Protection des données personnelles en Afrique : état des lieux à l'approche de l'entrée en vigueur du GDPR

Bien que d’origine européenne, le nouveau Règlement Général sur la Protection des Données (GDPR), d’application directe à compter du 25 mai 2018, présente des enjeux importants à l’égard des pays africains, dans la mesure où il s’appliquera également, dans de nombreuses hypothèses, à des responsables de traitement et sous-traitants établis hors de l’Union Européenne. Sont ainsi concernés celles, parmi les entités relevant de l’une de ces deux qualifications, qui traitent des données à caractère personnel relatives à des personnes situées sur le territoire de l’Union dans le cadre de la fourniture de biens ou de services à ces personnes ou d’une analyse suivie de leur comportement. Pour de tels entreprises ou organismes publics, qui incluent par exemple les sites de commerce électronique ou les prestataires de publicité ciblée et/ou leurs sous-traitants établis en Afrique, les nouvelles dispositions du Règlement s’appliqueront directement.

Par ailleurs, l’encadrement spécifique des transferts internationaux de données pose des conditions très strictes relativement au niveau de protection assuré dans le pays destinataire, lequel doit en principe être suffisant, au regard du standard européen, pour qu’un tel transfert puisse être licite. La libre circulation des données entre pays européens et africains dépendra par conséquent de la mise en œuvre, dans les seconds, d’une politique proactive et de bonnes pratiques en cette matière, visant à offrir un niveau de protection des données « adéquat » – c’est-à-dire un niveau équivalent à celui prévu par le GDPR.

Force est de constater, cependant, que la plupart des pays africains ne présentent pas, à ce jour, un cadre législatif exhaustif et conforme au regard du GDPR ; certains, tels que l’Algérie, les Comores ou la République Centrafricaine, ne disposent en réalité même d’aucun texte légal spécifiquement dédié à la protection des données à caractère personnel.

Dans la majorité des cas, les dispositifs réglementaires récemment adoptés (par exemple au Burundi, au Cameroun, au Congo ou au Rwanda) ne traitent que de la sécurité et la confidentialité des données de communications électroniques (qui font en droit de l’Union l’objet d’un droit spécial vis-à-vis du GDPR), à l’exclusion de toutes les autres catégories de données à caractère personnel. Quoiqu’elle procède d’un véritable souci de sauvegarde de la vie privée des individus, la mise en place de telles réglementations paraîtra sans nul doute insuffisante aux yeux des autorités de contrôle européennes, dans le cadre de leur évaluation du niveau de protection adéquat.

Un groupe plus restreint de pays (le Bénin, le Burkina Faso, la Côte d’Ivoire, le Gabon, le Mali, le Maroc, le Sénégal et la Tunisie) apparaissent en comparaison plus avancés sur la voie de la conformité au GDPR, chacun ayant institué sa propre autorité de contrôle de la protection des données, réunies au sein de l’Association Francophone des Autorités de Protection des Données Personnelles (AFAPDP). Fondée en 2007, l’AFAPDP joue un rôle important à l’échelle mondiale pour la coordination et la promotion de la réglementation applicable dans les différents pays francophones ; l’autorité de contrôle française, la Commission Nationale de l’Informatique et des Libertés (CNIL) y est particulièrement active.

Parmi ces pays, le Maroc ressort pour avoir sollicité dès 2009 une décision de reconnaissance d’un niveau de protection adéquat auprès de la Commission Européenne. Cette demande est actuellement toujours en cours d’examen, en raison essentiellement de l’évolution concomitante du cadre de référence européen ; les représentants de l’autorité marocaine ont affirmé leur volonté de se conformer à ce nouveau cadre aussi rapidement que possible.

Le cas du Maroc met néanmoins en lumière la logique suivie par la Commission Européenne dans le cadre du traitement des demandes de reconnaissance de niveau adéquat, et peut à ce titre servir d’exemple pour les autres pays qui souhaiteraient s’inscrire dans sa suite : le caractère adéquat du niveau de protection, aux yeux de la Commission, doit être jugé au regard de la mise en pratique effective des textes ; les autorités de contrôle africaines devraient donc être pourvues de moyens suffisants pour assurer le respect de la réglementation applicable par les entreprises et organismes publics concernés.

A l’égard de ces entreprises et organismes publics, qui pourraient pour certains se voir demain appliquer directement les dispositions du GDPR, l’adoption d’une législation nationale équivalente aux principes européens pourrait constituer tout à la fois un levier efficace et une forte incitation pour la mise en conformité.

Merav Griguer

[email protected]