Introduction

Au cours des deux derniers mois, plusieurs pays africains ont réalisé des avancées significatives en matière de gouvernance de l'intelligence artificielle (IA) et de réglementation de la protection des données. La Mauritanie a publié sa Stratégie nationale sur l'IA, tandis que le Nigeria et l'Afrique du Sud ont publié leurs projets de Stratégie nationale sur l'IA et de gouvernance, et à l'Union africaine d’adopter la Stratégie continentale africaine sur l'IA. L'Éthiopie a promulgué sa loi sur la protection des données, qui est entrée en vigueur, et le Parlement du Botswana a commencé à débattre de son projet de loi sur la protection des données. 

Voici les actualités  notables à travers le continent :

Actualités réglementaires   

• La loi éthiopienne sur la protection des données est officiellement entrée en vigueur après sa publication dans le Federal Negarit Gazette,  le 24 juillet 2024. La loi désigne l'Autorité éthiopienne de régulation des communications comme autorité de contrôle, prévoit une application extraterritoriale, exige l'hébergement local des données et interdit le transfert de données personnelles sensibles en dehors de l'Éthiopie sans autorisation préalable. Elle prévoit également quelques obligations à la charge des responsables de traitement, notamment l'enregistrement auprès de l’autorité, la nomination d'un Délégué à la protection des données (DPD), la réalisation d'évaluations d'impact sur la protection des données (EIPD) et la tenue d'un registre des activités de traitement, entre autres.  

• Le 26 juillet 2024, le Botswana a publié son projet de loi sur la protection des données, qui vise à abroger la loi existante qui devait entrer en vigueur en octobre 2024. Ce projet de loi, qui est au stade de relecture en comité au parlement botswanais, propose des amendements importants, notamment en clarifiant l'indépendance et les pouvoirs de la Commission de l'information et de la protection des données, en étendant l'application extraterritoriale de la loi, en accordant des droits supplémentaires aux personnes concernées et en exigeant la nomination d'un représentant dans le pays si le responsable de traitement est établi à l'extérieur du Botswana, entre autres modifications majeures.  

• L'Autorité de Protection des Données Personnelles (APDP) du Bénin a publié une décision concernant la certification des Délégués à la Protection des Données (DPD) par l'autorité. La décision exige que les DPD possèdent des compétences spécialisées en protection des données et une formation en technologies de l'information. Elle précise également la documentation requise pour la certification des DPD. Après avoir passé un examen de certification préparé par l'APDP, les candidats recevront un certificat, renouvelable tous les deux ans. 
• Le 29 juillet 2024, la Côte d'Ivoire a finalisé son adhésion à la Convention de Budapest sur la cybercriminalité, concluant un processus commencé le 30 juin 2022. La Convention de Budapest vise à renforcer la coopération internationale et l'assistance mutuelle dans les enquêtes, l'accès et la conservation des données. En vertu de la convention, les États membres doivent établir un point de contact national pour faciliter les conseils techniques, la conservation des données, la collecte de preuves et coordonner leurs actions avec d'autres services gouvernementaux dans la lutte contre la cybercriminalité.

 Contrôles, sanctions et mises en demeure 

• Les droits des personnes concernées restent une priorité dans la région. La Haute Cour de Tanzanie a confirmé la décision d'un tribunal de première instance et accordé une compensation à une personne concernée pour la publication non autorisée de ses images à des fins commerciales.
• L'Office du Commissaire à la protection des données du Kenya (ODPC) a infligé plusieurs sanctions suite à des violations constatées des dispositions en matière de protection des données: 

1. Elle a prononcé une amende à l’encontre d' une entreprise de transport (BOLT) pour avoir enfreint les droits d'accès et de rectification du plaignant en vertu de la loi sur la protection des données, ainsi que pour avoir manqué à ses obligations en tant que responsable du traitement. 
2. Dans une autre plainte, l'ODPC a accordé une compensation à une personne dont la photographie a été utilisée à des fins commerciales sans consentement explicite. 
3. L'ODPC a refusé une demande de compensation concernant l'utilisation d'une image d'un mineur flouté, estimant que la vie privée n'avait pas été violée. 
4. De plus, une pharmacie a été sanctionnée pour divulgation non autorisée d'un diagnostic médical à une personne non qualifiée médicalement, violant les dispositions de la loi qui exigent que les données médicales soient traitées uniquement par le personnel de santé lié au secret professionnel. 
5. Enfin, l'ODPC a infligé une amende à une société de prêt et a recommandé la poursuite de ses directeurs pour obstruction à l'enquête programmée de l'ODPC, en procédant à la fermeture de l'établissement le jour du contrôle;  ce qui constitue une obstruction à la justice.  

• En Angola, l'autorité de protection des données a infligé une amende d'environ 110 000 USD à deux organisations pour ne pas avoir mis en place des mesures techniques et organisationnelles appropriées afin de protéger les données personnelles des clients et des employés contre les cyberattaques.  
• Dans une affaire contestant la compétence d'un tribunal écossais pour statuer sur des questions d'emploi concernant des employés kenyans, le tribunal des relations du travail du Kenya a statué que la divulgation des données médicales des employés kenyans devant un tribunal étranger constitue un transfert international de données sensibles, nécessitant l'autorisation préalable de l'ODPC et la preuve de mesures appropriées pour garantir la sécurité des données.  

• La Commission nigériane de protection des données (NDPC) a infligé une amende de 555.800.000 millions de Nairas  à une banque commerciale pour avoir traité des données via des cookies et une application mobile en violation du Règlement nigérian de protection des données (NDPR) et de la loi nigériane sur la protection des données (NDPA). Toutefois, la banque a contesté l'allégation de non-conformité, soulignant que son enquête interne contredit les conclusions de la NDPC et qu'elle a pris les mesures nécessaires pour répondre aux préoccupations de la Commission.

Coopération & Partenariat  

• Le ministère nigérian des Communications, de l'Innovation et de l'Économie numérique et le département du Commerce des États-Unis ont publié une déclaration conjointe sur l'utilisation de l'IA, la facilitation des flux de données et l'amélioration des compétences numériques. Le partenariat se concentre sur trois domaines principaux : la protection des données, les transferts transfrontaliers de données et le développement de compétences numériques. Concernant la protection des données, les parties entendent collaborer avec la Commission nigériane de protection des données (NDPC) pour promouvoir les meilleures pratiques et faciliter les transferts transfrontaliers de données. Les parties travaillent également ensemble à l'élaboration de politiques de gouvernance de l'IA.  

• Le 17 juillet 2024, une délégation de l'Autorité béninoise de protection des données personnelles (APDP) a rendu visite à la Commission nationale marocaine de la protection des données personnelles (CNDP) pour un partage d’expériences et d’expertises, examiner leur accord antérieur de 2022 et envisager des domaines de collaboration futur.  

• Le 22 août 2024, une délégation de l'Autorité somalienne de protection des données a rencontré des représentants de l’Autorité turque de protection des données (le KVKK) pour discuter d'une possible collaboration entre les deux autorités. Cette rencontre a permis de discuter des bases de la protection des données, de partager les meilleures pratiques et d'explorer les domaines potentiels de collaboration entre les deux autorités. L'autorité somalienne a également conclu un partenariat avec une organisation privée pour renforcer les compétences de son personnel.

Gouvernance de l'IA  

• Le Département des communications et des technologies numériques de l'Afrique du Sud a publié le projet de Cadre politique national sur l'IA, qui jette les bases de l'élaboration d'une politique nationale de l'IA pour le pays. Le cadre vise à guider le développement responsable et éthique, le déploiement et l'utilisation de l'IA dans tous les secteurs pour stimuler la croissance économique.  
• La Mauritanie a publié sa Stratégie nationale sur l'IA 2025-2029. La stratégie vise à positionner le pays en mettant l'accent sur des priorités clés telles que le développement des ressources humaines, la promotion de la recherche et de l'innovation, la coopération régionale et internationale, la gouvernance des données, le développement des infrastructures techniques pertinentes et la promotion de l'utilisation éthique de la technologie grâce à des politiques conformes à la protection des données et à la propriété intellectuelle.  

• Le ministre zambien de la Technologie et des Sciences a annoncé que la Stratégie nationale sur l'IA sera publiée le 24 octobre 2024, jour de commémoration de l'accession à l'indépendance du pays. Le gouvernement zambien a élaboré cette stratégie en collaboration avec le gouvernement finlandais et l'Institut Tony Blair, et elle devrait stimuler la croissance économique et l'efficacité dans tous les secteurs du pays. 
• Concomitamment, le Nigeria a publié la version provisoire de sa Stratégie nationale sur l'IA, développée en avril 2024 par des parties prenantes et des experts en IA. La stratégie se concentre sur cinq piliers clés : le développement des infrastructures, la création et le maintien d'un écosystème IA de classe mondiale, l'accélération de l'adoption de l'IA et la transformation des secteurs, l'élaboration d'un cadre de gouvernance de l'IA et la promotion du développement responsable et éthique de l'IA. Pour garantir un développement éthique, la stratégie propose notamment de créer une Commission nationale d'éthique de l'IA, de développer des principes éthiques et un cadre d'évaluation éthique de l'IA.  

• Au niveau continental, le Conseil exécutif de l'Union africaine a approuvé la Stratégie continentale sur l'IA et le Pacte numérique africain, publiés le 9 août 2024. La Stratégie continentale sur l'IA appelle à des approches nationales unifiées au sein des États membres de l'UA pour naviguer dans les complexités du changement induit par l'IA, visant à renforcer la coopération régionale et mondiale et à positionner l'Afrique comme leader du développement inclusif et responsable de l'IA. Le Pacte numérique vise à exploiter le pouvoir transformateur des technologies numériques pour favoriser le développement durable, encourager l'innovation et garantir l'inclusivité numérique à travers l'Afrique. Le pacte s'engage à construire une Afrique numériquement autonome où la technologie stimule la croissance économique, le bien-être social, ainsi qu'un avenir prospère pour tous.

Conclusion  

Dans les mois à venir, nous prévoyons des avancées sur le projet de loi sur la protection des données du Botswana, la publication de la stratégie IA de la Zambie, la finalisation du projet de stratégie IA du Nigeria et les progrès des développements de stratégies IA au Kenya et en Tanzanie. 

En outre, nous nous attendons à ce que les autorités de protection des données du Kenya, de l'Afrique du Sud, de l'Ouganda et du Nigeria renforcent leurs actions en faveur de l’application des lois et réglementations en matière de protection des données personnelles.

Nous anticipons également que les pays africains commenceront à mettre en œuvre la stratégie IA de l'Union africaine et que d'autres pays publieront leurs stratégies IA en suivant les recommandations de la stratégie pour les États membres.

‍