (CEMAC)

Rapport de Paradigme Initiative sur les AUTORITÉS DE PROTECTION DES DONNÉES (DPAS) en Afrique

Christelle Houeto & Koffi Acakpo