I. OVERVIEW VISION AFRICAINE DU RGPD
Le débat autour du RGPD africain est révélateur des difficultés de construction d’un corpus législatif autour des données personnelles en Afrique.
De la rapide compréhension au contexte législatif historique européen (I), en passant par la problématique de l’application du RGPD en Afrique (II), cet article se demande si l’Afrique peut avoir son propre Registre de Protection des Données (III)
I. Le Contexte législatif historique européen: De la CNIL au RGPD, déjà 40 ans de protection des données
Le Règlement Général sur la protection des données personnelles (RGPD) est entré vigueur le vendredi 25 mai 2018. Ce règlement européen succède en France à Loi n°78-17 du 6 janvier 1978 relative à l’informatique et Libertés pour encadrer juridiquement la collecte, le stockage et l’utilisation de nos données. Ce contexte détermine son corpus législatif et son périmètre d’application.
a) Corpus législatif : Adopté en 2016 pour faire face aux évolutions technologiques ainsi qu’aux disparités réglementaires entre Etats membres de l’Union européenne, le règlement général sur la protection des données (RGPD) du Parlement européen et du Conseil entre en vigueur le 25 mai 2018.
b) Périmètre :
D’application immédiate, le RGPD procède à l’harmonisation du corpus législatif existant dans les pays de l’Union européenne et poursuit 3 objectifs principaux :
- Renforcer les droits des personnes ;
- Responsabiliser les professionnels ;
- Augmenter la coopération entre les autorités protectrices de données sur le territoire de l’Union européenne (en France, la CNIL) ainsi qu’à toutes les entreprises utilisant des données personnelles.
c) Instances de gouvernance :
- Le CIL (Correspondant Informatique et Libertés) devenu DPO (Délégué à la Protection des Données ou Data Protection Officer) sous l’empire du RGPD, joue un rôle essentiel dans la mise en œuvre de ce nouveau texte, dont la violation expose à des sanctions financières pouvant atteindre 20 millions d’euros pour un organisme qui ne réalise pas de chiffre d’affaires ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial. La CNIL (Commission nationale de l’informatique et des libertés): est chargée de veiller à ce que l'informatique soit au service du citoyen et qu'elle ne porte atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés. C’est une autorité administrative indépendante (AAI), c'est-à-dire un organisme public qui agit au nom de l'Etat, sans être placé sous l'autorité du gouvernement ou d'un ministre. Elle a un rôle d'alerte, de conseil et d'information vers tous les publics mais dispose également d'un pouvoir de contrôle et de sanction.
II. Le RGPD s’applique-t-il en Afrique ?
a) Application aux données des résidents européens hors UE : La conformité au RGPD est obligatoire pour tout organisme si son activité cible des résidents européens. Ainsi, même si l’organisme est domicilié en dehors de l’Europe, puisque les données personnelles traitées concernent des usagers européens, le règlement s’applique.
Par exemple, une entreprise installée au Congo-Brazzaville, qui livre des produits à des clients français, doit être en conformité avec le RGPD sur le traitement des données.
b) Application aux sociétés Africaines installées en Europe : Le RGPD est en passe de devenir un standard mondial car s’applique à tout organisme implanté sur le territoire de l’Union Européenne. Ainsi, dès lors que l’organisme est domicilié dans n’importe quel territoire de l’Europe, il est concerné par le RGPD. De fait, même s’il détient uniquement des données personnelles d’usagers hors UE, la législation en matière de contrôle des données est applicable.
Par exemple, une entreprise installée en France mais qui exporte ses produits pour des clients au Congo-Brazzaville doit être en conformité avec le RGPD.
On assiste depuis quelques années à des avancées juridiques de grandes envergures à travers le continent africain essayant de mettre en place un dispositif continental de protection des données.
III. L’Afrique à la recherche d’une identité « Protection des Données Personnelles » propre
L’Afrique peut-elle avoir son propre Registre de Protection des Données ? Plusieurs éléments rendent cette démarche difficile.
a) Emergence de législations nationales éparses récentes
Le dispositif de protection des données personnels africains n’existe pas (pour le moment). Il n’en est encore qu’au stade embryonnaire, au niveau national.
- Loi n°63 du 27 juillet 2004 portant sur la protection des données à caractère personnel pour la Tunisie
- Loi n°2010 /012 relative à la cybersécurité et cybercriminalité au Cameroun
- Loi n°2013- 450 du 19 juin 2013 relative à la protection des données à caractère personnel en Côte-d’Ivoire
- Loi n° 2019-014 du 29 octobre 2019 relative à la protection des données à caractère personnel au Togo
- Loi n°007/2015 sur la protection des données à caractères personnel au Tchad
- Loi n°29-2019 du 10 octobre 2019 portant protection des données à caractère personnel au Congo-Brazzaville
Pour plus de détails cf. La mise à jour de africa data protection. https://lnkd.in/gQy7M6n / https://africadataprotection.com qui propose une excellente cartographie sur le sujet
b) Une réglementation sous régionale africaine oubliée
C’est le cas notamment des initiatives suivantes :
- La réglementation de la Communauté de développement d'Afrique australe (SADC) pour la protection des données (2010)
- Le texte additionnel de la CEDEAO A/SA.1/01/10 relatif à la protection des données à caractère personnel (2010)
c) Une réglementation africaine balbutiante ou le paradoxe de la convention de Malabo du 27 juin 2014
La Convention de Malabo vise à gérer les transactions électroniques et assurer la protection des données à caractère personnel et la promotion de la cybersécurité et lutte contre la cybercriminalité. Cette loi peine à évoluer à cause des réticences internes des Etats ; en effet, cela fait pratiquement 6 années que le texte existe mais la doctrine est divisée sur ce texte.
Voici un état des lieux :
-14 pays, sur les 55 de l’Afrique ont signé cette convention : Bénin le 28 Janvier 2015, Tchad le 14 Juin 2015, Comores le 29 janvier 2018, Congo le 12 juin 2015, Ghana le 04 juillet 2017, Guinée-Bissau le 31 janvier 2015, Mauritanie le 26 Février 2015, Sierra Leone le 29 janvier 2016, São Tomé-et-Príncipe le 29 janvier 2016, Zambie le 29 janvier 2016, Togo le 02 avril 2019, Tunisie le 23 avril 2019, Rwanda le 16 avril 2019, Mozambique le 29 juin 2018
- 8 pays l’ont ratifié pour que celle-ci entre en vigueur sur leur territoire national : le Sénégal le 3 août 2016, l’Angola le 21 février 2020, le Ghana le 13 mai 2019 , le Mozambique 02 décembre 2019 , la Namibie le 25 janvier 2019, la Guinée - 31 juillet 2018, le Rwanda 14 novembre 2019 et l’Ile Maurice le 6 mars 2018,
d) Absence d’autorité indépendante comme la CNIL :
A l’heure actuelle, il y’a absence d’une réelle désignation d’une entité en charge de la régulation de la protection des données, Or, la régulation de la protection des données exige de mettre en place une autorité indépendante et autonome vis-à-vis de l’Etat.
L’absence de cette autorité favorise une violation de la part du responsable de traitement ou du sous-traitant. Dans ce flou artistique on ignore quelle autorité est chargée d’instruire les cas de violation où souvent le responsable de traitement est difficile à identifier. Il peut s’agir de l’éditeur du site ou de l’application, d’un des prestataires auxquels il fait appel et qui seraient susceptibles de déposer des cookies et autres traceurs sur les terminaux des utilisateurs.
L’autre intérêt d’avoir une AAI est la complexité des sanctions qui peuvent être différents de ceux de droit commun. Une telle autorité pourrait bien infliger des sanctions administratives, pécuniaires ou non-pécuniaires, l’interruption provisoire de la mise en œuvre du traitement, la limitation du traitement, la suspension provisoire de la certification délivrée, la suspension provisoire de l’agrément délivré, la suspension provisoire de l’autorisation, l’injonction de se mettre en conformité, le rappel à l’ordre, l’information des autorités étatiques ….
Le chemin de la protection des données personnelles en Afrique est long mais le défi en vaut la peine d’autant plus qu’avec la 5G le volume des données en circulation va considérablement augmenter exposant de plus en plus les personnes à un risque de plus élevé. Cette démarche renvoie l’image d’une Afrique qui se construit à tous les niveaux.
Fulness Scharlemagne MANDONDO,
Consultant fonctionnel - Business developper
Valauris consulting africa