Le 22 février, de nombreux responsables africains de la protection des données personnelles se sont donné rendez-vous à Casablanca pour une conférence internationale organisée par la Commission nationale de la protection des données à caractère personnel (CNDP) sur le thème « La protection de la vie privée et des données personnelles : un levier de développement en Afrique ».

Alors que l’Union européenne vient de se doter d’un règlement général sur la protection des données (RGDP) qui entrera en vigueur en mai 2018, l’objectif pour les pays africains est de se mettre juridiquement au niveau de l’Europe. Un vœu partagé par l’ensemble des autorités africaines de protection.

L’enjeu est de taille, car si la protection des données personnelles représente une opportunité de développement pour les pays africains, à l’inverse, une déficience dans ce domaine pourrait impacter négativement les relations économiques et les échanges commerciaux entre l’Europe et l’Afrique.

Le sujet résonne également avec les enjeux sécuritaires, démocratiques et de libertés fondamentales. Pour Isabelle Falque-Pierrotin, présidente de la Conférence internationale des commissaires à la protection des données et à la vie privée, « si les pratiques et les cultures peuvent différer selon les régions du monde, le respect du droit des personnes est une revendication croissante« . Une revendication encore balbutiante en Afrique, où le taux d’analphabétisme est un problème majeur pour la sensibilisation des populations.

Seuls 10 pays africains ont légiféré

Selon Etienne Fifatin, président du Réseau africain des autorités de protection des données personnelles (RAPDP), « sur la cinquantaine de pays africains, seulement 10 disposent d’une loi et/ou d’une autorité« . Il confesse faire du lobbying auprès des gouvernements pour les inciter à mettre en place un cadre législatif. « Il est difficile d’amener les gouvernements à comprendre que la protection des données personnelles fait partie des droits humains et doit être une opportunité de développement. Et même pour les pays qui ont une législation, avant même d’être promulguées, les lois sont souvent déjà dépassées », regrette-t-il.

« Au Bénin, nous sommes dépassés, car les violations les plus massives ont lieu sur les réseaux sociaux qui nous échappent« , admet le président de l’autorité de protection des données personnelles béninoise.

Un constat partagé par le représentant sénégalais, mais qui y voit au contraire un moyen de « confirmer son rôle de régulateur, par de la sensibilisation à l’éducation numérique notamment dans les écoles« .

Au Burkina Faso, une loi a été adoptée en 2004 et des actions de sensibilisations sont menées. « Nous avons traduit la loi en plusieurs langues nationales pour la distribuer à des associations, pour contrer l’analphabétisme« , explique le responsable de l’autorité burkinabé.

En Angola, une loi créant l’agence de protection des données personnelles a été adoptée en 2011, mais ladite agence n’est toujours pas opérationnelle.

Cap-Vert, Mali, Tunisie et Maroc à l’avant-garde

Le Cap-Vert est quant à lui l’un des premiers pays africains à avoir mis en place une législation en 2000, directement inspirée d’une directive européenne de 1995. Le contrôle avait été confié à l’Assemblée nationale à travers une commission parlementaire, mais n’était pas effectif. C’est pour cela qu’en 2013 a été créée une autorité, installée en 2015.

Celle-ci mène des actions concrètes, et a notamment condamné en mai 2017 la Banque Centrale du Cap-Vert à une amende pour avoir communiqué une liste d’informations personnelles de 50 individus. Une première, car jamais auparavant la Banque Centrale n’avait été condamnée. Elle a fait appel du jugement et l’affaire est toujours en cours.

Le Mali également a vu deux sociétés étatiques et un opérateur de télécommunication condamnés à des amendes pour avoir donné un accès non autorisé à des informations personnelles.

« La Tunisie est un précurseur en la matière, la protection des données personnelles étant constitutionnalisée depuis 2002, pendant le régime policier de Ben Ali », explique Chawki Gaddes, président très médiatique de l’INPDP tunisienne. Il n’hésite pas à affirmer que « le pragmatisme des régimes policiers est qu’ils se débrouillent toujours pour dorer l’image« .

Une loi adoptée en 2004 a somnolé jusqu’en 2011 où l’instance créée est devenue effective. Un changement de perspective venu avec le printemps arabe. Mais « cette instance traîne son histoire originelle. Dans les textes, elle n’est pas indépendante. Pourtant dans la pratique, nous le sommes« , assure Chawki Gaddes. « Je n’ai jamais consulté aucun ministre, on s’est opposé à certains d’entre eux et on a acquis la confiance de l’opinion publique« , affirme le  responsable tunisien.

Le Maroc aussi fait figure de pionnier sur le continent, avec la loi 09-08 sur la protection des données personnelles qui a créé la CNDP. Lahoussine Aniss, son secrétaire général, détaille son bilan de l’année écoulée: 640 personnes morales contrôlées, 1745 plaintes traitées, 85 avertissements adressés et 22 autres dossiers transférés aux autorités judiciaires. Mais l’indépendance de la commission est relative, celle-ci étant toujours sous la tutelle du gouvernement marocain.

Des intérêts étatiques divergents ?

« Souvent les préoccupations ne sont pas les mêmes, entre la défense des intérêts du pays et la protection des données« , relève le responsable béninois. Un constat partagé par le président de l’autorité de protection malienne, qui n’hésite pas à demander: « quelle attitude adopter par les autorités face à l’intrusion de plus en plus fréquente des services de sécurité et de renseignements de nos États dans la sphère des données personnelles en dehors de tout encadrement juridique? Comment concilier la protection des données personnelles avec la liberté de la presse dans nos États où la culture démocratique est encore en construction? »

Des questions qui font écho à la situation en Côte d’Ivoire, où le gouvernement a décidé en 2013 de confier la gestion de la protection des données personnelles à l’autorité de régulation des télécommunications.

Un choix « justifié par une mutualisation des ressources et une éco­nomie de moyens », explique le responsable de l’autorité concernée. À l’inverse, l’autorité ghanéenne est indépendante du gouvernement et ne reçoit pas de subventions étatiques.

Mais la question du conflit entre intérêts étatiques et protection de la vie privée se pose avec une acuité particulière pour le Maroc, qui envisage de se doter d’un système d’identifiant personnel, à l’instar de l’Inde.

L’objectif est de mieux cibler les aides sociales en identifiant les populations vulnérables. Mais n’y a-t-il pas là un danger majeur pour la protection des données personnelles? Le Tunisien Chawki Gaddes confesse: « Par principe, je suis contre l’identifiant unique. Mais quand on est impliqué dans les rouages de l’État, on comprend qu’il a besoin d’informations. En Tunisie, la compensation est un gouffre et des gens en profitent alors qu’ils ne devraient pas. L’identifiant unique permet de corriger cela, mais il faut mettre des balises« , estime-t-il. La Tunisie travaille justement à un projet de loi similaire.