Les deux derniers mois ont été captivants, avec des actualités passionnantes en matière de protection des données, et ce dans divers pays africains. Au cours des deux derniers mois, des lois sur la protection des données sont entrées en vigueur au Nigéria, en Tanzanie et en République Démocratique du Congo (RDC) ; une consultation publique a également été lancée sur le projet de loi sur la protection des données au Cameroun ; la Tanzanie a mis en place son autorité de protection des données ; et d’importantes sanctions ont été prononcées.

Voici l’essentiel de ces actualités :

Actualités réglementaires

• Le président nigérian a récemment signé le projet de loi 2023 portant sur la protection des données au Nigéria (Nigerian Data Protection Bill, 2023). La loi a établi la Commission nigériane de protection des données (NDPC) comme l’autorité de protection des données au Nigéria, en remplacement du Bureau nigérian de protection des données (NDPB)
• En Tanzanie, la loi sur la protection des données personnelles est entrée en vigueur le 1er mai 2023, et le gouvernement a également publié une version anglaise de la loi en plus de la version swahili déjà accessible au public. Préalablement à cette entrée en vigueur, le gouvernement avait publié les versions finales de ses règlements sur la collecte et le traitement des données personnelles, ainsi que la gestion des plaintes.  Ces règlements guident les personnes concernées, les responsables de traitement et les sous-traitants tout au long des processus de résolution et d'enregistrement des plaintes. Enfin, l'autorité de protection des données a été officiellement instaurée pour superviser la mise en application de la loi.
• Au Cameroun, le ministère des Postes et Télécommunications a lancé une consultation publique pour la révision des textes des projets de loi dans le secteur, y compris le projet de loi sur la protection des données personnelles au Cameroun et le projet de décret d'application de la loi y afférent, entre autres. En conséquence, le ministère a également publié officiellement le projet de loi pour consultation publique.
• En République démocratique du Congo, le ministère du Numérique a officiellement présenté le Code du numérique, contenant la loi sur la protection des données du pays. Selon le ministre, cette loi pose les bases de la réglementation du secteur du numérique en RDC, y compris son application aux activités et services numériques et la protection des systèmes informatiques contre les actes malveillants dans le cyberespace, entre autres.
• Au Rwanda, l'Office de protection des données et de la vie privée a publié une note d'orientation sur les outils d'inventaire des données personnelles et une liste de points d'évaluation du niveau de conformité des traitements qui aidera les organisations à répertorier les données personnelles qu'elles détiennent et traitent afin de s'assurer que des mesures appropriées sont adoptées pour protéger les données personnelles.

La Convention de Malabo entre enfin en vigueur

• La Convention de l'Union africaine sur la cybersécurité et la protection des données personnelles (la "Convention de Malabo") est finalement entrée en vigueur suite à la récente ratification de la Mauritanie le 9 mai 2023, portant ainsi le nombre total de ratifications aux 15 requises. Auparavant, la Gambie et la RDC ont annoncé leur ratification, mais leurs instruments de ratification doivent être déposés auprès de l'Union africaine, pour rendre effectif le processus. L'entrée en vigueur de la Convention renforcera la protection des données en Afrique, car elle oblige les États membres à adopter des lois garantissant la protection des données et à instaurer des autorités de protection des données chargées de faire appliquer la loi. La Convention permettra également aux autorités africaines de protection des données d'approfondir leur collaboration sur le continent.

Transfert international de données

• Le commissaire aux données du Kenya était membre d'une importante délégation de l'Union européenne (UE), qui s'est entretenue avec différentes parties prenantes, notamment la direction générale de la justice et des consommateurs de la Commission européenne (DG JUST). Ces discussions ont été l’occasion d’échanger sur la possibilité pour le Kenya et l'UE d'adopter une décision mutuelle d'adéquation puisque leurs lois respectives sur la protection des données sont similaires et prévoient cette mesure. De même, le Kenya est le seul pays africain inscrit sur la liste des pays prioritaires pour l'examen d’une décision d'adéquation par le Royaume-Uni et a récemment reçu une décision d'adéquation de la part du Botswana.

Sanctions et mise en application

• En Afrique du Sud, l’office de l’« Information Regulator » a émis une injonction à l'encontre du ministère de la justice et du développement constitutionnel, en raison d’une violation de diverses dispositions de la loi de protection des données personnelles (POPIA) , mais aussi en raison du défaut d’établissement et de garanties appropriées contre les risques identifiés d’atteinte à la sécurité de ses systèmes d’information. Il est également reproché au ministère de n’avoir pas procédé aux vérifications et mises à jour régulières des dispositifs de sécurité contre les menaces de logiciels malveillants, ce qui a conduit à un accès non autorisé au réseau. Rappelons qu’en début d'année, l’«Information Regulator » avait également émis une injonction à l'encontre des services de police sud-africains (SAPS) et leur avait ordonné de présenter des excuses publiques aux victimes de la violation de données, de mener des enquêtes internes et de former leur personnel. En conséquence, la SAPS avait présenté des excuses publiques aux victimes en mai.
• En Côte d'Ivoire, l'Autorité de protection des données (DPA) a annoncé qu'elle enquêtait sur des signalements via les réseaux sociaux concernant l'enregistrement présumé des communications des utilisateurs de l'application de covoiturage, "Yango", sans leur autorisation préalable. La DPA s’est engagée à informer le public lorsque l'enquête sera clôturée.
• Au Kenya, la Haute Cour s'est prononcée sur sa compétence et sur le rôle de l'Office de protection des données personnelles (OPDC). la Cour a statué que le rôle du Bureau du Commissaire à la protection des données (ODPC) en vertu de la loi sur la protection des données comprennent la réception et l'examen des plaintes des personnes concernées pour toute violation de leurs droits à la vie privée et que, sur la base de la doctrine de l'épuisement des voies de recours, le tribunal ne sera pas compétent pour une violation présumée des droits à la vie privée lorsque la plainte n'a pas été soumise au préalable à l'ODPC. En mai 2023, la Haute Cour du Kenya a rendu une décision ordonnant à l'ODPC de mener une nouvelle enquête dans les 30 jours suivant la publication de la décision. En conséquence, l'ODPC a entamé de nouvelles enquêtes et les a conclues en juin. Dans sa décision, l'ODPC a réaffirmé que les plaignants n'étaient pas des personnes concernées au sens de la loi sur la protection des données et qu'ils n'avaient donc pas droit à un recours pour violation du droit à la vie privée. En outre, les preuves fournies n'étaient pas suffisantes pour étayer une plainte pour violation de la vie privée.
• Au Nigeria, la Commission de protection des données (NDPC), a révélé qu'elle enquêtait sur certaines banques commerciales et d'autres entités pour des violations présumées de données. Elle a également ajouté qu'elle enquêtait actuellement sur plus de 400 plaintes dans le secteur du crédit en ligne. Dans le même ordre d'idées, suite à la publication de la réglementation 2023 de la CBN sur le devoir de vigilance  à l'égard des clients, la NDPC a déclaré que la directive relative à la collecte par les banques commerciales des données sur les réseaux sociaux des clients dans ce cadre était illégale.

Collaboration et coopération

• Le continent continue d'être le témoin de collaborations intéressantes entre les différentes autorités de protection des données afin de renforcer la compréhension de la protection des données et d'adopter les meilleures pratiques. Au début du mois, l’ autorité de protection des données de l'Angola  a signé des accords de partenariats avec les autorités de protection des données du Maroc et de São Tomé et Principe, visant à promouvoir la sensibilisation à la protection des données et à aborder les principales questions relatives à la vie privée dans leurs pays respectifs. L'autorité kenyane de protection des données a accueilli les autorités respectives du Nigeria et de la Tanzanie, venues évaluer le cadre opérationnel kenyan. Ce fut également l’occasion de discuter des moyens de renforcement du partenariat existant entre le Kenya et l'Union européenne dans le cadre de la protection des données personnelles.

Autres Actualités

• L'Algérie, le Cap-Vert et la Côte d'Ivoire ont célébré respectivement les 5e, 8e et 10e anniversaires de la promulgation de leurs lois sur la protection des données personnelles. Ces célébrations ont permis aux autorités chargées de la protection des données de sensibiliser le public à la protection des données dans le pays. Ces événements témoignent également de l'importance accordée aux lois sur la protection des données par ces pays et pourraient inciter les pays qui n'ont pas encore adopté de loi à se préoccuper de la protection des données sur leur territoire.

Conclusion

En fin de compte, nous prévoyons la promulgation de lois sur la protection des données personnelles au Cameroun, à Djibouti, en Namibie et en Égypte. Ces mesures permettraient de renforcer la protection des données sur le continent  et favoriser une plus grande coopération entre les autorités.

To take our newsletter survey, please click here

‍