A l’occasion de la Journée mondiale de l’Afrique et de l’anniversaire du Règlement Général sur la Protection des Données (RGPD), ce 25 mai, ESET prend le pouls de la protection des données personnelles sur le continent africain.

Jane Doe est sur Signal ! » Les utilisateurs de l’application de messagerie chiffrée open source ont reçu ce message des dizaines de fois ces derniers mois, à mesure que certains de leurs proches migraient sur celle-ci en masse.

Cet exode numérique répond à l’annonce par la rivale WhatsApp d’une nouvelle politique de partage des données avec sa maison-mère, le géant Facebook.

Un changement qui a aussi provoqué l’ire d’un pays, l’Afrique du Sud. Le régulateur sud-africain de l’information juge que ce partage de données viole les lois de son pays sur la protection des données et envisage une action en justice contre le Gafam. Plus généralement, cet épisode a ravivé le débat sur l’état de la protection des données sur le continent africain. L’occasion de faire un tour d’horizon, en ce 25 mai, qui marque à la fois les trois ans du Règlement général sur la protection des données (RGPD), le texte européen qui a changé la donne sur le sujet, et la Journée mondiale de l’Afrique.

Le RGPD a depuis inspiré plusieurs textes de lois à travers le monde, comme le California Consumer Privacy Act et le UK GDPR, l’équivalent du RGPD depuis que le Royaume-Uni a quitté l’Union européenne. En Afrique, l’importance de la protection des données personnelles est très hétérogène.

Les pays francophones, élèves modèles

A l’heure d’écrire ces lignes, seuls 33 Etats africains ont adopté une loi dédiée à la protection des données et 18 ont mis en place une autorité pour contrôler son application. Et, une fois n’est pas coutume lorsqu’il s’agit de numérique en Afrique, les pays francophones sont les mieux lotis. « Cela s’explique par la mise en place d’une association, l’Association francophone des autorités de protection des données personnelles (AFAPDP), créée en 2007 et qui, très tôt, s’est attelée à sensibiliser les pays francophones sur la question », rappelait Mouhamadou Lô, auteur de l’ouvrage La protection des données à caractère personnel en Afrique : réglementation et régulation, sur le site de Radio France internationale en 2018.

A titre d’exemple, le Maroc a été très tôt l’un des pionniers dans la gestion des données personnelles. Une loi dédiée a été adoptée par le parlement marocain des dès décembre 2008 et le principe de protection de la vie privée a été ajouté à la Constitution marocaine en 2011.

Parmi les mauvais élèves, on retrouve la grande majorité de l’Afrique de l’Est, où seul l’Ouganda possède une loi et une autorité chargée de la faire respecter. Le Kenya, souvent en pointe dans le numérique et les nouvelles technologies, possède bien une loi, mais seulement depuis 2019 et aucun organisme de contrôle. En République démocratique du Congo, au Rwanda et au Burundi, le cadre juridique se concentre uniquement sur la sécurité et la confidentialité des données de communication électronique – qui fait l’objet d’un droit particulier au sein du RGPD. C’est également le cas au Cameroun, en Afrique centrale.

A l’ouest, le Nigeria, jusqu’à récemment en retard par rapport à ses voisins francophones, a rattrapé son retard : comme le Kenya, il a promulgué une loi en 2019. Mais, à l’image de la Côte d’Ivoire, où le respect des données personnelles est géré par l’Autorité de régulation des télécommunications (ARTCI), Abuja a confié les prérogatives de la bonne application de sa toute nouvelle loi à un organe préexistant, la National Information Technology Development Agency (NITDA). « Une bonne approche pour aller vite », confirmait Mouhamadou Lô.

Le reste du monde hors-UE guère mieux armé

Toutefois, même dans les pays africains les mieux armés, le niveau de protection de leur loi n’est pas au niveau du RGPD. Mais ils sont loin d’être les seuls dans ce cas-là : dans le monde, seuls le Royaume-Uni, la Suisse, le Japon, la Nouvelle-Zélande, l’Argentine et l’Uruguay possèdent une législation sur la protection des données personnelles considérée comme adéquate par l’Union européenne, peut-on lire sur le site de la Commission nationale de l’informatique et des libertés (Cnil), l’autorité française de régulation. La législation canadienne, elle, est reconnue comme partiellement adéquate.

Pour le reste du monde, Afrique comprise mais aussi Etats-Unis et Australie – qui ont une loi et une autorité mais ne sont pas considérés comme adéquats par l’UE – ou encore Russie, Chine et Inde – pourvus d’une loi mais sans organisme de contrôle –, le transfert de données personnelles depuis l’UE nécessite d’être encadrés par des outils de transfert, comme les clauses contractuelles types (CCT) de la Commission européenne. Selon le RGPD, il est également recommandé de réaliser une analyse d’impact relative à la protection des données avant tout transfert hors de l’UE.

En Afrique, même chez les meilleurs élèves, un défi s’ajoute : celui de l’implémentation. En effet, le manque de moyens de certains de ces pays et le fléau de la corruption peuvent faire craindre un décalage entre les outils législatifs existant et leur application réelle sur le terrain.

Vers un RGPD africain ?

Néanmoins, de plus en plus d’initiatives africaines vont dans le bon sens. Dès 2016, Mouhamadou Lô a lancé le premier Forum africain de la protection des données personnelles (FAPDP), à Ouagadougou, qui a donné lieu à la création du Réseau africain des autorités de protection des données personnelles (RAPDP). Deux ans plus tard, à Dakar, l’UA a publié ses lignes directrices sur la protection des données à caractère personnel pour l’Afrique en collaboration avec l’ONG Internet Society. Et en juin 2019, le Ghana a accueilli la première Conférence internationale sur la protection des données et de la vie privée en Afrique. Quelques pas de plus vers un RGPD africain, peut-être.

Mais quand une loi sur la protection des données existe, les citoyens des pays africains ont aussi un rôle à jouer pour la faire respecter. En 2019, soit un an après la promulgation du RGPD, les plaintes auprès de la Cnil, en France, ont augmenté de 27 %. Cette même année, le montant des sanctions explose à 51,37 millions d’euros, contre 1,196 million l’année précédente, du fait de l’amende record de 50 millions d’euros infligée à Google en janvier 2019. Maliens, Sénégalais, Gabonais ou Congolais, à vous de jouer !

Benoit Grunemwald
Expert en Cybersécurité
ESET France & Afrique Francophone.

(Source : Pages Afrik, 5 juin 2021)