Sur le sujet de la gestion des données personnelles, les acteurs économiques doivent être en conformité avec les législations nationales et internationales comme le RGPD en Europe ou les lois sur la protection des données en Afrique. 32 pays disposent d’une loi sur la protection des données et 14 pays sont signataires d’un législation commune, définie par la convention de Malabo et qui porte sur la cybersécurité et la protection des données à caractère personnel. Le RGPD pourrait devenir un référentiel pour les autorités de contrôle africaines
L’acquisition, le traitement et l’utilisation de données personnelles est encadré par des dispositions législatives (RGPD, législations nationales…). Les acteurs économiques ont alors des obligations à remplir en la matière et surtout doivent assurer une protection de ces données : ils doivent être en conformité !
Tous les continents sont concernés. L’Afrique constitue un grand réservoir d’utilisateurs de services numériques, les acteurs du secteur et en particulier les géants américains du numérique (GAFAM, BATX, NATU ) (1) sont encore globalement peu contraints du fait de la quasi-absence de réglementation sur la question des données personnelles (2) ou de son caractère non contraignant sur la protection des données sur ce continent.
Toutefois, les acteurs économiques africains doivent se conformer et se mettre en conformité avec certaines dispositions législatives, nationales, internationales ou encore extraterritoriales issues du Règlement général sur la protection des données personnelles (RGPD), s’ils veulent opérer avec le reste du monde
Le cadre juridique et institutionnel indispensable à une protection des données à caractère personnel d’internautes africains existe dans certains pays, mais le nombre de ceux-ci demeure faible : sur les 55 pays du continent, 32 disposent de lois sur la protection des données (3) . Des États comme le Bénin ou encore la République Démocratique du Congo (RDC) ne disposent pas d’une loi spécifique, mais disposent de lois générales sur le numérique qui abordent, en marge, la question des données personnelles (4). Autre indicateur, seulement 17 pays du continent se sont dotés d’une autorité de protection des données personnelles chargée d’appliquer la législation idoine (5), bien que dans certains pays comme la Côte d’Ivoire et la République Démocratique du Congo, par exemple, cette charge soit dévolue à l’autorité de régulation des télécommunications et des technologies de l’information et de la communication (6).
Les États africains se sont cependant tournés vers un droit communautaire en la matière. L’Afrique dispose en effet d’une législation interétatique sur la protection des données personnelles depuis 2014 : la Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel, adoptée le 27 juin 2014 à Malabo, en Guinée Équatoriale (dite Convention de Malabo). A l’heure actuelle, seuls 14 pays sur les 55 ont signé cette convention à savoir : Bénin, Tchad, Comores, Congo, Ghana, Guinée-Bissau, Mauritanie, Sierra Leone, São Tomé-et-Príncipe, Zambie, Togo, Tunisie, Rwanda et Mozambique. Neuf l’ont ratifiée (Sénégal, Angola, Ghana, Mozambique, Namibie, Guinée, Rwanda, Île Maurice, Congo). Cette convention ne répond pas parfaitement aux évolutions technologiques et sociales actuelles et mériterait une révision, notamment dans le cadre de la ZLECAf (libre circulation des données au même titre que la libre circulation des marchandises). Hormis cette convention, il se construit également un instrument juridique international contraignant dans le domaine des données personnelles, la Convention pour la protection des données à caractère personnel du Conseil de l’Europe, appelée Convention 108+, que certains États africains (Cap vert, Île Maurice, Sénégal, Tunisie) ont signée ou ratifiée. Il conviendra de suivre l’évolution de ce texte pour éviter d’être dépassé.
Quant au Règlement général sur la protection des données (RGPD) est plus précisément relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Il est entré en vigueur en mai 2018 (7) . La notion de « données personnelles » est à comprendre de façon très large. Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ». Cela peut être un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, mais également les cookies (8).
Deux critères permettent de distinguer les entreprises concernées par le RGPD. Le règlement s’applique à toute organisation effectuant un traitement de données personnelles :
- Si cette organisation est établie sur le territoire de l’Union européenne ;
- Ou si son activité cible directement des résidents européens.
Toutes les entreprises, institutions, associations, sans distinction de taille, de chiffre d’affaires, établies sur le territoire de l’Union européenne et qui stockent des données personnelles sont donc concernées (le stockage de données est une forme de traitement). Le texte s’applique aussi aux sous-traitants de toute entreprise établie au sein de l’Union européenne, même si ces sous-traitants ne sont pas situés sur le territoire européen quelque soit le lieu d’implantation du responsable des traitements ou du sous-traitant (9). La règle est que dès que l’on traite d’une donnée personnelle d’un citoyen européen ou d’une personne établie sur le territoire de l’Union, le RGPD s’applique. Les sanctions prévues sont à la charge de l’autorité de contrôle du pays ou à lieu le défaut. Une coopération internationale est prévue à cet effet dans l’article 50 du RGPD. Une difficulté peut toutefois subsister en cas d’absence d’autorité de contrôle, ce qui est le cas dans de nombreux pays africains (voir supra).
D’une manière générale, « qui peut le plus peut le moins ». Actuellement, le RGPD étant le texte le plus abouti (bien que la Chine vient d’adopter une législation très proche), il pourrait être considéré, quelle que soit la situation, comme référentiel.
Annotations
(1) GAFA représente les quatre (04) entreprises les plus puissantes du monde numérique : Google, Apple, Facebook et Amazon. Un « M » faisant référence à Microsoft est parfois joint à cet acronyme ; Les BATX est un sigle formé sur le modèle de GAFAM en juxtaposant les initiales des quatre entreprises du Web chinois dans les années 2010 : Baidu, Alibaba, Tencent et Xiaomi ; Les NATU est un sigle sur le même modèle des GAFAM qui juxtapose les initiales des quatre jeunes entreprises américaines avec des forts de taux de croissance depuis leur création en 2010 à savoir Netflix, Airbnb, Tesla et Uber. GAFA représente tout simplement les quatre (04) entreprises les plus puissantes du monde numérique : Google, Apple, Facebook et Amazon. Un « M » faisant référence à Microsoft est parfois joint à cet acronyme ; Les BATX est un sigle formé sur le modèle de GAFAM en juxtaposant les initiales des quatre entreprises du Web chinois dans les années 2010 : Baidu, Alibaba, Tencent et Xiaomi ; Les NATU est un sigle sur le même modèle des GAFAM qui juxtapose les initiales des quatre jeunes entreprises américaines avec des forts de taux de croissance depuis leur création en 2010 à savoir Netflix, Airbnb, Tesla et Uber.
(2) Nous avons exemple Google qui s’est installé au Ghana depuis 2019 pour implanter son laboratoire de recherche spécialisé sur l’intelligence artificielle. Source : https://www.lecho.be/entreprises/technologie/google-s-installe-en-afrique-pour-y-developper-l-intelligence-artificielle/10117144.html
(3) Les pays africains disposant en 2021 d’un système législatif de protection des données personnelle : Afrique du sud, Algérie, Angola, Burkina-Faso, Cap-Vert, Comores, République du Congo, Côte d’Ivoire, Égypte, Gabon, Ghana, Guinée, Guinée équatoriale, Kenya, Lesotho, Madagascar, Mali, Mauritanie, Île Maurice, Maroc, Mozambique, Niger, Nigeria, Ouganda, São Tomé-et-Principe, Sénégal, Tchad, Togo, Tunisie, Seychelles, Zambie et Zimbabwe. Liste disponible en ligne sur https://www.africadataprotection.com/liste-des-pays.html
(4) Pour le Bénin nous avons la loi n° 2017-20 du 20 avril 2018 portant code du numérique en République du Bénin qui a consacrée le chapitre II et III à la protection des données personnes et en République démocratique du Congo il s’agit de la loi N°20-017 du 25 novembre relative aux Télécommunications et aux technologies de l’information et de la communication qui fait mention de la protection des données au Titre II.
(5) Les pays africains ayant une autorité de protection des données personnelles : Afrique du sud, Angola, Bénin, Burkina Faso, Cap-Vert, Gabon, Ghana, Mali, Maurice, Maroc, Niger, Nigéria, Ouganda, Sao Tomé-et-Principe, Sénégal, Tchad et Tunisie.
(6) Voir KANDOLO Brozeck (2021), « Considérations sur les mécanismes de protection des données personnelles en Afrique » in MORTIER Stéphane & KONATE Loukman (2021), Manuel de l’intelligence économique en Afrique », VA Editions, 313p.
(7) Voir https://www.cnil.fr/fr/reglement-europeen-protection-donnees et la contribution de KANDOLO Brozek dans le présent Manuel.
(8) La CNIL définit un cookie comme étant « un petit fichier informatique, un traceur, déposé et lu par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé (ordinateur, smartphone, liseuse numérique, console de jeux vidéo connectée à Internet, etc) ». « Il s’agit d’un des instruments les plus importants de collecte des données à caractère personnel, qui sont elles-mêmes la matière première de la création de la valeur dans l’Économie numérique ». Voir à ce sujet ZENGUE Laurent-Fabrice (2020), « Cookies et sanctions contre Google et Amazon : quelles leçons pour les opérateurs africains du numérique ? », Village-Justice, https://www.village-justice.com/articles/sanctions-contre-google-amazon-relatives-aux-cookies-quelles-lecons-pour-les,37492.html. Voir également la contribution de MOUTAIB Ali dans le présent Manuel.
(9) Voir https://www.legavox.fr/blog/maitre-naciri-bennani-zineb/application-rgpd-societes-etablies-hors-25223.htm et https://dpo-consulting.fr/les-entreprises-en-dehors-de-lunion-europeenne-doivent-elles-avoir-peur-du-rgpd/
Pour Convergence
Stéphane MORTIER
expert intelligence économique et cybersécurité, Gendarmerie Nationale
Co-Auteur du Manuel de l’intelligence économique en Afrique « Considérations sur les mécanismes de protection des données personnelles en Afrique » MORTIER Stéphane & KONATE Loukman (2021), VA Editions, 313p.
Retrouvez des réponses et des explications précises en visionnant le replay du Webinaire
« Compliance: les nouveaux risques de non-conformité pour les entreprises à l’international : le cas de l’Afrique » organisé par Convergence avec le soutien DS AVOCATS https://lp.convergence.link/replay_compliance_risques_non_conformité_18_octobre
L’équipe Convergence !
Inscrivez-vous GRATUITEMENT et augmentez vos chances de trouver le bon partenaire d’affaires, de bien recruter, ou de trouver la bonne opportunité professionnelle sur l’axe Afrique-Méditerranée-Europe sur www.convergence.link