Introduction

Le paysage africain de la protection des données a connu des avancées remarquables en 2024. En décembre 2024, 40 pays ont adopté des lois sur la protection des données, et de nouvelles autorités de protection des données (DPAs) ont été créées ou désignées dans certains pays. En ce début d’année 2025, cette dynamique se poursuit avec de nombreux pays qui renforcent leurs efforts en matière de gouvernance de l’IA aux niveaux national et régional.

Voici les quelques actualités  notables des deux premiers mois de l’année 2025 :

Actualités réglementaires   

• Botswana : La loi sur la protection des données de 2024 est officiellement entrée en vigueur le 14 janvier 2025. Cette loi abroge et modifie celle de 2021, en élargissant les obligations des responsables de traitement et des sous-traitants opérant au Botswana ou ciblant et surveillant des individus dans le pays.

• Malawi : Le 28 janvier 2025, l’Autorité de Régulation des Communications du Malawi (MACRA) a été officiellement désignée en qualité d’Autorité de Protection des Données du pays, marquant le début d’une nouvelle ère d’application de la loi.
• Par ailleurs, le 7 février 2025, l’Autorité de Régulation des Communications du Malawi (MACRA) a officiellement lancé l'Initiative de Protection des Enfants en Ligne, qui vise à sensibiliser aux risques et aux défis auxquels les enfants sont confrontés dans le monde numérique et à promouvoir des pratiques sur Internet plus sûres pour les jeunes. Lors du lancement, le ministre a mentionné que le ministère élabore dores et déjà des réglementations visant à garantir la protection des enfants contre le cyberharcèlement et l'exploitation en ligne.

• Union africaine : Le 16 février 2025, l’Assemblée des chefs d’État et de gouvernement a adopté les huit annexes au protocole sur le commerce numérique de la Zone de libre-échange continentale africaine (ZLECAf), établissant un cadre clair pour le commerce numérique en Afrique. Ce nouveau tournant ouvre ainsi le protocole à la ratification par les États membres.

• Tchad : L’Agence nationale pour la sécurité des systèmes d’information et la certification électronique (ANSICE) a participé à la 22ᵉ réunion du Groupe de travail du Conseil de l'UIT sur la protection en ligne des enfants à Genève en février. cette rencontre fut l’occasion d’avoir des échanges stratégiques en vue de la définition d’une stratégie nationale de protection des enfants en ligne.

• Zimbabwe : L’Autorité de régulation des télécommunications (POTRAZ) a publié des directives sur la licence des responsables de traitement des données, clarifiant les exigences pour se conformer à la loi sur la cybersécurité  et la protection des données.

• Ouganda : Le 20 février 2025, l’Office de protection des données personnelles (PDPO), en partenariat avec les acteurs du secteur financier  (FSD), a lancé une boîte à outils pour aider les organisations à se conformer à la loi sur la protection des données et la vie privée. Cet outil de renforcement de capacité propose des modèles et guides d’évaluation des pratiques de l’organisation en la matière.

• Afrique du Sud: L'Information Regulator (IR) a rejoint 10 autres autorités de protection des données à travers le monde en signant une déclaration conjointe sur une approche internationale commune de la vérification de l'âge en ligne. Notons que de plus en plus de pays s’orientent vers l’élaboration d’un cadre de protection des enfants, comme on l’observe au Ghana, au Nigeria et en Tanzanie.

• Le 10 janvier 2025, le Rwanda a officialisé son adhésion à la Convention de Budapest sur la cybercriminalité et à son protocole additionnel, devenant ainsi le 78ᵉ pays à rejoindre la Convention.

Cette adhésion fait suite aux réformes initiées par le ministère rwandais des TIC, avec le soutien du projet GLACY-e du Conseil de l’Europe, afin d’aligner les lois nationales sur les normes internationales. Avec cette adhésion, le Rwanda rejoint d’autres pays africains tels que l’île Maurice, le Maroc, le Sénégal, l’Afrique du Sud et la Tunisie, qui ont déjà ratifié la Convention.

 Contrôles, sanctions et mises en demeure 

• Kenya : La Cour des Prud’hommes a statué que l'utilisation d’informations provenant d’un appareil professionnel dans le cadre d’une procédure disciplinaire ne constituait pas une violation de la vie privée des employés. De même, une Haute Cour kényane a rejeté une requête contestant l'utilisation de l'image d'une personne concernée sans son consentement, estimant que celle-ci aurait dû préalablement épuiser toutes les voies de recours disponibles, y compris déposer une plainte auprès de l'autorité de protection des données (DPA), avant de saisir la cour.

Par ailleurs, le Bureau du Commissaire à la Protection des Données du Kenya (ODPC) a infligé une amende et un avis d’exécution à une entreprise pour avoir conservé les données personnelles d'une personne concernée à des fins de marketing, malgré sa demande d'effacement. La même autorité a également infligé une mise en demeure à une entreprise ayant collecté les données personnelles pour des finalités non autorisées.

• Ouganda : le ministère de l'Éducation a interdit la diffusion publique des résultats d'examens et des photos des élèves, invoquant des violations des lois sur la protection des données et de la vie privée ainsi que leurs impacts négatifs pour les personnes concernées.

En collaboration avec le Bureau de la Protection des Données et de la Vie Privée, le ministère a désormais demandé aux écoles et aux organismes d'examen de mettre en place des moyens privés et sécurisés pour communiquer les résultats, tout en garantissant le respect de la loi sur la protection des données et de la vie privée.

• Par une approche différente sur le même sujet de la diffusion publique de résultats scolaires, la justice sud-africaine a jugé qu’une telle  publication, dans un contexte spécifique, ne constituait pas une violation de la vie privée, bien que l'Information Regulator  ait exprimé une opinion contraire quant à l'impact sur la vie privée des étudiants concernés.

• Afrique du Sud: l’autorité de protection des données (IR) a annoncé le début d’investigations sur une potentielle violation des données impliquant la vente non autorisée de corrections d'examens déroulés en 2024. Les conclusions de cette enquête sont attendues prochainement.

Gouvernance de l'IA  

• Kenya : Le ministère de l'Information, des Communications et de l'Économie numérique (MoICT) a publié le projet de Stratégie nationale sur l'intelligence artificielle (IA) en vue d’une consultation publique. Cette stratégie vise à établir un cadre pour le développement et le déploiement responsables de l'IA au Kenya. Entre autres, elle propose la mise en place d'un cadre de gouvernance des données pour guider le partage responsable des données dans le développement de l'IA, ainsi que l'élaboration d'un cadre politique pour l'IA et les technologies émergentes, en veillant à ce que les systèmes d'IA soient conformes aux valeurs nationales du Kenya et aux normes d’éthique mondiales. La version finale de la stratégie est attendue dans les mois à venir.

De même, le Kenya a lancé en février 2025 ses lignes directrices sur l'IA, appelant les parties prenantes à mettre en œuvre des principes éthiques dans le développement et le déploiement de l'intelligence artificielle.

• La Zambie a officiellement publié sa Stratégie nationale sur l'IA pour la période 2024-2027, qui avait été lancée en octobre 2024. Cette stratégie s’aligne sur le 8ᵉ Plan national de développement de la Zambie et met l’accent sur des principes tels que l’IA éthique et responsable, la protection et la sécurité des données, ainsi que la gouvernance, entre autres aspects.

• Égypte : le Conseil national pour l'IA a publié la deuxième édition de la Stratégie nationale sur l'intelligence artificielle 2025-2030, qui s'appuie sur l'initiative de la première stratégie nationale en matière d'IA. Cette nouvelle édition est  axée sur six piliers, dont la gouvernance et les données, et propose notamment l’élaboration d’une loi sur l’IA, la mise en place d’un cadre de gouvernance des données et d’un cadre de sécurité des données, la publication d’un guide détaillé pour la charte égyptienne sur l’éthique et l’IA responsable, ainsi que la création d’un centre dédié à l’IA responsable. Par ailleurs, l'Égypte a lancé le Code d’éthique pour l'utilisation et le développement de l’IA, qui définit le cadre national égyptien pour un développement et un déploiement éthiques de l'intelligence artificielle.

• Sommet sur l’IA en France : Du 10 au 11 février 2025, plusieurs pays africains ont participé au Sommet sur l’Action pour l’IA en France, où plusieurs résolutions ont été adoptées. Lors du sommet, certains pays africains ont signé la Déclaration sur une IA inclusive et durable pour les populations et la planète. Pour faire avancer les priorités de cette déclaration, les membres fondateurs, dont le Kenya, le Nigeria et le Maroc, ont lancé une Plateforme et un Incubateur pour une IA d'intérêt public. Ils ont également signé la Charte de Paris pour l'intérêt général de l'IA et soutenu le lancement du partenariat pour une IA au service du bien public, tandis que le Kenya et le Maroc ont appuyé la création de la Coalition pour une IA écologiquement durable.

Par ailleurs, le Sénégal et le Togo ont pris part à la Coalition mondiale pour la protection des enfants à l’ère de l’IA, initiée lors du Forum de Paris sur la Paix.

• Le ministre des Postes, des Télécommunications et de l’Économie numérique du Congo a rencontré le Chief Digital Officer du Programme des Nations Unies pour le développement (PNUD) en vue d’approfondir les discussions sur l’élaboration d’une stratégie nationale pour l’IA, à la suite d’un premier échange sur ce besoin. Les discussions ont confirmé que les termes de référence de cette stratégie ont été validés avec l’appui du bureau du PNUD au Congo.

De même, le Zimbabwe a réaffirmé son engagement en faveur d’un développement éthique de l’IA, avec une directive de son gouvernement en faveur de la création d’une Stratégie nationale sur l’IA, qui sera élaborée à partir des travaux du workshop sur la méthodologie d’évaluation de la préparation à l’IA (RAM).

Enfin, au Cameroun, un cabinet d’avocats local a été sélectionné pour collaborer avec le Ministère des Postes et Télécommunications dans l’élaboration de la stratégie nationale sur l’IA du pays.

• Smart Africa, une alliance de 40 pays africains, a lancé le Conseil Africain de l’IA, qui vise à positionner l’Afrique comme un acteur clé de l’économie mondiale de l’intelligence artificielle. Ce Conseil, qui sera composé de 15 membres, a pour objectif d’élaborer des politiques, de stimuler l’innovation et de créer un environnement favorable à la croissance portée par l’IA. Le Conseil sera officiellement présenté en avril et soumettra son plan stratégique annuel en juillet 2025.

• Au Maroc, la Chambre des représentants examine le projet de loi introduit l’année dernière par le groupe d’opposition Haraki visant à réguler l’IA. Composé de 17 articles, ce projet de loi propose un cadre réglementaire complet pour l’intelligence artificielle au Maroc, avec pour objectif de trouver un équilibre entre les risques et les bénéfices liés à l’IA.

Coopération & Partenariat

• Du 18 au 19 février 2025, certains pays africains ont participé à la seconde réunion des Chefs des autorités de protection des données de l’Organisation de la Coopération Islamique (OCI) au Maroc. À cette occasion, le Président de la Commission nationale de la protection des données personnelles (CNDP) du Maroc a été nommé Président du Réseau islamique des autorités de protection des données personnelles (RIAPDP).

Conclusion

Dans les prochains mois, nous nous attendons à des avancées sur la protection en ligne des enfants, la publication de la Stratégie nationale sur l’IA du Kenya, des mises à jour sur les enquêtes en Afrique du Sud, et des progrès sur la gouvernance de l’IA à travers le continent. Nous prévoyons également une participation accrue des pays africains aux forums et évènementsinternationaux.