Jules Hervé Yimeumi, président d’Africa Data Protection
La digitalisation des entreprises et administrations africaines s’accompagne de nombreux défis, au premier rang desquels, la cybersécurité et la protection des données des citoyens. Si l’enjeu est pris au sérieux par l’ensemble des gouvernements, plusieurs pays du continent ont franchi des étapes supplémentaires, en implémentant ces dernières années des lois et autorités compétentes et efficaces pour statuer sur ces questions. En Algérie par exemple, la loi relative à la protection des personnes physiques dans le traitement des données à caractère personnel vient tout juste d’entrer en vigueur, au début du mois d’août.
Propos recueillis par : Camille Dubruelh
Récemment, les autorités multiplient les sanctions et mises en gardes contre plusieurs entreprises, dont des multinationales, accusées de non-conformité avec les lois en vigueur. Un signe que le problème est pris à bras le corps. Ainsi, le 9 août, en Côte d’Ivoire, l’Autorité de Protection lançait un appel à la vigilance à la population ivoirienne sur une nouvelle forme de prêt en ligne via les applications mobiles telles que « Easy Cash », « Côte d’Ivoire Money », « Prêt Rapide », etc.
« L’utilisation desdites applications comporte des risques et menaces sur les données personnelles et la vie privée des populations. L’Autorité de Protection informe que ces applications qui collectent des données personnelles n’ont fait l’objet d’aucune autorisation de traitement de données personnelles », indiquait l’institution. Autre exemple, en Tanzanie, l’homme d’affaires Sayida Masanja a attaqué l’entreprise telcos Vodacom Tanzanie, réclamant près de 4 millions de dollars à l’intéressée. En cause ? L’opérateur aurait transmis ses informations personnelles au ChatGPT d’Open AI sans autorisation. Enfin, au Sénégal, c’est le géant Tik Tok qui est scruté à la loupe. La Commission de protection des données personnelles a en effet reçu une plainte du RESTIC (Rassemblement des Entreprises du Secteur des Technologies de l’Information et de la Communication) à l’encontre du réseau social pour violation de la loi sur les données personnelles.
Avec l’omniprésence des entreprises IT dans le quotidien des populations d’un côté, la digitalisation des administrations de l’autre, l’Afrique est plus que jamais confrontée au défi de protéger les données personnelles. Mais beaucoup reste à faire pour garantir à tous une réelle sécurité dans ce domaine. Où en est-on ? Le point avec Jules Hervé Yimeumi, juriste délégué à la protection des données et président de l’association Africa Data Protection.
Cio Mag : Depuis la crise du Covid, la digitalisation s’accélère dans tous les pays du continent, avec, notamment, la mise en place de l’identité numérique. Mais celle-ci nécessite un cadre législatif fort en ce qui concerne la protection des données. Est-ce que les lois nationales sont au niveau ?
Jules Hervé Yimeumi : Si l’usage d’identités numériques peut constituer une garantie forte, il peut également être perçu comme une démultiplication des possibilités de surveillance, notamment par l’analyse des traces que la personne laissera dans l’environnement numérique. En effet, la numérisation massive de l’humain nécessite d’assurer l’équilibre entre l’identification des personnes et la possibilité, pour elles, d’agir de façon libre et autonome. Les lois nationales relatives à la protection des données à caractère personnel en Afrique sont à jour, même si certains ajustements sont encore nécessaires pour faire face aux nouveaux enjeux du numérique. C’est dans ce but que l’association Africa Data Protection a été créée, afin d’accompagner les gouvernements pour faire face à ces enjeux.
Dans ce cadre, une entité de contrôle de protection des données est-elle indispensable ? Combien de pays à ce jour en sont dotés ?
Effectivement, une autorité administrative indépendante est indispensable, à l’heure du tout numérique, car elle est chargée de préserver les libertés individuelles, en accompagnant et en contrôlant l’usage des données personnelles des citoyens du pays concerné.
Il est important de souligner que l’autorité de protection des données doit agir en toute indépendance. En effet, elle doit être capable de sensibiliser, puis contrôler et sanctionner à la fois les organismes publics mais aussi les organismes privés non conformes à la loi. A ce jour, on note la présence de 24 autorités de protection de données sur les 54 pays que compte le continent africain.
Carte loi et autorités
Au niveau continental, la convention qui régit la protection des données est celle de Malabo. Est-elle à jour concernant les nouveaux enjeux ? Combien de pays à date l’ont ratifiée ?
La Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel (convention de Malabo) du 27 juin 2014 pose des principes réglementaires dans le domaine de la cybersécurité, et constitue une innovation majeure de la stratégie de lutte contre la cybercriminalité en Afrique. Elle retient une approche très large de la cybersécurité impliquant la lutte contre la cybercriminalité, la protection des données à caractère personnel et l’encadrement des transactions électroniques.
Ce texte, tout comme certaines législations africaines, nécessite une mise à jour face aux nouveaux enjeux du numérique tels que l’intelligence artificielle. A ce jour, 12 pays ont signé la convention de Malabo et 14 pays l’ont ratifiée. Elle ne devrait d’ailleurs plus tarder à entrer en vigueur car, pour ce faire, conformément à l’article 36 de la Convention, 15 ratifications sont nécessaires.
Comment expliquer ce retard en ce qui concerne la ratification de ce texte et la mise en conformité des réglementations locales ?
Le problème avec les conventions, c’est qu’elles ne sont pas contraignantes vis-à-vis des États. Chaque Etat est libre d’adhérer ou non, ce qui rend difficile leur ratification. Une autre approche, via un texte qui pourrait s’appliquer directement à tous les États membres, pourrait être une solution.
Carte convention Malabo
Est-ce que des législations régionales sont aujourd’hui plus adaptées pour protéger les données des citoyens ?
Les législations régionales ont joué un rôle majeur dans le développement de la protection des données en Afrique. C’est le cas de l’acte additionnel du 16 février 2010 relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO. Cet acte additionnel donne obligation aux États membres de se doter d’une législation et d’installer une autorité de contrôle pour la protection de la vie privée.
Le constat général qui se dégage est qu’il faut multiplier les initiatives pour accompagner les régions, voire l’Afrique entière, dans la protection des données personnelles et ce au regard de la perspective du développement de l’économie numérique.
Quels sont les pays modèles aujourd’hui dans ce sens ?
Parmi les pays modèles en Afrique, on pourrait citer le Kenya ou l’Afrique du Sud. Ces pays disposent de lois modernes en termes de protection des données. De plus, les autorités de protection des données de ces pays agissent en toute indépendance. Par exemple, en Afrique du Sud, l’autorité de protection des données a récemment infligé une amende d’environ 247 000 € à l’encontre du département de la Justice, suite à la constatation de la violation de divers articles de la loi sur la protection des renseignements personnels (POPIA).
Dans de nombreux pays africains, les projets de biométrie et e-gouvernance sont portés par des entreprises multinationales. Existe-t-il un risque de récupération des données par ces entreprises ? Comment le contourner ?
Le marché de la biométrie en Afrique devrait croître à un taux annuel de 21 %, selon le rapport “Biometrics – Global Market Trajectory & Analytics 2020” publié par un cabinet de recherche américain. Les dispositifs biométriques sont strictement encadrés par la plupart des législations africaines, car il existe bien un risque de récupération des données par ces entreprises. En règle générale, ces entreprises doivent soumettre auprès de l’autorité de protection des données une demande d’autorisation avant de mettre en place ces projets.
Début août, au Kenya, l’entreprise Worldcoin, qui propose de sécuriser les transactions en scannant l’iris de chacun des usagers, a été récemment suspendue par l’autorité locale de protection des données. Dans un communiqué, le gouvernement kenyan a expliqué avoir lancé des enquêtes portant notamment sur « le manque de clarté concernant le stockage et la sécurité des données sensibles » et « l’absence d’encadrement approprié » de cette immense base de données.
Africa Data Protection est une association à but non lucratif, dont les missions sont d’informer, sensibiliser et former sur les enjeux de la protection des données à caractère personnel en Afrique. Elle accompagne également les organismes qui veulent se mettre en conformité avec la loi. Enfin, elle apporte un appui technique dans la mise en place des nouvelles autorités de protection des données en Afrique et intervient en soutien des autorités déjà existantes dans leurs missions.