De manière quotidienne, consciente ou non, les populations africaines génèrent une quantité exponentielle d’informations les concernant : noms, contacts, géolocalisations, habitudes de consommation, historiques médicaux, identifiants biométriques, opinions exprimées sur les réseaux sociaux. Ces données, souvent captées par des plateformes étrangères ou des dispositifs administratifs peu encadrés, sont stockées, croisées, analysées, revendues – dans la plupart des cas, sans encadrement adéquat, sans consentement libre et éclairé, ni protection juridique effective.

Cette asymétrie entre les producteurs de données (les citoyens), les collecteurs (publics ou privés), et les détenteurs du pouvoir numérique (souvent extérieurs au continent) constitue aujourd’hui l’un des angles morts les plus préoccupants de la transition numérique africaine. Elle menace à la fois les droits fondamentaux, la sécurité des populations, la justice sociale et la compétitivité des États.

Face à ce constat, une régulation continentale forte, cohérente et ambitieuse de la protection des données personnelles n’est pas un luxe. C’est une urgence.

Une mosaïque juridique incomplète : diagnostic continental

Plusieurs pays africains ont, au cours des quinze dernières années, adopté des législations encadrant la collecte et le traitement des données personnelles. Ces textes, souvent inspirés de modèles européens, ont marqué des avancées importantes. Le Nigeria, par exemple, a adopté en 2023 une loi fédérale sur la protection des données, assortie de la création d’une autorité dédiée, la Commission nigériane de protection des données. L’Afrique du Sud a mis en œuvre la loi POPIA (Protection of Personal Information Act), régulant strictement le traitement des données par les entités publiques et privées. Le Sénégal, pionnier sur le continent, dispose d’une législation depuis 2008. Le Kenya, le Maroc, la Côte d’Ivoire, le Mali ou encore la Tunisie ont également structuré leur cadre légal autour d’autorités de contrôle indépendantes.

Cependant, cette avancée juridique apparente masque une réalité préoccupante : la fragmentation des approches, l’inégalité des moyens alloués aux autorités de régulation, l’absence de mécanismes d’harmonisation entre les pays, et une faible culture de la protection des données au sein des institutions publiques comme du secteur privé.

Certains pays disposent de textes mais pas d’organismes de contrôle véritablement opérationnels. D’autres appliquent des lois anciennes, non adaptées à l’évolution des technologies numériques. Dans l’ensemble, le continent africain souffre d’un manque criant de coordination, de jurisprudence et de capacité de mise en œuvre à l’échelle régionale.

La Convention de l’Union africaine sur la cybersécurité et la protection des données personnelles, adoptée à Malabo en 2014, aurait pu servir de catalyseur. Mais dix ans après, elle reste largement sous-ratifiée et inopérante. De son côté, la Communauté économique des États de l’Afrique de l’Ouest (Cedeao) a adopté dès 2010 un Acte additionnel sur la protection des données, qui incite les États membres à légiférer de manière cohérente. Ce texte a inspiré de nombreux cadres nationaux en Afrique de l’Ouest.

Dans d’autres régions, des efforts similaires existent. L’Union du Maghreb Arabe (UMA), bien que moins active ces dernières années, a vu émerger des convergences réglementaires entre le Maroc et la Tunisie. La Communauté de développement d’Afrique australe (SADC) a publié un modèle-type de loi sur la protection des données dès 2013. La Communauté économique des États de l’Afrique centrale (CEEAC) et le Marché commun de l’Afrique orientale et australe (COMESA) explorent également des principes d’interopérabilité réglementaire. Mais ces initiatives demeurent insuffisamment articulées à l’échelle continentale.

En l’absence d’une régulation harmonisée et effective, les données circulent librement, souvent hors du continent, sans garanties pour les citoyens. Cette situation fragilise la confiance dans les services numériques, compromet les efforts de digitalisation de l’administration, et expose l’Afrique à une perte irréversible de maîtrise sur ses actifs immatériels les plus précieux.

Modèles internationaux : des références contrastées mais instructives

Le Règlement général sur la protection des données (RGPD) de l’Union européenne constitue aujourd’hui la norme mondiale en matière de régulation de la vie privée. Il établit un équilibre robuste entre innovation et protection des droits fondamentaux. Loin d’être un frein à la croissance, ce règlement a permis de bâtir un socle de confiance numérique, renforcé par des sanctions dissuasives et une portabilité juridique globale.

La Californie, par le biais du California Consumer Privacy Act (CCPA), a adopté une régulation plus centrée sur la transparence et le contrôle des consommateurs. Son approche démontre qu’un cadre souple, mais clair, peut encadrer les géants de la tech sans pénaliser les entreprises locales.

La République populaire de Chine, avec sa loi sur la protection des informations personnelles (PIPL), adopte une posture stratégique fondée sur la souveraineté numérique et la sécurité nationale. Le contrôle des transferts transfrontaliers, l’obligation de localisation des données sensibles, et l’encadrement des usages commerciaux forment un triptyque résolument étatique.

L’Inde, enfin, avec sa Digital Personal Data Protection Act (DPDP), propose une synthèse : s’inspirant du RGPD tout en adaptant les principes à ses réalités administratives et économiques, le texte indien associe droits individuels, exigences de conformité, et rôle proactif de l’État.

Ces modèles, bien que variés, convergent sur l’idée que la protection des données personnelles est indissociable de la régulation économique, de la justice sociale et de la souveraineté stratégique. L’Afrique ne doit pas reproduire mécaniquement ces cadres, mais en tirer les leçons nécessaires pour penser un modèle africain cohérent et adapté.

Pour une régulation africaine ambitieuse et durable

Je considère qu’un modèle africain crédible doit reposer sur plusieurs principes structurants : la reconnaissance explicite du droit à la protection des données comme un droit fondamental ; la limitation stricte des usages publics et commerciaux ; la responsabilisation des acteurs privés ; et la création d’instances indépendantes dotées de moyens suffisants.

La ratification collective de la Convention de Malabo et sa mise en œuvre effective par les États membres de l’Union africaine est un préalable nécessaire. Cette étape doit être renforcée par des mécanismes techniques de coordination interétatique : plateformes d’interopérabilité, standards juridiques communs, clauses types pour les transferts de données intra-africains, coopération judiciaire et administrative transfrontalière.

S’agissant des autorités nationales de protection, leur indépendance juridique et fonctionnelle ne sera garantie que si elles disposent de ressources financières autonomes. Toutefois, il est essentiel d’éviter les dérives consistant à multiplier des redevances ou taxes numériques appliquées indistinctement aux particuliers, aux jeunes entreprises ou aux innovations encore fragiles.

J’estime que le financement de ces autorités peut et doit reposer sur un socle plus équilibré. Cela peut inclure un financement direct par les budgets d’État, garanti par la loi ; la contribution des grands acteurs économiques du numérique, notamment les multinationales opérant sur les marchés africains ; la création de fonds régionaux d’appui à la régulation numérique, alimentés par les communautés économiques régionales ; ou encore des mécanismes innovants de partage des revenus issus de l’exploitation publique de données anonymisées.

Ce modèle mixte permettrait de préserver la neutralité et l’efficacité des autorités, sans pénaliser l’écosystème local d’innovation ni faire peser la charge sur les citoyens. Il s’agit là d’un choix stratégique, à la fois budgétaire, politique et symbolique.

Poser les fondations d’un futur numérique digne

L’Afrique ne manque ni d’idées, ni d’initiatives, ni de textes juridiques. Elle manque de cohérence, de volonté collective et d’audace institutionnelle pour transformer le droit à la protection des données en réalité quotidienne pour ses citoyens.

Ce combat n’est pas technique. Il est profondément politique. Il touche à notre conception du pouvoir, de la dignité humaine, de l’équité économique et de notre place dans le monde.

Je crois que nous avons, ensemble, la capacité d’écrire une nouvelle page de la gouvernance numérique du continent. Une page qui protège sans freiner. Qui encadre sans étouffer. Qui libère les énergies tout en garantissant les droits.

Je suis prêt à porter cette vision dans toutes les enceintes, nationales, régionales ou internationales. Parce que protéger les données personnelles des Africains, ce n’est pas défendre une cause sectorielle. C’est affirmer, avec force et clarté, que notre avenir numérique sera construit sur le respect, la justice et la responsabilité.

Tidiani Togola

(Source : Bamada, 9 juillet 2025)