Le mois d’octobre est notamment consacré à la sensibilisation à la cybersécurité, avec pour objectif d’assurer la sécurité et la protection numérique des individus, des organisations et des États. À l’instar des autres continents, l’Afrique n’échappe pas à l’essor d’internet, et tout particulièrement des réseaux sociaux. Selon la Banque mondiale, 36% de la population africaine bénéficiait d’un accès à internet en 2023, même si ce pourcentage peut varier fortement selon les pays. Avec la croissance rapide des nouvelles technologies de l’information et de la communication, qui touchent désormais des secteurs clés, tels que la finance, l’économie, le commerce et la santé, la protection des données personnelles est devenue un enjeu majeur pour le continent.
Récemment, des entreprises internationales ont été poursuivies et sanctionnées pour avoir utilisé les données personnelles de millions de personnes sans leur consentement. À cet égard, l’amende largement médiatisée infligée au groupe Meta (multinationale américaine regroupant Facebook, Instagram, WhatsApp et Meta Quest) a permis de renforcer la position du Nigéria en tant qu’acteur majeur dans ce domaine, tout en relançant le débat sur la nécessité d’harmoniser le cadre juridique de la protection des données personnelles au sein de la Communauté économique des États de l’Afrique de l’Ouest (CEDEAO).
Les progrès de la protection des données personnelles en Afrique de l’Ouest : le cas du Nigéria
Parmi les 37 pays africains qui se sont dotés d’une loi nationale sur la protection des données, le Nigéria ne figure certes pas parmi les pionniers, comme le Cap-Vert, la Tunisie, le Sénégal, le Maroc et le Bénin. Cependant, Nigéria se distingue aujourd'hui dans la région ouest-africaine par la solidité de son cadre juridique et par les efforts déployés pour le faire respecter.
En effet, la législation nigériane en matière de protection des données personnelles a considérablement progressé ces dernières années, répondant aux enjeux croissants résultant du dilemme entre protéger les droits fondamentaux et favoriser les progrès technologiques. Dans ce contexte, le Président de la République fédérale du Nigéria, Bola Ahmed Tinubu, a promulgué le 12 juin 2023 la loi nigériane sur la protection des données (The Nigeria Data Protection Act (NDPA)), après une première réglementation sur la protection des données adoptée en 2019 avec le Nigeria Data Protection Regulation (NDPR)).
Au-delà de la fixation d’un cadre juridique formel pour la protection des données personnelles des citoyens, ce dispositif apparaît plus moderne et robuste en matière de limitations et de sanctions en cas de violations. Il présente d’ailleurs certaines similitudes avec l’espace européen, en l’occurrence la France, pays considérablement avancé et résolument engagé sur la question. D’une part, plusieurs droits et principes énoncés dans cette loi peuvent être rapprochés de ceux de l’emblématique Règlement général sur la protection des données (RGPD) au niveau européen, d’autre part, les missions confiées à la Commission qu’elle crée sont similaires à celles de la Commission nationale sur l’informatique et les libertés (CNIL), au niveau de la France.
Sur le plan du cadre juridique, une correspondance matérielle entre cette loi et le RGPD peut être aisément établie. Outre les ressemblances quant aux catégories de personnes vulnérables pouvant être concernées par le traitement des données et la notion de « données sensibles », certains principes régissant le traitement des données à caractère personnel – comme ceux de licéité, de loyauté, de transparence, de nécessité, de délai raisonnable de conservation ou de consentement consacrés au chapitre II du RGPD – sont repris dans la partie V du NDPA. Par ailleurs, certains droits – comme ceux à l’information, à l’oubli, à l’accès et à la modification – sont garantis aux personnes concernées par le traitement des données. En revanche, cette loi impose aux opérateurs du secteur privé ou public intervenant dans ce processus une liste considérable d’obligations, sous peine de sanction de la part de la Commission nigériane de protection des données (NDPC) créée à cet effet.
Par ailleurs, cette Commission, qui vient remplacer le Bureau nigérian de protection des données (NDPB) d’après le Africa Data Report de janvier 2024, a pour mission principale de superviser la mise en œuvre de cette loi et de toute autre norme y afférent, afin de garantir un environnement numérique sûr dans le pays plus peuplé d’Afrique. Chargée de la promotion, de la conformité, de la sensibilisation et de l’éducation à la protection des données, elle est compétente pour mener des enquêtes et pour prononcer et imposer des sanctions en cas de violation des données, conformément à l’article 6 du NDPA. C’est d’ailleurs dans ce registre que le Nigéria a attiré l’attention ces derniers temps avec des affaires impliquant diverses multinationales.
En effet, peu de temps après son instauration, la Commission a divulgué qu’elle avait entamé des enquêtes en collaboration avec la Federal Competition and Consumer Protection Commission (FCCPC) concernant OPay, Meta et DHL pour des violations présumées de données. Si l’issue de ces enquêtes n’a rien de surprenant, parce que des pratiques similaires ont été observées ailleurs, la condamnation prononcée contre le géant Meta et la large médiatisation qui s’en est suivie ont élargi l’envergure de cette affaire. Accusé de plusieurs infractions concernant la violation des données personnelles et le non-respect de la vie privée, en raison de pratiques discriminatoires et invasives, le Nigéria a infligé une amende de 220 millions de dollars au groupe américain Meta.
Ces avancées du Nigéria quant à l’adoption d’une réglementation robuste sur la question, renforcée par une mise en œuvre effective, reflètent un engagement croissant envers la protection de la vie privée et des données dans ce pays qui représente « le plus grand marché des télécommunications d’Afrique avec 223,6 millions d’abonnés à la téléphonie mobile et 158,2 millions d’utilisateurs d’Internet » selon le Business & Human Right Resource.
Ces efforts d’application avant-gardistes du Nigéria devront être suivis par les autres États de la région, d’où la nécessité d’une harmonisation des réglementations au niveau sous-régional.
La nécessité d’harmoniser le cadre juridique relatif à la protection des données personnelles au sein de la sous-région ouest-africaine
L’année 2023 a connu une accélération des efforts législatifs en Afrique, avec l’adoption et l’entrée en vigueur de plusieurs législations nationales relatives à la protection des données personnelles. Outre le Nigéria, plusieurs pays ouest-africains, comme le Sénégal, le Bénin ou encore le Togo, se sont distingués par la mise en place de cadres juridiques performants. Cependant, d’autres pays de la sous-région n'en sont encore qu’au stade du projet de loi ou tentent d’adapter leur arsenal juridique à l’Acte additionnel relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO de 2010, qui représente une directive sous-régionale pour guider les pays dans l’adoption de lois nationales. Cette disparité des cadres juridiques entre les pays de la CEDEAO complique la coopération transfrontalière et entrave la mise en œuvre de la protection uniforme des données dans un espace géographique se voulant pourtant inclusif.
Si la Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel (Convention de Malabo) de 2014 n’est toujours pas entrée en vigueur dix ans après son adoption et que l’Acte additionnel de la CEDEAO ne revêt pas de force contraignante, il devient essentiel pour les États membres de l’organisation sous-régionale de créer un cadre juridique harmonisé idoine, sur le modèle du RGPD en Europe, afin de créer un environnement numérique sûr et attractif.
Cette harmonisation entre les pays de la sous-région permettrait de répondre à plusieurs défis. D’abord, elle permettrait de faciliter les échanges transfrontaliers de données, essentiels pour des secteurs comme le commerce et la finance avec des startups telles que Wave et Djamo qui permettent aujourd’hui à des millions d’utilisateurs de transférer des fonds d’un pays à un autre à partir de leur téléphone, l’objectif étant de faciliter, sécuriser et protéger les flux de données à travers les frontières. Ensuite, avec la montée en puissance de startups et d’entreprises évoluant dans les domaines des données et de la cybersécurité, l’enjeu est de taille et consiste à disposer d’un cadre juridique clair et uniforme pour attirer les investisseurs étrangers et encourager l'implantation d'entreprises technologiques. De fait, la question des données étant au centre de ce secteur d’activité, lesdites entreprises auront tendance à s’implanter dans des sphères géographiques où les règles juridiques sont claires et uniformes, ce qui n’est pas le cas de l’espace ouest-africain où le cadre juridique reste disparate. Enfin, l’absence de législation harmonisée porte grandement atteinte aux droits et libertés des citoyens des pays de la CEDEAO et entrave la réalisation des buts de l’organisation, celle-ci, faut-il le préciser, ayant été créée pour promouvoir, entre autres, « la coopération et l’intégration (…) en vue de renforcer les relations entre les États membres ». Unir les normes relatives à la protection des données personnelles reviendrait donc à travailler pour atteindre un niveau d’égale protection des citoyens, indépendamment de leur lieu de résidence.
Bien que cette harmonisation semble théoriquement facile à mettre en œuvre, elle nécessite une volonté politique forte des gouvernements. Il serait donc primordial de mettre en place des infrastructures et des institutions capables de garantir une application effective des lois, à l’instar de la NDPC et de la Commission fédérale de la concurrence et de la protection des consommateurs au Nigéria.
Aucun commentaire :
Enregistrer un commentaire