Newsletter

Revue Bimensuelle de la Protection des Données en Afrique - N°2 ( Mars et Avril, 2023)

Les deux derniers mois ont été riches en événements, avec des évolutions notoires sur le continent. Voici quelques mises à jour importantes :

Actualités réglementaires

  • Le projet de loi nigérian sur la protection des données a été adopté par le Sénat nigérian après sa troisième lecture. La version soumise à la Chambre des représentants devrait également faire l’objet d’un processus d’examen similaire. Il est prévu que le président procède à sa signature avant la fin de mandat actuel le 29 mai 2023. La loi établira formellement l'autorité de protection des données.
  • La publication par le gouvernement égyptien des dispositions exécutives permettant de mettre en application la loi sur la protection des données était prévue pour avril 2023. Cependant, cette publication n’a pas eu lieu.  Dans cette dynamique, un parlementaire a récemment déposé une demande d'information adressée au ministre des Communications et des Technologies de l'information concernant la vente de données personnelles des abonnés par les sociétés de télécommunications, le retard dans la publication des dispositions exécutives ainsi que l’établissement formel de l'autorité de protection des données (APD). L'utilisation abusive des données à l'origine des plaintes des consommateurs, dans le secteur des télécommunications serait justifiée par l'absence d'une autorité de protection des données.
  • L'Assemblée nationale de la République démocratique du Congo a enfin approuvé le Code du numérique incluant sa propre loi sur la protection des données à l’instar de la République du Bénin. En conséquence, la RDC est devenue le 36ème pays africain doté d'une loi sur la protection des données personnelles. L'une des innovations de ce code du numérique est l'exigence de la localisation des données au sein du pays.
  • À Djibouti, le Conseil des ministres a approuvé le Code du numérique. Ce Code nécessite à présent l'approbation de l'Assemblée nationale pour devenir une Loi à proprement parler, après quoi Djibouti rejoindra le Bénin et la RDC en tant que pays dont les lois sur la protection des données sont contenues dans un code du numérique. De plus, l'approbation portera le nombre de pays africains dotés d'une loi sur la protection des données à 37 au total.
  • En Namibie, le directeur exécutif du ministère de l'Information et des Communications (MICT) a réitéré l'engagement du gouvernement en faveur de l'adoption de la législation sur la protection des données, actuellement en consultation au sein du ministère des TIC.
  • Le gouvernement sénégalais a approuvé la mise en œuvre de la toute première stratégie nationale des données du pays pour superviser et encadrer l'utilisation des données. Cette démarche intervient à la suite de celle du  Nigéria, qui l'année dernière avait également lancé sa stratégie nationale des données.
  • En Tanzanie, le gouvernement a publié un avis de mise en œuvre de la loi de protection des données personnelles pour 2023. La nouvelle loi est effectivement entrée en vigueur le 1er mai 2023. Bien que l'autorité de protection des données n'ait pas encore été mise en place, il est prévu qu'elle le soit bientôt pour superviser l'application de ladite loi.

Ratifications de la Convention de Malabo

  • Ces derniers mois, la Côte d'Ivoire, la République démocratique du Congo et la Gambie ont toutes ratifié la Convention, portant ainsi le nombre total de ratifications à 16, soit plus que les 15 requises pour que la Convention entre effectivement en vigueur. Il est prévu que la Convention devienne effective au plus tard au courant de l'année. La Convention devrait renforcer la collaboration et l'harmonisation des lois sur le continent.

Transferts internationaux de données

  • Le commissaire national du Bureau de protection des données du Nigeria (NDPB) a participé au Forum du système de règles de confidentialité transfrontalières (CBPR) à Londres, réunissant des représentants étatiques, des régulateurs et d'autres experts en protection des données pour discuter des problèmes relatifs au transfert de données transfrontaliers à l’échelle mondial. Cette visite, ainsi que les discussions entrepris l'année dernière avec des représentants américains à propos du système de règles de confidentialité transfrontalières (CBPR), pourraient faire envisager au Nigeria l'adoption des règles globales de confidentialité transfrontalières pour le transfert international de données.

Sanctions et application de la loi

  • Au Kenya, le Bureau du commissaire à la protection des données (ODPC) a émis deux avis de sanction à l'encontre de « Whitepath Company Limited » et de « Regus Kenya » pour la non application de la loi de protection des données et des manquements à l’obligation de réponse aux notifications de plainte. Les entreprises ont été ordonnées de payer chacune la somme de cinq millions de shillings kényans (environ 37 369 $). « Ecological Industries Limited » a également reçu une injonction d’application de la loi pour avoir refusé de coopérer suite à plusieurs plaintes déposées contre elle pour l'utilisation illégale des photos des plaignants.
  • Au Mali, l'Autorité de protection des données personnelles (APDP) a exprimé sa préoccupation quant à l'utilisation abusive de plateformes de médias sociaux comme TikTok, majoritairement par les mineurs et les femmes. Elle rappelle au public que les droits fondamentaux tels que la protection de la vie privée doivent être respectés lors de l'utilisation de ces plateformes de médias sociaux. La préoccupation de l'APDP rejoint une préoccupation régionale, car une plainte a récemment été déposée contre TikTok au Sénégal devant la Commission de protection des données (CDP) pour contester l’hébergement de données personnelles sur des serveurs étrangers, contrairement aux dispositions de la loi sénégalaise sur la protection des données.
  • L’autorité sud-africaine de protection des données ou « Information Regulator » a conclu son enquête et émis une injonction contre les Services de police sud-africains (SAPS) pour la divulgation illégale de données personnelles d’une victime d’harcèlement sexuelle sur les réseaux sociaux. Sur la base de cette injonction, les SAPS ont donc été ordonnés de notifier immédiatement les personnes concernées par la violation, de mener une enquête interne et de former leur personnel sur les dispositions de la loi Sud-africaine de protection des données personnelles ou POPIA (Protection of Personal Information Act).

Coopération et collaboration

  • Les autorités de protection des données de l’île Maurice et d'Afrique du Sud ont signé un accord de coopération pour collaborer sur des domaines d'intérêt mutuel. De même, les autorités béninoises et nigériennes ont signé un accord de coopération pour améliorer la protection des données entre leurs deux pays. Bien qu'il n'y ait pas encore de manifestation de l'impact de ces collaborations, leur prévalence indique la volonté des autorités de protection de données, d’améliorer leurs mécanismes de coopération internationale.

Autres actualités

  • En Tunisie, l’Autorité nationale de protection des données personnelles (INPDP) a publié un avis informant le public qu’une décision prise par elle-même pouvait être contestée devant la Cour d'appel de Tunis.
  • Le Bureau de protection des données du Rwanda a annoncé que les organisations envisageant le traitement de données personnelles devaient se signaler auprès de lui dans une démarche de conformité à la loi sur la protection des données personnelles et la vie privée avant la fin de la période transitoire fixée au 15 octobre 2023. De même, l’autorité de protection des données ougandaise a également rappelé aux responsables de traitement et sous-traitants de données personnelles de se déclarer auprès d'elle.

Conclusion

Le paysage africain de la protection des données a fait des progrès remarquables au cours des deux derniers mois. Nous avons vu les autorités de protection des données travailler ensemble, davantage de pays appliquer leurs lois sur la protection des données et d'autres faisant pression pour que leurs lois soient promulguées. Au Nigeria, nous nous attendons à ce que la loi sur la protection des données soit adoptée avant la fin du cycle législatif en juin, et la Convention de Malabo, qui a reçu plus de ratifications que requis, pourrait bientôt devenir effective. Enfin, nous prévoyons la promulgation de la loi namibienne et djiboutienne de protection des données, la mise en place de l’autorité de protection des données tanzanienne et une augmentation des sanctions dans les mois à venir.