Articles

Revue bimensuelle sur la protection des données personnelles en Afrique - N°5 (Septembre & Octobre 2023)


Introduction

Au cours des deux derniers mois, l’Afrique a connu des progrès notables en matière de protection des données. La loi rwandaise sur la protection des données est désormais en vigueur ; le Botswana a prolongé sa période de transition ; L'Éthiopie a progressé dans son projet de loi sur la protection des données ; et Djibouti est en train de réviser son Code du numérique. Les autorités de protection des données du Kenya, de l’Afrique du Sud, du Ghana et de la Côte d’Ivoire ont également pris des mesures coercitives mémorables.

Actualités  réglementaires

  • Le gouvernement du Botswana a repoussé la date d'entrée en vigueur de la loi sur la protection des données au 13 octobre 2024, soit une période supplémentaire de 12 mois  à compter de la date de  publication de l'avis de report.
  • Le Code numérique de Djibouti, approuvé par le Conseil des ministres, devrait faire l'objet d'une révision complète étant donné que par ailleurs,  l'Assemblée nationale a inauguré un comité chargé de superviser le processus. L'examen vise à mettre le projet de loi en conformité avec les standards internationaux et à permettre la prise en compte des problématiques soulevées par les  technologies émergentes.
  • En Eswatini, l'autorité de protection des données a soumis à consultation publique  sa proposition de réglementation relative à l'enregistrement préalable du responsable de traitement  et du sous-traitant en vertu de la loi sur la protection des données. Le règlement décrit le processus d'enregistrement, les critères et les frais applicables pour différentes catégories d'organisations.
  • En octobre, le Conseil des ministres éthiopien a approuvé le projet de loi sur la protection des données pour ratification par le Parlement. Ce n'est pas la première tentative du pays de promulguer une loi sur la protection des données. Auparavant, une déclaration sur la protection des données avait été introduite mais n'a pas abouti.
  • Au Kenya, le président a promulgué le projet de loi sur la santé numérique. La loi vise à tirer parti de la technologie pour améliorer la prestation des soins de santé, protéger les données des patients et favoriser l'innovation dans le pays.
  • La Commission nigériane de protection des données (NDPC) a annoncé qu'elle enquêtait sur certaines organisations pour violations de la loi sur la protection des données en collaboration avec la Commission fédérale de la concurrence et de la protection des consommateurs (FCCPC). Cette enquête a également pour objectif de déceler les actions de ces organisations en violation des lois de protection des consommateurs.  
  • La Commission nigériane de protection des données (NDPC) a procédé au lancement des activités du comité de rédaction de la directive générale d'application et de mise en œuvre de la loi nigériane sur la protection des données (loi NDP GAID). Cette directive permettra de définir le cadre de mise en œuvre effectif  de la loi.
  • La loi rwandaise sur la protection des données est officiellement entrée en vigueur ce 15 octobre 2023 après la fin de la période de transition.
  • La Fédération Tunisienne des Sociétés d’Assurances (FTUSA), avec le soutien de l’Autorité tunisienne de protection des données personnelles (INPDP), a présenté un guide pratique sur la protection des données personnelles dans le secteur des assurances.
  • La commission sénatoriale des TIC du Kenya a ouvert une enquête sur un supermarché pour avoir omis de signaler une violation de données dans le délai légal de 72 heures. Le Bureau du commissaire à la protection des données (ODPC) a également lancé un audit et une inspection pour vérifier la responsabilité du supermarché et l'impact de la violation de données sur les droits et libertés des personnes concernées. Le résultat des conclusions est très attendu, tout comme l'audit de 40 autres entreprises par l'ODPC.

Sanctions et mise en demeure

  • L'autorité ivoirienne de protection des données a adressé des avertissements et des mises en demeure à Yango, Standard Chartered Bank et Quipux Afrique pour diverses violations de la loi sur la protection des données. Les organisations ont été sommées de veiller au respect de la loi.
  • La Commission ghanéenne de protection des données (DPC) avait annoncé l’entrée en vigueur de la loi sur la protection des données en août. Ainsi, en septembre, des représentants de cinq organisations ont été arrêtés pour violation de la loi sur la protection des données. Dans le cadre d'une mesure coercitive distincte menée en août, la DPC, en collaboration avec le Département des enquêtes criminelles (CID), a appréhendé les représentants de trois autres organisations pour les mêmes faits. De plus, des représentants de deux autres organisations ont été convoqués pour interrogatoire, concernant des actions similaires.
  • Au Kenya, l'ODPC a infligé une amende totale de 9 375 000 Ksh à trois organisations pour violation des droits des personnes concernées, y compris des mineurs. Dans le même ordre, une action en justice a été intentée contre une université pour avoir utilisé la photo d’une personne sur les réseaux sociaux et d’autres plateformes sans autorisation. De plus, l’affaire de la Worldcoin Foundation a été conclue au cours de cette période. Le Comité ad hoc a produit un rapport faisant état de ses conclusions et recommandations. De son côté, l'ODPC a émis une mise en demeure à l'organisation et à sa société mère après avoir conclu ses enquêtes. Les opérations de Worldcoin ont été suspendues dans le pays en attendant la mise en œuvre de garanties appropriées.
  • La Cour suprême du Kenya a déclaré que la dignité, les droits et le bien-être des mineurs devaient être préservés dans les procédures judiciaires engagées contre eux. Cette décision intervient après que l’identité de sept étudiants accusés d’incendie criminel à Murang’a ait été rendue publique. Une fois de plus, selon une décision de l'ODPC, un employeur n'est pas responsable d'une violation de données résultant du non-respect par un employé des conditions de son contrat de travail.
  • Au Sénégal, la Commission de protection des données personnelles (CDP) a publié son troisième rapport trimestriel détaillant ses activités de juillet à septembre 2023. Sur la base de ce rapport, la CDP a émis quatre avertissements et une mise en demeure à trois organisations pour violation de la loi sur la protection des données.
  • En Afrique du Sud, le ministère de la Justice et du Développement constitutionnel conteste l’amende de 5 millions de rands infligée par le régulateur de l’information en début d’année, invoquant l’impossibilité de tenir le délai de mise en conformité et le manque de preuves d’une utilisation abusive des données.

Autres actualités

  • La Banque mondiale a recommandé l’amendement de la loi kenyane sur la protection des données afin de supprimer l’exigence de l’hébergement local des données et d’adopter des normes d’interopérabilité standards. Cette recommandation intervient alors que des discussions sont en cours pour modifier la loi sur la protection des données.
  • En Afrique du sud, l'Assemblée nationale a proposé un amendement à la loi sur la réglementation de l'interception des communications et de la fourniture d'informations liées aux communications (RICA) afin de renforcer les garanties en matière de protection des données personnelles. Les principaux aspects de l'amendement comprennent l'amélioration du processus de nomination de ces juges, la garantie d'une gestion légale des données pour les communications interceptées et l'établissement de lignes directrices claires pour le traitement et la suppression des données de surveillance. De plus, il introduit des exigences de notification post-surveillance.

Conclusion

En fin de compte, nous prévoyons une nette amélioration de l’application de la loi sur la protection des données  en Côte d’Ivoire, au Nigéria et en Ouganda, ainsi que les résultats des enquêtes en cours au Kenya. Nous espérons voir l'entrée en vigueur de la loi sur la protection des données en Éthiopie, aux Seychelles, au Cameroun et en Namibie ; la finalisation de la réglementation d'enregistrement préalable des acteurs de traitement de données en Eswatini ; la publication des règlements exécutifs égyptiens ; et une mise à jour du Code du numérique de Djibouti.