Introduction
Le paysage africain de la protection des données a connu des évolutions significatives en 2023. Cette question a été examinée de manière exhaustive dans notre rapport sur la protection des données en Afrique pour 2023. En résumé, à la fin de l'année, 37 pays disposaient de lois sur la protection des données et 29 avaient mis en place ou désigné une autorité de protection des données (APD) pour faire appliquer ces lois.
La nouvelle année a commencé avec un enthousiasme renouvelé pour l'application des lois sur la protection des données par les autorités de protection des données dans la région, soulignant la nécessité de respecter les lois. Voici les actualités notables au cours des deux premiers mois de l'année.
Actualités réglementaires
- Suite à l'entrée en vigueur de la loi sur la protection des données en 2023, l'autorité somalienne de protection des données (DPA) a publié des orientations complètes et des lignes directrices pour aider les organisations dans la mise en œuvre des exigences de la loi, afin de se mettre en conformité. En outre, l’autorité a publié une procédure de règlement extrajudiciaire des litiges en matière de protection des données dans le cadre de son mécanisme de résolution des plaintes. L’autorité a été officiellement installée dans ses fonctions en février 2024.
- En ce début d'année, les autorités de protection des données ont procédé à plusieurs rappels à destination des responsables de traitement de leurs obligations annuelles. Les autorités de protection des données (APD) de la Côte d'Ivoire et de l'Ouganda ont émis des notifications à tous les responsables de traitement, leur rappelant de soumettre leurs rapports de conformité annuels respectivement avant le 31 mars et le 20 mars 2024. De même, au Nigéria, le dépôt des rapports annuels d'audit de conformité a commencé à la suite de la publication d'un avis d'orientation l'année dernière, et le NDPC a demandé à tous les responsables du traitement des données et aux sous-traitants d'importance majeure de s'enregistrer avant le 31 juin 2024. Entre-temps, des pays comme le Kenya, le Rwanda et l'Ouganda ont continué à rappeler aux responsables du traitement des données et aux sous-traitants de s'enregistrer auprès de leurs autorités de protection des données respectives et déclarer leurs traitements.
- Après sa consultation publique sur les directives d'enregistrement proposées l'année dernière, l'autorité de protection des données de l'Eswatini a publié la version finale des directives pour l'enregistrement des responsables du traitement et des sous-traitants, similaires à la nouvelle notice d'orientation du Nigéria sur l'enregistrement, avec des délais fixés respectivement au 30 septembre 2024 et au 30 juin 2024.
- Suite à la conclusion des engagements sur les projets de lignes directrices à destination de différents secteurs l'année dernière, le bureau du commissaire à la protection des données du Kenya (ODPC) a publié des lignes directrices pour les secteurs de l'éducation, de la communication, des fournisseurs de monnaie électronique et de la santé afin d'aider à la compréhension et au respect des lois sur la protection des données par ces secteurs.
- L'Office rwandais de protection des données et de la vie privée (DPPO) a publié des lignes directrices couvrant plusieurs domaines clés, tels que les analyses d'impact sur la protection des données (DPIA), la nomination des délégués à la protection des données (DPO), la procédure de dépôt de plainte et les formulaires de demande d'autorisation de transfert et de l’hébergement de données à caractère personnel en dehors du Rwanda. Ces lignes directrices fournissent des instructions détaillées sur chaque sujet et offrent des conseils sur le respect de la loi sur la protection des données personnelles.
Engagements internationaux
- Le Bénin et le Nigéria ont réalisé des progrès significatifs en matière d'engagements internationaux cette année. Le parlement béninois a approuvé la ratification de la Convention de l'Union africaine sur la cybersécurité et la protection des données personnelles (Convention de Malabo), adoptée en 2014, afin d'aborder diverses questions relatives à la sécurité et à la protection des données sur le continent africain. De même, le Nigeria a finalement signé ladite Convention.
- Lors du 37e sommet de l'Assemblée de l'Union africaine, 45 États membres de l'Union africaine ont voté en faveur de l'adoption du protocole sur le commerce numérique de l'Accord de libre-échange continental africain (AfCFTA), qui vise à créer un environnement favorable au commerce numérique dans toute l'Afrique. Le protocole aborde un large éventail de questions relatives au commerce numérique, notamment les technologies émergentes, la protection des données et de la vie privée, la sécurité en ligne et la gouvernance des données, entre autres.
Contrôles, sanctions et mises en demeure
- Les autorités de protection des données ont commencé à évaluer le respect des lois sur la protection des données par les entités qui traitent des données personnelles. Le régulateur sud-africain de l'information a évalué le respect de la loi sur la protection des données dans le secteur bancaire. De même, l'Algérie a annoncé le début de sa première évaluation de la conformité dans une province du pays.
- Au Nigeria, la NDPC a annoncé qu'elle enquêtait sur 17 violations dans divers secteurs, notamment la finance, la technologie, l'éducation, le conseil, la loterie, les services de jeux et la logistique. La Commission a indiqué qu'elle avait reçu plus de 1 000 plaintes concernant des violations de la législation sur les données et qu'elle avait vérifié 50 cas. Au début de l'année, la NDPC a annoncé l'ouverture d'une enquête sur certaines entreprises pour des violations potentielles de la NDPA. Les résultats de ces enquêtes sont attendus dans les mois à venir.
- Le régulateur sud-africain de l'information a émis sa première mise en demeure à l'encontre d'une entité pour avoir envoyé des messages de marketing direct non sollicités à une personne concernée sans son consentement. L'organisation a reçu l'ordre de cesser immédiatement l'envoi de ces messages, d'obtenir le consentement de manière appropriée et de se conformer aux directives spécifiées dans un délai de 90 jours. Le régulateur a également réaffirmé son intention de publier un avis sur le marketing direct et les courriels non sollicités.
Coopération
- La Commission nationale de contrôle de la protection des données personnelles (CNDP) et la Commission du droit d’'accès à l'information (CDAI) du Maroc, ainsi que l'École de guerre économique-Campus de Rabat (EGE), ont signé une convention sur la Régulation de l'utilisation éthique des technologies (REUT). Cette convention vise à développer des approches pour lutter contre les "deep fakes" et les "fake news" qui pourraient porter atteinte au respect de la vie privée et à la transparence, notamment sur internet et les réseaux sociaux.
Autres actualités
- L'ODPC du Kenya accueillera l'assemblée générale annuelle et la conférence du Réseau des autorités africaines de protection des données (NADPA) à Nairobi du 7 au 9 mai 2024.
- Le 19 janvier 2024, le conseil tanzanien de la Commission de protection des données personnelles a été officiellement inauguré.
- L'Égypte a organisé une table ronde sur sa proposition de loi sur l'IA, qui vise à être inclusive et à refléter les aspirations du pays. Des experts de l'IA ont participé à la discussion et se sont engagés à produire une loi novatrice qui réponde aux besoins du pays.
- L'Assemblée nationale du Zimbabwe a proposé la création d'un comité chargé d'orienter le pays vers une utilisation positive de l'intelligence artificielle (IA). Cette proposition se fonde sur la tendance technologique actuelle et l'importance de l'IA dans la quatrième révolution industrielle ainsi que son potentiel à influencer le développement économique et les économies numériques dans le monde entier.
- L'Agence de développement de l'Union africaine (AUDA-NEPAD) a dévoilé un projet de livre blanc et une feuille de route pour la stratégie globale du continent en matière d'IA. Cette stratégie vise à favoriser la réglementation et l'adoption responsable de l'intelligence artificielle (IA) dans toute l'Afrique.
Conclusion
Au cours des deux prochains mois, nous prévoyons une augmentation des orientations réglementaires, de la promulgation et de l’entrée en vigueur des lois, ainsi qu'une attention accrue portée aux réglementations en matière d'intelligence artificielle. Nous attendons avec impatience les résultats des enquêtes en Ouganda, en Afrique du Sud et au Nigéria, et nous nous attendons à ce que les autorités de protection des données en Somalie et en Tanzanie mènent des opérations à grande échelle pour la mise en conformité des entités.
Consultez en replay nos événements relatifs au bilan de 2023 sur les évolutions du continent africain en matière de protection des données en français et en anglais.