Introduction

‍

Au cours des deux derniers mois, des développements significatifs sont intervenus dans la réglementation et l'application de la protection des données à travers l'Afrique. La loi sur la protection des données du Malawi est entrée en vigueur, le projet de directive de mise en œuvre de la loi sur la protection des données du Nigeria a été publié, et l'Afrique du Sud a publié sa note d'orientation sur le traitement des données personnelles des électeurs. En ce qui concerne l'IA, la stratégie continentale de l'Union africaine pour l'IA a été approuvée, le Cameroun et la Tanzanie sont en train de rédiger leurs stratégies nationales pour l'IA, et un projet de loi visant à réguler l'IA a été soumis au parlement marocain.

Actualités réglementaires 

• La loi sur la protection des données du Malawi est officiellement entrée en vigueur le 3 juin 2024. La loi vise à réguler le traitement des données personnelles par les responsables du traitement et les sous-traitants basés au Malawi, traitant des données au Malawi, ou ciblant des individus au Malawi pour des activités ou offres de service  en ligne, quel que soit l'emplacement. La loi a désigné l'Autorité de Régulation des Communications du Malawi (MACRA) comme autorité de protection des données. La loi prévoit l'enregistrement des responsables du traitement et des sous-traitants d'une importance significative, les droits des personnes concernées, les principes de traitement, la notification des violations de données, les mesures de sécurisation des données, les bases légales pour le traitement des données sensibles, et l'obligation de soumettre un rapport d’analyse d'impact sur la protection des données à la MACRA avant le traitement. La MACRA a également publié un Manuel sur la Protection des Données Personnelles, qui explique en détail les obligations de conformité des acteurs en vertu de la loi.

• Au Kenya, le secrétaire du Cabinet du ministère de l'Information, des Communications et de l'Économie Numérique, a révélé que le Kenya a entamé des discussions avec l'Union Européenne (UE) et les Émirats Arabes Unis (EAU) en vue d’une décision d'adéquation visant à faciliter le libre flux des données entre les pays.

• La Commission nigériane de protection des données (NDPC) a publié la Directive de Mise en Œuvre et d'application de la loi sur la protection des données du Nigeria (GAID). La GAID a introduit de nouvelles obligations, telles que la réalisation d'audits de protection des données semestriels, l'élargissement du champ d'application de la loi, et l’expansion de la portée des évaluations d'impact sur la protection des données (DPIA), entre autres. Suite à la publication, la NPDC a organisé un atelier de validation pour recueillir les contributions des parties prenantes sur le projet.

• L'Union Africaine (UA) a publié sa politique de sécurité et d'autonomisation en ligne des enfants (COS), qui vise à mettre en œuvre les droits existants des enfants dans l'environnement numérique et à minimiser les risques liés à l'utilisation des TIC pour exploiter leurs avantages. La politique fournit un cadre pour les décideurs nationaux et les régulateurs à travers l'Afrique afin de garantir que les fournisseurs de TIC respectent les droits des enfants et équipent les parties prenantes des compétences  et connaissances nécessaires à assurer la sécurité des enfants en ligne.

• L'Autorité de Régulation de l'Information (IR) en Afrique du Sud a publié une note d'orientation sur le traitement des informations personnelles des électeurs et la lutte contre la désinformation pendant les élections. La note d'orientation vise à guider les partis politiques et les candidats indépendants sur la portée, l'applicabilité et les mesures de conformité à la loi sur la protection des informations personnelles de l’Afrique du Sud  (POPIA) et à garantir le libre flux d'informations claires et transparentes pendant les élections.

• Le 1er mai 2024,l 'Autorité de Régulation de l'Information (IR) en Afrique du Sud (IR) a lancé un portail de services électroniques, qui fournit des outils et des ressources pour la conformité avec la loi sur la protection des informations personnelles (POPIA) et la loi sur la promotion de l'accès à l'information (PAIA). Le portail peut être utilisé pour vérifier le statut de conformité, enregistrer des agents d'information, signaler des incidents de sécurité, et soumettre des rapports annuels d'évaluation de conformité.

• Le 22 mai 2024, l'Agence Nationale de la Cybersécurité du Togo (ANCY) a annoncé la publication de sa Stratégie Nationale de Cybersécurité à horizon  2024-2028, qui détaille les objectifs, priorités et actions du Togo pour renforcer la sécurité numérique et faire du pays un leader régional en cybersécurité.

Contrôles, sanctions et mises en demeure 

• L'Autorité de Protection des Données de Côte d'Ivoire (ARTCI) a mis en garde les certaines entités contre le traitement disproportionné des données biométriques des employés pour le contrôle de l’assiduité en violation de la loi sur la protection des données. De même, la Commission de Protection des Données Personnelles en Tanzanie a également émis un avertissement à toutes les organisations utilisant des systèmes de surveillance sur leurs locaux pour assurer la conformité avec les lois et règlements sur la protection des données.

• La Haute Cour Fédérale du Nigeria (FHC) a confirmé la réglementation de la Banque Centrale du Nigeria (CBN) exigeant que les institutions financières collectent les identifiants de réseaux sociaux de leurs clients dans le cadre de leurs obligations de connaissance du client (KYC), notant que les identifiants de réseaux sociaux sont publics et que la réglementation ne viole pas le droit à la vie privée. Dans une autre affaire, la FHC a statué que l'utilisation des données personnelles d'un client pour ouvrir un compte bancaire sans son  consentement constitue une violation du droit du client en tant que personne concernée et a accordé 7,5 millions de nairas en dommages et intérêts.

• Le Conseil des Ministres de la République du Bénin a adopté un projet de décret établissant des frais pour toutes les formalités déclaratives soumises à l'Autorité de Protection des Données Personnelles (APDP). Par conséquent, toutes les entités seront tenues de payer lesdits frais pour toutes les déclarations de traitement, les demandes de certification et les approbations soumises à l'APDP.

• Au Kenya, le Bureau du Commissaire à la Protection des Données (ODPC) a statué qu'une plainte pour violation des droits de la personne concernée ne sera pas acceptée si la personne concernée n'a pas exercé ce droit directement auprès du responsable du traitement avant de déposer une plainte auprès de l'ODPC et que les employeurs doivent obtenir un consentement supplémentaire des anciens employés avant de traiter leurs données après la cessation du contrat de travail les ayant liés.

• La Haute Cour du Kenya a ordonné une révision de la décision de l'ODPC, citant la non-conformité avec la loi sur la protection des données. L'ODPC n'a pas fourni la période statutaire de 21 jours pour que le demandeur réponde à une plainte, ce qui a conduit à un jugement à son encontre.

• La Commission de Protection des Données Personnelles du Sénégal (CDP) a annoncé qu'elle n'avait pas autorisé le site “Sama Casier Judiciaire”, un site web qui prétend faciliter le dépôt et le retrait des casiers judiciaires en 48 heures. La CDP a noté qu'elle attend toujours des documents supplémentaires de la part des opérateurs du site pour garantir la conformité avec la loi sur la protection des données.

• La Haute Cour de Tanzanie a jugé que certaines dispositions de la loi sur la protection des données sont vagues et problématiques, en particulier les sections qui prévoient des « moyens illégaux » et ceux encadrant le consentement dans le traitement des données. Le tribunal a ordonné que les sections soient revues et réécrites dans un délai d'un an ; sinon, les dispositions seront supprimées de la loi.

Coopération & Partenariat

• Le 6 juin 2024, les États membres de l'Organisation de la Coopération Islamique (OCI), comprenant les autorités de protection des données de l'Algérie, du Mali, et du Maroc entre autres, se sont réunis pour discuter de la coopération en matière de protection des données dans leurs États respectifs par le partage de connaissances et d'expertise technique dans le domaine de la protection des données.

• Le 25 juin 2024, les autorités de protection des données de l'Angola, du Brésil, du Cap-Vert, du Portugal et de Sao Tomé-et-Principe ont signé la Déclaration de Lisbonne pour renforcer la coopération et établir le Réseau Lusophone de Protection des Données (RLPD). La déclaration vise à renforcer la capacité des parties prenantes  à protéger les intérêts, droits et libertés des citoyens.

• Le 19 juin 2024, les autorités de protection des données de l'Eswatini et de l'Afrique du Sud ont signé un protocole d'accord (MoU) sur la protection des données. Le protocole d’accord vise à renforcer la régulation et la protection des données personnelles au-delà des frontières respectives et à établir un cadre commun pour le partage d'informations et la collaboration dans les domaines d'intérêt mutuel.

• La neuvième Assemblée Générale Annuelle (AGM) et le cycle de conférences de deux jours, du Réseau des Autorités Africaines de Protection des Données (NADPA-RAPDP) s'est tenue au Kenya en mai 2024. L'événement a offert aux autorités africaines de protection des données et aux parties prenantes une plateforme et un espace d’échange pour formuler des stratégies pouvant favoriser la promotion d’une gouvernance régionale des données et de la transformation digitale. l’autorité nigériane de protection des données (NDPC) a été désignée pour accueillir la 10e édition prévue en 2025. 

‍Gouvernance de l’IA 

• Les ministres africains des TIC et des communications ont adopté la Stratégie continentale de l'intelligence artificielle (IA) et le Pacte numérique africain pour accélérer la transformation numérique de l'Afrique, en phase avec la Stratégie de transformation numérique de l'Union africaine (2020-2030) et l'Agenda 2063. La stratégie fournit une feuille de route pour que les pays africains exploitent les avantages de l'IA pour le développement durable dans de multiples secteurs. Le pacte représente l'engagement de l'Afrique envers la transformation numérique en tant que catalyseur de progrès inclusif et de développement durable. Les deux documents seront soumis au Conseil exécutif de l'Union africaine en juillet 2024 pour examen et adoption. Par ailleurs, plus tôt cette année, l'Agence de développement de l'Union africaine (AUDA-NEPAD) a également dévoilé un livre blanc et une feuille de route vers une stratégie globale de l'IA pour le continent afin de favoriser la régulation et l'adoption responsable de l'IA à travers l'Afrique.

• Le ministère des Postes et Télécommunications du Cameroun a organisé la première consultation nationale sur l'intelligence artificielle pour engager les parties prenantes dans la stratégie nationale d'IA du pays. 
• De même, le ministère de l'Information, de la Communication et de la Technologie de l'information de Tanzanie élabore une stratégie nationale d'IA et des lignes directrices pour s'assurer que l'IA est correctement exploitée pour la croissance du pays et pour maximiser les bénéfices qui pourraient être procuré par l’usage de par l'IA. 
• Au Maroc, un groupe d'opposition parlementaire a soumis un projet de loi pour réguler l'IA et traiter de ses aspects négatifs et utilisations illégales. Le projet de loi propose la création d'une Agence nationale pour l'intelligence artificielle et la mise à jour d'une stratégie nationale d'IA en ligne avec les développements mondiaux dans le domaine. 
• En parallèle, il est mis en place un plaidoyer en Afrique du Sud pour la régulation de l'IA, et des plans sont en cours pour former un Conseil consultatif d'experts en IA afin de guider la formulation et l'exécution des politiques liées à l'IA. 
• Le Kenya a organisé un atelier avec les parties prenantes en mai sur le développement de sa Stratégie nationale pour l'IA et les technologies émergentes.

• L'AUDA-NEPAD a publié un livre blanc sur l'IA et l'avenir du travail en Afrique, développé en collaboration avec divers intervenants à travers l'Afrique. Le livre blanc analyse des domaines clés tels que l'impact de l'IA sur la macroéconomie, l'emploi, les compétences et le travail, les perspectives des travailleurs africains sur l'IA générative, et les outils et plateformes d'IA centrés sur l'Afrique.

• Le forum sous-régional de l'Afrique de l'Est sur l'IA, qui s'est tenu du 23 au 24 juin 2024, a abordé les défis et les opportunités de l'IA, en lançant le rapport d'évaluation de l'état de préparation du Kenya en matière d'IA comme plan directeur pour le développement régional. Le forum s'est terminé par l'adoption de la Déclaration de Nairobi sur l'IA et les technologies émergentes en Afrique de l'Est, qui comprend des recommandations pour développer les connaissances, faciliter les dialogues politiques, renforcer les capacités et étendre les infrastructures destinées à l’usage de l’IA. Cela marque une étape significative vers l'exploitation de l'IA pour un développement durable en Afrique de l'Est.

Conclusion

Dans les mois à venir, nous nous attendons à ce que la Tanzanie entame la révision de sa loi sur la protection des données, à davantage d’injonctions de respect des droits des personnes concernées, à une augmentation des partenariats entre les pays et enfin nous espérons l’avancée des travaux  sur la décision d'adéquation entre le Kenya et l'UE. Nous attendons également avec impatience l'adoption de la Stratégie continentale de l'IA et du Pacte numérique de l'UA, ainsi que des mises à jour sur les stratégies nationales d'IA au Nigeria et en Tanzanie. Le résultat des travaux séparés de l'AUDA-NEPAD vers le développement d'une stratégie globale de l'IA pour le continent est également attendu.

‍