Newsletter

Revue bimestrielle sur la protection des données personnelles en Afrique (Novembre - décembre 2024)

Monday, January 20, 2025

Introduction


Alors que l'année touche à sa fin, plusieurs avancées notables ont été enregistrés dans le domaine de la protection des données et de la gouvernance de l'IA. Le Cameroun a adopté sa loi sur la protection des données, tandis que les parlements du Nigéria et de la Zambie examinent des projets de loi visant à modifier respectivement leurs lois sur la protection des données et la cybersécurité. En ce qui concerne la gouvernance de l'IA, la Côte d'Ivoire consulte les parties prenantes sur sa stratégie nationale en matière d'intelligence artificielle.

Actualités réglementaires

  • Le 23 décembre 2024, le Parlement camerounais a adopté le projet de loi sur la protection des données, devenant ainsi le 40e pays à disposer d’une législation en la matière. Cette loi vise à réguler le traitement des données personnelles et à protéger les droits des personnes concernées. Elle prévoit la création de l'Autorité de protection des données personnelles, qui supervisera sa mise en œuvre. Tous les responsables de traitement et les sous-traitants disposent d'un délai de 18 mois à compter de la date de publication pour se conformer à la loi.
  • Le 22 décembre 2024, les ministres de la Justice ont adopté huit projets annexes au Protocole sur le commerce numérique de la Zone de libre-échange continentale africaine (ZLECA) lors de la 10e session du Comité technique spécialisé (CTS) sur la justice et les affaires juridiques. Les annexes, dont celle sur le transfert transfrontalier de données, seront examinées en vue de leur adoption par les chefs d'État et de gouvernement lors du sommet de l'UA en février 2025.
  • Le 24 décembre 2024, le Secrétariat de la Communauté de l'Afrique de l'Est (CAE) a organisé un atelier régional pour les experts en données sur les flux de données transfrontaliers dans le cadre du Projet régional d'intégration numérique de l'Afrique de l'Est (EARDIP). Cet atelier a permis de discuter du développement d'un mécanisme régional d'échange de données transfrontalières qui s'aligne sur les meilleures pratiques internationales. Une décision a été prise de former un Groupe de travail technique (GTT) chargé d'élaborer des principes directeurs pour les flux de données transfrontaliers, de superviser un programme pilote et de préparer l'élaboration de l'Acte sur la protection des données et la vie privée de la Communauté d'Afrique de l'Est (EAC).
  • En Égypte, le ministère des communications et des technologies de l'information (MCIT) a annoncé le lancement prochain du Centre de protection des données personnelles. Ce centre se concentrera sur la protection de la vie privée, l’équité dans le traitement des données et la sensibilisation du public aux droits relatifs aux données, tout en renforçant l'application de la loi nationale sur la protection des données.
  • Au Nigeria, une proposition de modification de la loi nigériane sur la protection des données (NDPA) a été déposée. Ce projet de loi rendra obligatoire l'installation de bureaux physiques pour les plateformes de médias sociaux opérant dans le pays et prévoit une interdiction d'exploitation en cas de non-conformité. Par ailleurs, la Commission nigériane de protection des données (NDPC) a annoncé qu'elle commencera à appliquer les sanctions pour non-respect de la NDPA à partir de 2025.
  • La Commission de l'informatique et des libertés (CIL) du Burkina Faso a renforcé la conformité en matière de protection des données grâce à des résolutions clés adoptées lors de ses 10e et 11e sessions ordinaires. Lors de la 10e session, une résolution sur le marketing direct a été adoptée, visant à réguler les sollicitations adressées à des individus ou organisations. Lors de la 11e session, la CIL a adopté une résolution sur la communication de données à caractère personnel à des tiers, définissant ainsi les conditions et principes à respecter dans ce cadre.
  • Le Parlement zambien a entamé les délibérations sur un projet de loi relatif à la cybersécurité, qui vise à abroger la loi de 2021 sur la cybersécurité et la cybercriminalité. Ce projet prévoit la création de l'Agence zambienne de cybersécurité et établit un cadre de conformité en matière de cybersécurité dans le pays.
  • La participation des pays africains aux forums mondiaux sur la protection des données et la cybersécurité connait un hause notable. L'Office ougandais de protection des données personnelles (PDPO) est devenu membre de l'Assemblée mondiale pour la protection de la vie privée (GPA), tandis que l'Agence nationale de sécurité informatique et de certification électronique (ANSICE) du Tchad a officiellement rejoint le Forum mondial pour l'expertise en cybersécurité (GFCE). Par ailleurs, la Commission nationale de protection des données (NDPC) du Nigeria a participé au Forum 2024 sur les règles de confidentialité transfrontalières.
  • Le bureau du commissaire à la protection des données (ODPC) du Kenya a publié le projet de règlement sur la protection des données (conduite d'un audit de conformité) et le code de partage des données pour recueillir les commentaires du public. Les règlements fournissent un cadre pour la conduite des audits de protection des données et l'accréditation des auditeurs, tandis que le code fournit un cadre pour des pratiques de partage de données responsables et éthiques. De même, l'Agence de la santé numérique a introduit le règlement sur la santé numérique (gestion de l'information sur la santé) afin de faciliter l'accès aux données sur la santé.
  • En Afrique du Sud, le régulateur de l'information (IR) a publié une note d'orientation sur le marketing direct, visant à clarifier les exigences de conformité à la loi POPIA dans le cadre des pratiques de marketing direct. De même, le ministère du commerce, de l'industrie et de la concurrence (DTIC) a publié l'amendement à la loi sur la protection des consommateurs, ayant pour objectif de promouvoir la protection de la vie privée des consommateurs dans le cadre du marketing direct.

 

Contrôles, sanctions et mises en demeure :

  • Au Nigéria, la Cour fédérale a déclaré nulles et non avenues certaines dispositions de l’avis d’orientation de la NDPC sur l’enregistrement des responsables de traitement et des sous-traitants d'importance majeure (DCPMI), en raison d’un manque de clarté. La Cour a ordonné à la NDPC de préciser les entités qui ne sont pas qualifiées comme DCPMI, conformément à l’article 48 de la NDPA. De plus, la Cour d’appel a infligé une amende de 15 millions de nairas à une société de télécommunications pour violation des droits d’un individu à travers l’envoi de messages et appel non sollicités. De même, une Cour d'État a infligé une amende à une banque commerciale pour avoir envoyé des messages non sollicités à un client, malgré son opposition explicite.
  • L'autorité de protection des données de l'Eswatini (EDPA) a annoncé son intention de procéder à un audit afin d'identifier les entités qui n’ont pas respecté l’obligation d’enregistrement en tant que responsables de traitement ou sous-traitants, comme l'exige la loi sur la protection des données.
  • L’ODPC a poursuivi ses actions d’application de la loi sur la protection des données. Il a émis un avis d'exécution contre une organisation et l’un de ses employés pour avoir omis de signaler la divulgation non autorisée de données dans le délai légal. Un avis d'exécution a également été émis à l’encontre d’une société de prêt numérique pour violation du droit de la personne concernée à être informée. Une société de transport en ligne a été sanctionnée pour divulgation non autorisée de données et pour ne pas avoir traité correctement une demande d’exercice de droit. De même, une banque a été condamnée à une amende pour avoir envoyé à un tiers des notifications trompeuses concernant des relevés de prêts, malgré la demande formelle du client de supprimer le tiers en tant que contact alternatif. L'ODPC a également infligé une amende à trois entreprises dans le cadre d'une plainte consolidée pour traitement non autorisé de données, violation de la vie privée et non-respect du droit d'un individu à accéder à son dossier professionnel.
  • Une Cour kenyane a rejeté l'action d'une entreprise demandant un contrôle judiciaire de l'amende imposée par l'ODPC à son encontre. L'ODPC avait initialement infligé une amende à l'entreprise pour avoir envoyé des messages non sollicités à trois individus sans leur consentement préalable. En rejetant l'action, la Cour a jugé que la décision de l'ODPC pouvait être qualifiée de décision administrative, ce qui oblige les parties à épuiser toutes les voies de recours existantes avant de demander un contrôle judiciaire.
  • Le régulateur sud-africain de l'information a émis un avis d'exécution contre le Département de l'éducation de base (DBE) pour non-conformité avec la POPIA. L'avis ordonne au DBE de cesser de publier les résultats dans les journaux dans un délai de 31 jours et de les fournir à la place par le biais d'une plateforme sécurisée et conforme à la POPIA. À l'avenir, la DBE devra obtenir le consentement explicite des étudiants adultes ou des tuteurs pour les mineurs et mettre en place un système de gestion du consentement dans un délai de 90 jours.

 

 

 

Gouvernance de l’IA :

  • En Égypte, la Chambre des représentants a entamé des délibérations sur des amendements  proposés à la loi sur la cybercriminalité. Ces amendements visent à établir un cadre pour réguler les crimes liés à l’intelligence artificielle (IA) et la responsabilité civile et pénale liée aux activités des robots. Par ailleurs, le Conseil national pour l’intelligence artificielle (NCAI) s’est réuni pour examiner le plan de mise en œuvre de la Charte égyptienne pour une IA responsable, la création d’un centre dédié à l’IA responsable et le projet de loi sur l’IA. Lors du Sommet sur l’IA et la transformation numérique, le ministre des Communications et des Technologies de l’information a également annoncé le lancement imminent de la deuxième phase de la Stratégie nationale pour l’IA (2025-2030).
  • En Ouganda, le Directeur des services de gouvernement électronique de l’Autorité nationale des technologies de l’information (NITA-U) a révélé que le pays prévoyait de réviser sa loi de 2019 sur la confidentialité et la protection des données et d'élaborer une législation axée sur l'IA, qui comprendra une loi sur l'IA, une politique de l'IA et une stratégie globale qui réglementera l'utilisation de l'IA pour freiner la propagation de la désinformation sur les plates-formes numériques.
  • Le 13 décembre 2024, le ministère de la Transition numérique et de la Digitalisation de la Côte d’Ivoire a officiellement présenté la Stratégie nationale pour l’intelligence artificielle et la gouvernance des données aux partenaires et parties prenantes. Cette stratégie vise à exploiter l’IA pour le développement socio-économique par une approche collaborative impliquant les acteurs clés des secteurs public et privé.

Conclusion

Dans les mois à venir, des avancées sont attendues concernant les projets de loi en cours d’examen dans les parlements du Nigéria et de la Zambie. Par ailleurs, nous prévoyons une intensification des actions d’application et l’achèvement des règlements provisoires.

Who we are
About us
Privacy Notice
Contact
Services
Privacy and Data Protection
Startup Advisory
Cybersecurity
Regulatory Intelligence
Research and Public Policy
Resources
Insights
Reports
Training
Tech Hive Advisory Africa

We are a technology policy advisory and research firm focusing on the intersection of law, business, and technology.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Copyright ©2025 Tech Hive Advisory Africa