Introduction
Les deux derniers mois ont été témoins d’évolutions intéressantes dans le paysage de la protection des données et de l’IA en Afrique. L'Éthiopie a adopté son projet de loi sur la protection des données, la Tanzanie a officiellement inauguré son autorité de protection des données, enfin la Côte d'Ivoire et le Sénégal ont émis d’importantes mises en demeure pour non-respect de la loi à l’encontre de certains acteurs. Dans le domaine de l’IA, l’Union africaine (UA), le Kenya, le Nigeria et l’Afrique du Sud ont commencé à discuter de stratégies et de plans en matière d’IA.
Voici les actualités majeures :
Actualités réglementaires
- La Chambre des représentants éthiopien a adopté le projet de loi sur la protection des données personnelles, qui a été auparavant approuvé par le Conseil des ministres précisément en octobre 2023. La loi fournit un cadre réglementaire complet pour la protection des données personnelles et établit une autorité de contrôle chargée de superviser sa mise en application. Après avoir été publiée au Journal officiel, la loi entrera officiellement en vigueur.
- En Tanzanie, le président a officiellement inauguré la Commission de protection des données personnelles (PDPC), créée l'année dernière. Lors de la cérémonie, le directeur général du PDPC a annoncé qu’ils avaient un projet de lignes directrices sur le consentement, la gestion des plaintes et les déclarations de traitements. Le PDPC a également lancé un système numérique pour l'enregistrement des DPOs, des autorisations pour les transferts transfrontaliers de données et un système de rectification des données personnelles. Après sa création, la Commission a publié un avis sur le début de l'enregistrement des traitements des entités publiques et privées. La période d'inscription durera six mois, à compter de la date de publication de l'avis le 10 avril 2024.
- Le comité de rédaction de la directive générale d'application et de mise en œuvre de la loi nigériane sur la protection des données, constitué l'année dernière pour élaborer un cadre de mise en œuvre de la loi nigériane sur la protection des données, s'est réuni pour examiner le projet de document. Au cours de la réunion, le commissaire national du NDPC a indiqué que le projet de document serait bientôt publié pour recueillir la contribution et les avis des parties prenantes.
- L'Autorité de Protection des Données Personnelles (APDP) de la République du Bénin a tenu sa première session extraordinaire pour 2024. Au cours de la session, les commissaires de l'APDP ont examiné les propositions de réglementation en matière de protection des données personnelles. L'Autorité a également examiné les demandes d'autorisation pour le transfert transfrontalier de données et d'autres activités de traitement.
- L’autorité de protection des données et de la vie privée (DPPO) du Rwanda a publié un Guide sur les dispositions contractuelles pour le traitement des données personnelles, qui précise les cas dans lesquels un accord de traitement des données (DPA) est requis et les dispositions obligatoires d'un DPA. Le DPPO a également publié des clauses contractuelles types (CCT) pour le transfert de données personnelles en dehors du Rwanda, ce qui en fait le premier pays africain à publier des CCT. En outre, le DPPO a publié un guide de dépôt de plainte pour aider les personnes concernées à déposer une plainte auprès de l’autorité.
- La Commission de protection des données personnelles (CDP) du Sénégal a publié son premier rapport trimestrielle de l’année 2024, qui détaille ses activités durant cette période. Selon le rapport, l’autorité a procédé à la délivrance de décisions d'autorisation de traitement, au traitement des plaintes et à l'envoi d'une mise en demeure et d'un avertissement à deux organisations pour non-respect de la loi sénégalaise sur la protection des données.
Contrôles, sanctions et mises en demeure
- L'autorité de protection des données de la Côte d'Ivoire (ARTCI) a adressé une mise en demeure et un avertissement au ministère de l'Enseignement technique, de la Formation professionnelle et de l'apprentissage et au groupe Kaydan pour non-respect de la loi sur la protection des données personnelles. La mise en demeure oblige les deux entités à remédier aux manquements dans un délai de 60 jours et à désigner un délégué à la protection des données (DPO) dans les 07 jours suivant la réception de la mise en demeure. Le non-respect de cette mise en demeure pourrait entraîner des mesures coercitives à leur encontre.
- Le régulateur sud-africain de l’information (IR) a organisé une conférence de presse pour partager les actualités sur ses différentes activités au cours de l’année 2023/2024. L'IR a pris note de l'avis d'exécution contre l'agence d'évaluation du crédit Transunion pour non-conformité et des audit de conformité par Dischem et le service de police sud-africain (SAPS) à la suite des avis d'exécution émis l'année dernière. L'IR a également annoncé de nouvelles enquêtes pour non-respect de la loi sur la protection des données personnelles.
- Au Nigéria, L’autorité de protection des données (NDPC) a ouvert une enquête sur une violation de données signalée à la Commission nationale de gestion de l'identité (NIMC), résultant d'un accès non autorisé à la base de données NIMC par une entreprise privée. Bien que le NIMC ait annoncé que ses données n'avaient pas été violées, l'enquête sur l'incident est en cours.
- Le commissaire à la protection des données du Kenya a révélé le lancement d'une enquête approfondie visant plus de 1 000 organismes, notamment des banques en ligne, des hôpitaux, des entreprises de télécommunications et des établissements d'enseignement, pour de potentielles violations de la loi sur la protection de la vie privée.
Coopération & Partenariat
- L'Union africaine (UA) a rencontré les parties prenantes de l'Organisation de coopération et de développement économiques (OCDE) au siège de l'OCDE à Paris du 5 au 6 mars 2024, dans le cadre du dialogue OCDE-Union africaine (UA) sur l'intelligence artificielle (IA) pour explorer les voies et moyens par lesquels les deux institutions pourraient travailler ensemble sur l’intelligence artificielle pour, notamment, autonomiser les femmes, mettre en œuvre les principes de l’OCDE et concevoir des stratégies nationales en matière d’IA.
- Le ministère américain du Commerce et le ministère kényan de l'Information, des Communications et de l'Économie numérique ont publié une déclaration commune sur l'exploitation de l'IA, la facilitation du flux de données transfrontalier et l'amélioration des compétences numériques entre les parties. Les parties expriment leur engagement en faveur des progrès de l’IA et des flux de données transfrontaliers à travers les règles mondiales de confidentialité transfrontalières (CBPR).
Gouvernance de l’intelligence artificielle (IA)
- Le Département des communications et des technologies numériques (DCDT) a collaboré avec Microsoft et l'Institut d'intelligence artificielle d'Afrique du Sud pour organiser le Sommet national sur l'IA, qui a présenté et guidé les discussions concernant le projet de plan de gouvernance national d'IA pour l'Afrique du Sud. De même, GIZ Fair Forward a lancé le cadre d’évaluation de la maturité de l’IA en Afrique du Sud pour examiner et développer une stratégie et une politique en matière d’IA.
- Le Bureau kenyan des normes (KEBS) a organisé un webinaire au cours duquel il a mené une discussion sur le processus d'élaboration du projet de code de bonnes pratiques en matière d'IA. Le projet de code de bonnes pratiques vise à aider les organisations à développer et à utiliser des systèmes d’IA de manière responsable. Il a été publié et est ouvert aux commentaires et avis du public jusqu’au 13 juin 2024.
- L'Autorité de protection des données de Côte d'Ivoire (ARTCI) a invité les parties prenantes à participer à une série d'enquêtes sur les défis de l'IA et du métaverse. Les enquêtes visaient à évaluer les effets de ces technologies sur l’économie numérique et à promouvoir l’adoption inclusive, éthique et responsable de l’IA et du métaverse. L'année dernière, l’autorité a lancé une consultation publique sollicitant les contributions du public pour comprendre ces technologies émergentes.
- À la suite de la conclusion de l’atelier national sur l’intelligence artificielle, qui a rassemblé plus de 120 experts en IA pour co-créer une stratégie d’IA pour le Nigeria, le ministre des Communications, de l’Innovation et de l’Économie numérique a annoncé la conclusion d’une première ébauche de stratégie d’IA du Nigeria.
- Dans le cadre des efforts de l’Union Africaine pour élaborer une stratégie continentale en matière d’IA, une série de consultations publiques avec les parties prenantes ont eu lieu du 19 au 25 avril 2024, afin de faciliter un large engagement et une contribution à la stratégie.
Conclusion
Les deux derniers mois ont vu une intensification des efforts de réglementation de l’IA sur tout le continent, notamment au Kenya, au Nigeria, en Afrique du Sud et au niveau continental, alors que l’UA concluait des consultations en vue d’élaborer le projet de stratégie continentale en matière d’IA.
Les autorités de protection des données ont également observé une surveillance réglementaire accrue vis-à-vis des traitements de données réalisés par différents acteurs économiques. Dans les mois à venir, nous prévoyons des mises à jour sur la loi éthiopienne sur la protection des données, la mise en œuvre de la directive du Nigeria, les résultats des enquêtes au Kenya, au Nigeria et en Afrique du Sud, ainsi que la conclusion des discussions sur la stratégie et le plan d’IA du Kenya, du Nigeria et de l’Afrique du Sud.