Newsletter

Revue bimestrielle sur la protection des données personnelles en Afrique - N°6 (Novembre & Décembre 2023)

Introduction

Les deux derniers mois de l’année 2023 ont été témoins d’avancées significatives en matière de protection des données sur le continent. Le Malawi a adopté un projet de loi sur la protection des données, actuellement en attente de l'assentiment présidentiel. L'Éthiopie a lancé une consultation publique sur son projet de loi sur la protection des données, tandis que l’Île Maurice a publié un projet de guide sur la protection des données personnelles dans le secteur financier. 

Voici quelques actualités  notables :

Actualités  réglementaires 

  • Après avoir obtenu l'approbation lors de la 25e session de Conseil des ministres, le premier projet de loi éthiopien sur la protection des données personnelles a été divulgué pour consultation publique. Le projet de loi établit une commission de protection des données et définit les obligations des acteurs des traitements de données.

  • Le 28 novembre 2023, l'Autorité de protection des données de l’Eswatini (EDPA) a publié des directives sur la nomination des délégués à la protection des données (DPO). Ces directives obligent les responsables  de traitement à nommer des DPO qualifiés et indépendants, et exigent l'enregistrement des DPO auprès de l'EDPA.

  • Le 7 décembre 2023, le Parlement du Malawi a adopté le projet de loi sur la protection des données. Le projet de loi vise à réglementer le traitement des données personnelles conformément aux principes mondiaux et prévoit la déclaration des traitements de la part des responsables de traitement, reprenant ainsi les dispositions de l'Inde et du Nigeria. Actuellement, le projet de loi est en attente de l'assentiment du président.

  • L’autorité de protection des données de l’Île Maurice a publié un projet de guide sur la protection des données personnelles dans le secteur financier. Le guide expose les meilleures pratiques et donne des éclairages sur la protection des données pour les institutions du secteur financier. La version finale sera adoptée  en janvier 2024.

  • Le 17 novembre 2023, la Commission nigériane de protection des données (NDPC) a publié un avis d'orientation sur les retours d'audit de conformité à la protection des données. Le 12 décembre, la commission a lancé sa Feuille de route stratégique et plan d'action pour la protection des données (NDP-SRAP) pour 2023-2027. De plus, le président de la NDPC a introduit un Code de conduite pour les organisations de conformité à la protection des données (DPCO), signalant une prochaine mise en œuvre. La commission a également annoncé sa disponibilité à lancer un portail d'enregistrement des traitements et à publier une directive de mise en œuvre de la loi en janvier 2024.

  • La République de Tanzanie a nommé des membres au conseil de la Commission de protection des données personnelles après la récente nomination du président et du vice-président du conseil.

Sanctions et mise en demeure

  • Le 20 décembre 2023, l'Agence de protection des données (APD) de l’ Angola a révélé que onze (11) entreprises sont sous enquête pour d'éventuelles violations des lois sur la protection des données personnelles. Les enquêtes en cours déterminent si une sanction sera imposée.

  • L'autorité de protection des données en Côte d'Ivoire a averti une clinique de violations de la loi sur la protection des données, lui ordonnant de se conformer dans les 60 jours suivant la réception de l'avis. À noter également, que l’autorité ivoirienne de protection des données a publié les résultats de son enquête sur la société de VTC Yango LLC, ordonnant la désactivation de la fonction d'enregistrement des conversations téléphoniques et la suppression des enregistrements audio des clients. L'autorité a également publié des décisions d’approbation de  traitement des données personnelles par onze entreprises locales.

  • Au Kenya, la Haute Cour a statué que la surveillance non autorisée des conversations privées d'un conjoint viole le droit à la vie privée de la personne concernée, contredisant ainsi  la constitution. La cour reconnaît que chaque individu est indépendant avec des droits et des libertés garantis. De plus, la Haute Cour a suspendu le déploiement des nouvelles cartes d'identité numériques, exhortant le gouvernement à s'abstenir d'enregistrer des individus ou de délivrer des cartes “Maisha Namba” en raison de l'absence d'une évaluation de l'impact sur la protection des données requise par la loi sur la protection des données. L'affaire devrait arriver devant la haute cour Kenyane dans les prochaines semaines.

  • Le Bureau du commissaire à la protection des données (ODPC) du Kenya a annoncé qu'il enquête sur 38 émetteurs de monnaie électronique suite à plus de 700 plaintes concernant des pratiques non éthiques au cours de l'année. Le commissaire a souligné la nécessité pour les émetteurs de monnaie électronique d'obtenir le certificat d'enregistrement des traitements de données délivré par l'ODPC pour être agréé par la Banque centrale du Kenya.

  • La Haute Cour fédérale du Nigeria a invalidé la liste blanche des décisions d’adéquation en vertu du cadre de mise en œuvre du règlement nigérian sur la protection des données, critiquant l'inclusion de pays ne disposant pas de mécanismes appropriés de protection des données. Elle a également déclaré invalide l'inclusion des clauses contractuelles types et des règles d'entreprise contraignantes en tant que mécanisme de transfert dès lors qu’ils n'étaient pas initialement contenu dans le règlement nigérian sur la protection des données (NDPR). La cour a en outre ordonné au régulateur de réévaluer la liste des décisions d’adéquation.

Autres actualités

  • Lors du sommet sur la sécurité de l'IA organisé par le gouvernement britannique, le Kenya, le Nigeria et le Rwanda ont signé la Déclaration de Bletchley, s’engageant à l'utilisation responsable de l'intelligence artificielle.

  • La Commission ghanéenne de protection des données (DPC) a publié une déclaration de fin d'année mettant l'accent sur l'importance de se déclarer auprès de la commission, de renouveler les licences d'enregistrement et d'afficher les certificats pour les responsables de traitements enregistrés. L'Autorité de la cybersécurité (CSA) a, pour sa part, rappelé aux fournisseurs de solution de  cybersécurité, aux établissements et aux professionnels que la date limite d'octroi de licences et d'accréditation est le 31 décembre 2023.

  • L'Autorité de régulation des communications du Malawi (MACRA) a entamé le projet de révision de la loi sur les transactions électroniques et la cybersécurité pour résoudre les défis d'application et l'aligner sur les normes internationales. Dans le cadre de cet effort, le MACRA a introduit le projet de loi sur la cybercriminalité et a invité le public à soumettre les avis et commentaires jusqu'au 4 décembre 2023.

  • Le 22 novembre 2023, le projet de loi sur le contrôle de l'utilisation de la technologie de l'intelligence artificielle au Nigeria a été présenté à la Chambre des représentants pour sa première lecture. Ce projet de loi vise à réglementer l'utilisation de l'IA, faisant suite à un projet de loi similaire présenté en octobre 2023  intitulé le projet de loi national sur les sciences de l'IA et de la robotique, qui est actuellement au  stade de la deuxième lecture.

  • L'Assemblée nationale sud-africaine a adopté l’amendement du projet de loi sur la régulation de l'interception des communications et la fourniture d'informations liées aux communications (projet de loi RICA). Le projet de loi initial a été jugé inconstitutionnel en raison de l'insuffisance des garanties de confidentialité. L'amendement introduit des mesures strictes pour gérer légalement les données obtenues par interception des communications et vise à renforcer la protection des droits à la vie privée.

Conclusion

En prévision de  l'année 2024, nous entrevoyons une attention particulière sur la réglementation de l'IA, une rigueur accrue des autorités de protection des données sur les contrôles, la création de nouvelles autorités et d'autres progrès significatifs dans la définition de la protection des données en tant que pierre angulaire du développement socio-économique et numérique de l'Afrique.