Propos recueillis par Anselme Akeko
Depuis une dizaine d’années, l’Afrique a fait le pari de la protection des données. Qu’est-ce qui a présidé à cette prise de conscience ? Ce pari est-il aujourd’hui gagnant ? L’Ivoirien Léon Brandre, CEO de Groupe DPSE (Data Privacy Solution Expert), nous fournit un éclairage.
Cio Mag : Depuis plus de dix ans, plusieurs pays africains ont marqué leur intérêt pour la protection des données en adhérant à l’Association francophone des autorités de protection des données personnelles (AFAPDP). Quel a été le déclic ?
Léon Brandre : C’est l’inéluctable montée de la technologie sur le continent qui a sonné l’alerte. L’Afrique s’est depuis longtemps positionnée comme un marché de choix pour le matériel des TIC. En 2012, les statistiques d’importations mondiales d’équipement TIC pointaient à 11,6% sur le continent pour les ordinateurs et les équipements périphériques, et à 27,7% pour les composants électroniques. Et c’est sans compter sur la grande vague de transformation digitale adoptée par les entreprises. A commencer par les sociétés de téléphonie mobile, qui se sont lancés dans la diversification de leurs offres et ont rivalisé de moyens technologiques.
Mais, l’utilisation des technologies va de pair avec le traitement automatisé des données personnelles et induit un risque de violation de la vie privée. C’est ce qui a poussé l’Afrique à s’engager sur la voie de la protection des données personnelles. Cela dit, il est bon de préciser que l’AFAPDP a été créée, en septembre 2007, à Montréal, avec l’appui de l’Organisation internationale de la francophonie. Parmi les 21 membres qui la composent, à ce jour, dix sont africains. En revanche, la détermination de l’Afrique remonte à 2010, quand a été signé l’Acte additionnel relatif à la protection des données à caractère personnel dans l’espace CEDEAO. Cet acte marquait déjà la volonté des pays membres à se mettre à niveau. Dans le même élan impulsé par la CEDEAO, le Réseau africain des autorités de protection des données personnelles (RAPDP) a été créé en 2016, au Burkina Faso.
Cio Mag : Ce dynamisme autour des données s’avère-t-il gagnant aujourd’hui ou faut-il souhaiter l’avènement d’un RGPD africain ?
L.B : Ce serait peut-être mettre la charrue avant les bœufs que de penser déjà à l’avènement d’un RGPD africain. En réalité, certains pays, comme le Sénégal, abattent un travail colossal. D’autres pays sont en revanche plus à la peine. Pour la première catégorie d’entre eux, l’amélioration du secteur de la protection des données personnelles est une quête permanente. Quant à la seconde, la gageure est de rechercher les causes profondes du manque de dynamisme de l’activité. Et le problème peut se situer à deux niveaux : alternatifs ou cumulatifs. Selon le cas, il s’agit du droit positif interne des pays africains en matière de données personnelles ou de l’implication de l’autorité de protection.
Cio Mag : Que préconisez-vous ?
L.B : Au vu de l’évolution technologique de la société et de l’environnement de la pratique de l’activité même de protection des données personnelles, il faut, de prime abord, penser au lifting profond de nos lois locales. Par exemple, il est temps d’ouvrir le débat sur les bases légales recevables en Côte d’Ivoire, en actualisant l’article 14 de la loi sur la protection des données à caractère personnel. Et aussi engager des discussions pour en finir avec les procédures administratives de déclarations et d’autorisations de traitement. Ceci de sorte à souscrire au principe « d’accountability », lequel repose sur la responsabilisation totale des entreprises.
Il faut ensuite revoir l’adaptation des autorités de protection dans nos pays. Nous parlons d’adaptation, surtout pour le modèle ivoirien, qui est, tenez-vous bien, un véritable cas d’école dans le monde entier !
“Aujourd’hui, il faut analyser profondément la situation de l’ARTCI et déceler si cette autorité est bien placée, dans sa structure et son organisation, pour porter la casquette d’autorité de protection.”
Cio Mag : Quelle en est la cause ?
L.B : La Côte d’Ivoire est le seul pays au monde où l’autorité de protection n’a pas été créée, mais a été désignée. Le législateur ivoirien a décidé de confier les charges de l’autorité de protection à une autorité qui existe déjà : l’Autorité de régulation des télécommunications/TIC de Côte d’Ivoire (ARTCI). Elle se voit désignée par l’article 46 alinéa 1 de la loi de 2013.
Aujourd’hui, il faut analyser profondément la situation de l’ARTCI et déceler si cette autorité est bien placée, dans sa structure et son organisation, pour porter la casquette d’autorité de protection. Nous pensons que cette configuration n’est pas celle qui convient. Pour que la protection des données personnelles soit plus efficiente, une autorité doit être mise en place indépendamment de l’ARTCI.
Les autorités de protection doivent aussi booster leur engagement dans la sensibilisation et la vulgarisation de la discipline. Une fois ces contours revisités, nous pourrions alors aborder la question d’un éventuel RGPD africain. Par ailleurs, l’Afrique dispose aussi d’une convention sur la cybercriminalité et la protection des données à caractère personnel. Elle a été adoptée le 27 juin 2014, à Malabo. Plusieurs pays l’ont ratifiée. Cependant, le bilan n’est toujours pas reluisant. Les pays africains qui n’ont pas encore ratifié cette convention gagneraient à le faire.
Cio Mag : Le citoyen lambda a-t-il conscience de ses droits ? De quels moyens dispose-t-il pour les exercer ?
L.B : On ne cessera de le dire, les premiers protecteurs de nos données personnelles, c’est nous même ! Cependant, le citoyen lambda n’a en général pas conscience de ses droits en la matière. Le premier moyen pour lui d’exercer un contrôle sur ses données est de se former et de s’informer sur le sujet.
Il existe plusieurs moyens juridiques de veiller sur ses données. Nous pouvons en citer quelques-uns : le droit à l’information, qui oblige le responsable de traitement à informer l’utilisateur préalablement à la mise en œuvre d’un traitement de données ; le droit d’accès qui permet de demander d’accéder aux données et de vérifier comment elles sont traitées ; le droit de modification pour la mise à jour ou la modification, par le responsable de traitement, des données des usagers ; le droit à la suppression pour supprimer purement et simplement ses données personnelles. Le citoyen lambda, que nous appelons dans notre jargon la personne concernée, doit savoir comment exercer concrètement ses droits.
Cio Mag : Que fait le Groupe DPSE pour favoriser cette prise de conscience ?
L.B : Nous publions fréquemment des articles sur notre portail web. Ils informent les personnes concernées et les responsables de traitement. Nous organisons également des afterwork en présentiel, lesquels vont désormais se transformer en webinaires, avec des rencontres physiques, au fil de l’eau, dont nous maintiendrons la gratuité. Le Groupe DPSE est vraiment satisfait de ses actions. Elles se poursuivent à présent avec l’édition de la première bande dessinée de sensibilisation sur les données personnelles.
Cio Mag : Compte-tenu de l’explosion des moyens de collecte d’informations, ce combat n’est-il pas perdu d’avance ?
L.B : Non, nous pensons que ce combat n’est pas perdu d’avance. A l’instar des pays européens, qui ne font qu’adapter leurs lois à l’évolution de la technologie, nous, Africains, n’avons pas intérêt à baisser les bras ! Les actions juridiques menées font contrepoids à cette machine contemporaine qu’est la technologie. Qu’adviendrait-il si nous baissions totalement les bras ? C’est donc le moment, surtout pour nous, Africains, de poser des bases très solides pour nous protéger et pour protéger les générations futures. L’inaction, face au traitement à grande échelle des données à caractère personnel, serait une véritable catastrophe !
“Les entreprises responsables de traitement doivent obligatoirement prévoir des procédures pour que la personne concernée exerce librement ses droits.”
Cio Mag : S’agissant des entreprises qui traitent des données, quelles sont leurs obligations ?
L.B : Les entreprises responsables de traitement doivent obligatoirement prévoir des procédures pour que la personne concernée exerce librement ses droits. Et le moyen le plus sûr pour y parvenir, c’est qu’elles s’inscrivent dans une démarche de mise en conformité à la loi relative aux données personnelles de leurs pays respectifs. Il n’y a que l’implémentation de cette démarche qualité qui respecte les principes directeurs de la loi. Et les standards internationaux vont leur permettre de rassurer leur personnel, leurs partenaires et usagers, mais aussi de garder un avantage concurrentiel certain sur le marché.
Le Groupe DPSE assure, à ses partenaires, ce travail d’accompagnement et d’assistance pour l’implémentation de la conformité réelle dans les entreprises. A ce titre, nous tenons à rappeler aux entreprises africaines que la conformité ne se limite pas au remplissage de formulaires et à l’obtention d’autorisations délivrées par leurs autorités de protection. La conformité réelle, c’est l’implémentation de toutes les procédures en tenant compte des mesures juridiques, organisationnelles et techniques, qui assurent la sécurisation de la vie privée.
Cio Mag : Quel est votre analyse sur la prolifération des cyberattaques sur les données personnelles ?
L.B : Actuellement, les données personnelles sont le nouvel or noir. Les cibles principales de ces attaques sont les entreprises. En Afrique francophone, les incidents les plus importants liés à la cybersécurité sont occasionnés par l’hameçonnage et les logiciels malveillants. Selon une étude de Deloitte sur la maturité cybersécurité 2021 en Afrique francophone, ces deux types d’attaques constituent, à eux seuls, 78% des préjudices subis par les entreprises. Ces attaques viennent nous rappeler l’importance, pour les entreprises, d’investir fortement dans la sécurisation de leur cyberespace.
“Il est vital, pour leur business, que les entreprises s’engagent sur la voie de la conformité.”
Malheureusement, la réaction des entreprises n’est pas à la hauteur des risques de cyberattaques auxquels elles font face. La même étude de Deloitte souligne très clairement que les budgets dédiés à la cybersécurité restent insuffisants. En effet, 66% des entreprises investissent moins de 130 millions de FCFA (200.000 €) par an. Les menaces liées à la cybersécurité devraient pourtant les faire réagir. Il est vital, pour leur business, que les entreprises s’engagent sur la voie de la conformité. La protection des données personnelles et la lutte contre la cybercriminalité sont deux faces d’une même pièce. Pour preuve, la convention de Malabo lie ces deux domaines, avec d’une part la cybersécurité et d’autre part la protection des données à caractère personnel. Tous les pays africains devraient donc se doter d’une loi sur la cybercriminalité et/ou ratifier la convention de Malabo pour assurer, à leurs concitoyens, un minimum de sécurité et de sérénité sur Internet.
Cio Mag : En conclusion, pourquoi la protection des données est-elle si problématique pour les Etats, les entreprises et les citoyens ?
L.B : C’est principalement dû à la mauvaise compréhension du sujet par les entreprises et les citoyens, qui sont pourtant des acteurs à part entière de ce secteur. Nous constatons aussi un certain flou, notamment dans les lois relatives à la protection des données personnelles de certains pays africains.
Les Etats ne sont, en outre, pas suffisamment informés et impliqués dans le développement de la discipline. C’est peut-être la raison pour laquelle peu d’Etats africains ont ratifié la convention de Malabo. En définitive, dans chaque pays africain, des cadres d’échanges doivent être créés entre les autorités de protection et tous les autres acteurs du secteur pour une meilleure compréhension de la discipline. Et pour l’établissement de référentiels solides et adaptés à nos différentes sociétés.