Par: Pam Dixon, Directrice Exécutive, World Privacy Forum
Les pays africains promulguent constamment des lois portant sur la protection des données, qui mettent leurs exigences en matière de vie privée et de protection des données à jour du Règlement Général sur la Protection des Données (RGPD) [1] qui est largement considéré comme la norme de confidentialité de base aujourd’hui. Cependant, cela ne constitue pas la une de ce qui se passe sur le continent africain. Beaucoup de pays africains, qui ont voté des nouvelles lois relatives à la confidentialité après la négociation du Règlement Général sur la Protection des Données (RGPD) [2], ont fait de nouveaux progrès en la matière en termes d’innovation et d’importance, franchissant les frontières du RGPD et contextualisant la vie privée dans les contextes africains [3].
La loi mauricienne de protection des données [4], adoptée en fin 2017, est frappante d’élégance en termes de pensées liées à la vie privée. La loi mauricienne est importante en ce qu’elle a fourni aux autres juridictions en Afrique une feuille de route de la loi sur la vie privée qui tient compte du RGPD. Elle a une influence profonde. Elle impacte également par le fait d’avoir inclus et développé davantage le code de conduite et la langue de certification du RGPD [5]. À Maurice, les entités réglementées peuvent solliciter une certification volontaire valide pour 3 ans. Le bureau de protection des donées crée les normes relatives au certificat. La question de code de conduite et de certificats prend davantage d’importance à mesure que les autorités chargées de la protection des données à travers le monde cherchent à créer des applications pratiques des lois de confidentialité calquées sur le RGPD. Cette année, l’administration chargée de la protection de données de l’Ile Maurice a fait preuve de leadership accru en mettant au point une boîte à outils qui inclut des études de cas pratiques et des interprétations de la loi mauricienne en de multiples langues et formats [6].
Le Kenya a adopté sa loi de protection des données après dix ans de débat [7]. Elle comporte beaucoup d’éléments du RGPD et a procédé à des adaptations locales. En particulier, la définition au sens large de « machine de traitement des données », dans la loi kenyane inclut « les pouvoirs publics, une agence ou toute autre organisme ». En raison de cette extension, couplée à la nécessité de mener des activités d’évaluation des risques susceptibles d’être porteurs de risques élevés pour les droits et les libertés des personnes concernées, le gouvernement sera appelé à procéder à l’évaluation de l’impact de la protection des données ou aux AIPD dans ses propres programmes. Cela incluerait les projets d’identification gérés par le gouvernement tels que Huduma Namba [8]. En outre, si la loi est rigoureusement mise en œuvre, la plus récente idée de confidentialité et les localisations pourraient créer un solide tissu de confidentialité pour les kenyans des secteurs public et privé [9].
La loi togolaise 2019-014 relative à la protection des données personnelles [10] marque le progrès de l’idée de confidentialité de manières significatives. D’abord, la loi togolaise est d’une portée plus large que le RGPD. La portée de la loi togolaise inclut « toute collecte, tout traitement, toute transmission, tout stockage et tout usage de données par une personne physique, l’État, les collectivités locales, les personnes morales de droit public ou privé » ainsi que toute donnée automatisée ou non dans sa portée et d’autres inclusions [11]. Il est à noter que la loi togolaise prévoit une définition séparée et un article relatif à l’interconnexion des données personnelles. Il s’agit d’un important ajout post- RGPD qui régit les protections spécifiques aux mécanismes de croisement des données en matière de traitement des données, qu’il s’agisse du croisement par des machines de traitement des données ou du croisement aux fins de traitement.
L’article 33 de la loi fixe les conditions pour que les contrôleurs de données obtiennent une autorisation d’interconnexion (liaison) spécifique qui inclut l’information relative à la nature des données, la durée autorisée de la liaison, et les modalités de mise en œuvre des protections des droits et libertés, y compris la vie privée des individus et des tiers. L’article 34 de la loi conditionne tout croisement de données à l’absence de violation des droits humains et de la vie privée. La nouvelle convention 108 + du Conseil Européen porte le germe de cette idée. La loi togolaise l’a davantage développé [12]. Les idées exprimées au sujet du croisement dans loi togolaise ont la potentialité d’être influentes et importantes dans de nombreuses juridictions à travers le monde.
Les pays africains promulguent des lois modernes relatives à la vie privée renseignée par le RGPD sans en être pour autant des copies conformes. Les nouvelles lois africaines brandissent leurs propres idées et approches de quelques-unes des questions de vie privée les plus pressantes et les plus émergeantes aujourd’hui, des lois votées pour le contexte africain. Pour les juridictions africaines qui ne l’ont pas encore fait, il est essentiel de mettre en place une législation moderne de base en matière de protection des données et de doter les administrations chargées de la protection des données à l’échelon national de l’indépendance nécessaire pour mettre en vigueur la loi et de donner l’orientation en cours. La protection des données moderne contribuera largement à assurer l’innocuité de l’identification et des autres écosystèmes numériques et leur collaboration à l’avènement du bien de tous. Bien appliquées, les nouvelles lois post-RGPD peuvent aider à créer un environnement qui facilite la confiance et la prospérité des économies numériques.
Faciliter et garder la confiance du public est particulièrement important à la lumière de la crise du COVID 19, qui crée un problème majeur de santé publique en Afrique et dans le monde ainsi qu’un problème de vie privée et de protection de données. En situation de crise de santé publique la tendance est presque toujours de desserrer la protection des données. Il sera presque toujours question d’utilisation des données d’identité d’une certaine manière. Alors qu’un certain fléchissement des protections peut se justifier, un équilibre doit être trouvé, et cela est difficile à réaliser.
Les administrations africaines en charge de la protection des données peuvent aborder ces problèmes en travaillant en synergie pour concevoir une orientation sectorielle détaillée qui fasse l'équilibre entre les utilisations urgentes de données et la protection des données essentielles, y compris dans les systèmes d’identité. Des contrôles de données pratiques tels que les codes de conduite, sur lesquels les administrations africaines chargées de la protection des données travaillent déjà, peuvent être d’une grande aide à tous les pays africains dans cette crise. En utilisant avec succès les lois existantes et en accueillant favorablement l’assistance en cours apportée par les spécialistes africains de la protection des données, lesquels sont en posture de mieux connaître ce qui est requis pour faire l’équilibre, l’Afrique peut résoudre les problèmes causés par la pandémie d’une manière respectueuse des données privées et facilitatrice de la confiance.
Références
Règlement général de l’UE sur la protection des données, (UE-RGPD). Disponible sur : http://www.privacy-regulation.eu/en/index.htm.[4] Boîte à outils de la formation relative à la protection des données, Bureau de Protection des Donnée, Ile Maurice. Disponible sur: http://dataprotection.govmu.org/English/Pages/Data-Protection-Training-Toolkit.aspx.
Voir l’historique du RGPD, Superviseur Européen de la Protection des Données. Disponible sur : https://edps.europa.eu/data-protection/dataprotection/legislation/history-general-data-protection-regulation_en.
Depuis mars 2020, 143 pays ont passé des lois modernes sur la protection des données. La loi sur la protection des données privées de l’Égypte est le plus récent ajout, depuis février 2020. Voir Egypt Law No. 181/2018. Voir également: Graham Greenleaf, Global Data Privacy Laws 2019: 132 National Laws & Many Bills, Privacy Laws & Business International Report, 8 février 2019. Disponible sur SSRN: https://ssrn.com/abstract=3381593.
Loi Mauricienne sur la Protection des Données de 2017. Bureau de Protection des Données, Île Maurice. Disponible sur : http://dataprotection.govmu.org/English/Legislation/Pages/Data-Protection-Act-2017-.aspx.
Le débat relatif aux certificats figure dans l’article 42 du RGPD.
Boîte à outils de la formation relative à la protection des données, Bureau de Protection des Données, Île Maurice. Disponible sur: http://dataprotection.govmu.org/English/Pages/Data-Protection-Training-Toolkit.aspx.
Loi de 2019 relative à la protection des données, République du Kenya, Conseil National de la Bibliothèque de Compte Rendu Juridique. Disponible sur: http://kenyalaw.org/kl/fileadmin/pdfdownloads/Acts/2019/TheDataProtectionAct__No24of2019.pdf.
Page d’accueil Huduma Numba. Disponible sur: https://www.hudumanamba.go.ke.
Pour plus de détails sur la loi kényane, voir Isaac Rutenberg, Expert Commentary: Kenya follows the path of European-Style data protection, World Privacy Forum. 22 novembre 2019. Disponible sur: https://www.worldprivacyforum.org/2019/11/expert-commentary-kenya-follows-the-path-of-european-style-data-protection/.
Loi no. 2019-014 du 29 octobre 2019, relative à la protection des données à caractère personnel. Actes du Gouvernement de la République Togolaise. Disponible sur : https://jo.gouv.tg/sites/default/files/JO/JOS_29_10_2019-64E%20ANNEEN°26%20TER.pdf#page=1.
Extrait de l’Article 2: “Sont soumis à la présente loi : toute collecte, tout traitement, toute transmission, tout stockage et toute utilisation des données à caractère personnel par une personne physique, par l’État, les collectivités locales, les personnes morales de droit public ou de droit privé.” C’est l’une des 5 inclusions.
Convention 108+ sur la protection des individus relative au traitement des données, Conseil de l’Europe. Juin 2018. Disponible sur: https://rm.coe.int/convention-108-convention-for-the-protection-of-individuals-with-regar/16808b36f1.