Introduction

Les deux derniers mois ont été marquants en termes d’actualités relatives à la protection des données en Afrique. La loi algérienne sur la protection des données est entrée en vigueur, les Seychelles ont lancé une consultation publique au sujet de leur projet de loi sur la protection des données, la Namibie a clôturé la consultation publique sur son projet de loi sur la protection des données et une série de mesures d'application et de collaborations entre les autorités de protection des données ont eu lieu.

Voici l’essentiel de ces actualités :

Actualités réglementaires

• Aux Seychelles, le Département des technologies de l'information et de la communication (DICT) a sollicité les observations du public sur le projet de loi sur la protection des données, qui vise à remplacer l'actuelle loi en la matière, promulguée en 2003. Le projet de loi est actuellement au stade du "livre blanc".

• La loi algérienne sur la protection des données est officiellement entrée en vigueur. L'Autorité nationale de protection des données personnelles (ANPDP) a annoncé l'entrée en vigueur de ladite loi le 10 août 2023. La loi sur la protection des données personnelles a été promulguée en juin 2018 et prévoyait un délai d'un an, à compter de la date de création de l'autorité de protection des données, pour que les responsables de traitement se mettent en conformité.

• Le gouvernement malgache a exprimé son intention de mettre en place son autorité de protection des données personnelles. En juillet 2023, une rencontre a été tenue à cet effet avec des représentants de l'Association francophone des autorités de protection des données (AFAPDP). Malgré la promulgation de sa loi sur la protection des données en 2015, Madagascar est toujours l'un des pays d'Afrique disposant d'une loi sur la protection des données, mais sans autorité de protection des données.

• En Namibie, le ministère des technologies de l'information et de la communication (MICT) a conclu les consultations sur le projet de loi sur la protection des données, qui ont débuté l'année dernière, suite à la publication de la loi.  À la suite de ces consultations, le MICT a organisé, sur deux jours, un atelier afin de délibérer sur les contributions et commentaires des parties prenantes. Après sa validation, le projet de loi sera soumis à l'examen du comité législatif avant d'être présenté au Parlement.

• Au Kenya, le bureau du commissaire à la protection des données (ODPC) a commencé à inciter diverses parties prenantes, à prendre part au projet de notes d'orientation pour le traitement des données personnelles dans divers secteurs, notamment les communications, la santé, l'éducation et la fourniture de services numériques. L'ODPC souhaite obtenir les contributions et suggestions précieuses de la part de ces parties prenantes, intervenant dans les secteurs concernés par le projet de notes d'orientation.

• Le gouvernement tanzanien a publié les nouvelles réglementations des entreprises, pour l’année 2023. Entre autres mesures comprises dans ces réglementations, celles concernant les durées de conservation des données personnelles au sein des entreprises. Ces réglementations exigent des organisations qu'elles respectent des délais spécifiques pour la conservation de certains types de données, conformément à la loi sur la protection des données personnelles.

Sanctions et mise en demeure

• En Ouganda, l'Office de protection des données personnelles (PDPO) a clôturé son enquête sur la violation de la sécurité des données, survenue à la Bourse des valeurs mobilières de l'Ouganda (USE) tout comme chez son partenaire, Soft Edge Uganda Limited. Ces incidents ont débuté l’année dernière, selon l’enquête menée. L'Office a recommandé aux entreprises de prendre des mesures drastiques de mise en conformité dans les trois mois suivant la publication des résultats de l'enquête.

• En Côte d'Ivoire, l'Autorité de protection des données personnelles (ARTCI) a publié en juin dernier, des mises en demeure et des avertissements adressés à environ six entreprises, pour non-respect de la loi sur la protection des données. Ces entreprises disposaient d'un délai de 60 jours pour aligner leurs activités de traitement avec les dispositions de la loi ivoirienne de protection des données. En outre, au début du mois, l'ARTCI a mis en garde le public contre l’usage de certaines applications mobiles, en raison des risques potentiels pour les données personnelles et la vie privée. Ces sociétés disposaient d'un délai de 10 jours à compter de la publication de l'avis pour se conformer à la loi.

• Au Nigeria, la United Bank for Africa (UBA) a été condamnée à une amende de 6 millions de nairas par la Haute Cour fédérale pour avoir ouvert et géré un compte au nom d'un client sans son autorisation. La Cour a jugé que cet acte violait la relation entre le banquier et le client ainsi que le droit à la vie privée de l'individu. Par ailleurs, la Haute Cour fédérale a donné raison à la Commission des crimes économiques et financiers (EFCC) dans une affaire présentée par une ONG dénommée Ikigai Innovation Initiative, à propos de l'application mobile "Eagle Eye", en déclarant que l'objectif sociétal de l'application l'emportait sur les préoccupations en matière de protection de la vie privée puisqu'elle ne recueillait pas d'informations permettant d'identifier les personnes. Ikigai avait intenté une action en justice pour contester l'utilisation de technologies de suivi divulguant des données personnelles à des annonceurs et ceci, en l'absence d'une notice d’information décrivant à l’utilisateur, les activités de traitement de données via l'application.

• Le mois dernier, le régulateur sud-africain de l'information a adressé une notification d'infraction au ministère de la justice et du développement constitutionnel (DoJ&CD), lui ordonnant de payer une amende administrative de 5 millions de rands suite au non-respect de l'avis d'exécution émis en mai. Le régulateur avait émis l'avis d'exécution après avoir constaté la violation de plusieurs dispositions de la loi sur la protection des données personnelles (POPIA) par le DoJ&CD. En outre, le 31 août 2023, le régulateur de l'information a émis un avis d'exécution à Dis-Chem Pharmacies Ltd, à la suite d'une constatation de violation de divers articles de la Loi sur la protection des données personnelles. La société dispose de 31 jours pour se conformer aux ordonnances du régulateur ou s'exposer à de lourdes sanctions.

• Suite aux inquiétudes concernant les activités de traitement illégales de Worldcoin au Kenya, le gouvernement a suspendu ses opérations en attendant les résultats de l'enquête. Les membres de l'Assemblée nationale ont interrogé le commissaire national à la protection des données (ODPC) pour avoir enregistré Worldcoin en tant que responsable du traitement des données sans avoir fait preuve de la diligence requise. Néanmoins, l'Assemblée nationale a créé une commission chargée d'enquêter sur les activités de Worldcoin. La commission invite par ailleurs, le public à soumettre des mémorandums sur les termes de référence de l'enquête.

• L'unité chargée de l'application de la loi de protection des données (DPC) au Ghana a annoncé qu'elle avait commencé à appliquer des dispositions importantes de la loi sur la protection des données dans l'ensemble du pays.

Collaboration et coopération

• La Commission marocaine pour la protection des données personnelles (CNDP), en collaboration avec 11 autres autorités internationales de protection des données, a publié conjointement une lettre à l'intention des entreprises technologiques mondiales. Cette communication met en lumière les risques d'atteinte à la vie privée liés au "data scraping" et souligne la nécessité de protéger les données personnelles contre de telles pratiques.

• La Haute Autorité pour la Protection des Données Personnelles (HAPDP) du Niger a rejoint la plateforme "Koun3labal" de la Commission Nationale de Contrôle de la Protection des Données Personnelles (CNDP) pour sensibiliser les enfants et d'autres cibles en Afrique, à la protection des données et au respect de la vie privée.

• En juillet, la Commission de protection des données personnelles (CDP) du Sénégal et l'Autorité de protection des données personnelles de la Mauritanie ont signé un accord de coopération pour partager des connaissances autour de la protection des données.

Autres Actualités

• La stratégie nationale des données du Sénégal, élaborée par le ministère de la communication, des télécommunications et de l'économie numérique (MCTEN) en partenariat avec Smart Africa et la GIZ, a été officiellement validée. La stratégie met l'accent sur la protection de la vie privée, la transparence, l'équité et la sécurité des systèmes d’information et s'aligne sur le cadre réglementaire sénégalais existant en matière de protection des données. De même, le Nigeria a officiellement dévoilé sa stratégie nationale en matière de données afin de stimuler la croissance économique, l'innovation et l'inclusion tout en donnant la priorité à l'utilisation éthique et responsable des données, à leur protection et au respect de la vie privée. En outre, le Nigéria a récemment dévoilé ses projets d'élaboration d'une stratégie nationale en matière d'IA afin de consolider les efforts de l'Agence nationale de développement des technologies de l'information (NITDA) pour co-créer une politique nationale en matière d'IA.

• L'Office de protection des données personnelles (PDPO) de l’Ouganda a annoncé son intention de mener des enquêtes sur les activités des opérateurs économiques mobile à la suite de plaintes du public concernant l'utilisation abusive de données. Il a été constaté que ces sociétés collectent un grand nombre de données personnelles à partir des téléphones des utilisateurs, qui sont détournées à d’autres fins, notamment pour harceler et faire chanter les utilisateurs.  

• Au Kenya, l'ODPC a publié un manuel sur la protection des données qui simplifie les obligations de conformité pour les responsables du traitement des données et les sous-traitants. Le manuel sert également d'outil de sensibilisation pour les personnes concernées afin qu'elles comprennent mieux leurs droits et le cadre juridique disponible pour protéger leurs données personnelles.

• Au Nigeria, la Commission de protection des données (NDPC) a demandé à toutes les organisations traitant des données personnelles de nommer un responsable de la protection des données et de s'enregistrer auprès de la Commission dans les six mois suivant l'entrée en vigueur de la loi nigériane sur la protection des données. Au cours d'un atelier de sensibilisation organisé par la Commission, il a été révélé qu'une ligne directrice pour l'enregistrement et un portail en ligne pour l'enregistrement seront bientôt lancés, ainsi qu'un organisme de certification pour les professionnels de la protection des données au Nigeria. En outre, la Commission a fait part de son intention de développer un cadre de mise en œuvre de la loi et inaugurera un comité de travail à cet effet.

Conclusion

Dans toute l'Afrique, les initiatives en matière de protection des données gagnent du terrain ; D'ici la fin de l'année, nous prévoyons la création de l'autorité malgache de protection des données, des avancées notables dans le projet de loi d'amendement sur la protection des données des Seychelles, la publication par l'Égypte de ses règlements exécutifs pour sa loi sur la protection des données, de nouvelles mises à jour sur le code du numérique de Djibouti, et l'introduction par le Nigeria de lignes directrices pour l'enregistrement en matière de protection des données. Nous espérons également assister à l’entrée en vigueur de la loi rwandaise sur la protection des données en octobre, ainsi que la promulgation de la loi namibienne sur la protection des données.  Les sanctions imminentes pour les entreprises qui ne respectent pas la loi de protection des données en Ouganda, en Côte d'Ivoire et en Afrique du Sud sont autant d'éléments qui reflètent l'engagement ferme du continent à renforcer la protection des données.

‍