En quoi est-il fondamental pour les pays africains de se doter d’une réglementation sur le transfert de données personnelles d’après vos travaux ?
Tout d’abord, lorsqu’on se pose la question de la protection des données personnelles, il est toujours intéressant de se demander : pourquoi protège-t-on les données personnelles ? Il y a deux grandes conceptions qu'il est important de rappeler. La première est humaniste et démocratique. Vous la retrouvez à travers la loi de protection des données personnelles française de 1978, qui s'appelle la loi “Informatique et Libertés”. A l’époque, la peur d’un Etat “Big brother”, tout-puissant, a motivé la création d’une autorité indépendante, la Commission Nationale Informatique et Libertés (CNIL) pour protéger les citoyens. Ce courant de pensée vise à protéger les libertés individuelles : vie privée, liberté de circuler, de conscience, de religion, politique, syndicale, etc. Mais, pour véritablement atteindre cet objectif, il faut une autorité de protection réellement indépendante qui puisse s'opposer à l'Etat. L'autre conception est davantage économico-mondialiste. L’élaboration des lignes directrices de l’OCDE, régissant la protection de la vie privée et les flux transfrontières de données à caractère personnel, adoptées en 1980, a été le premier acte de ce courant de pensée. A cette époque, on constate que la réglementation sur la protection des données personnelles est peu développée dans le monde, et que les règles sont très disparates et ne sont pas harmonisées, ce qui représente un frein aux flux transfrontières de données personnelles et donc au développement de l'économie mondiale.
L’OCDE a voulu inciter les pays à se doter d'un socle minimum de protection pour favoriser les transferts internationaux de données personnelles. Si on veut que les citoyens, les clients, les patients, etc., partagent leurs données, il faut qu'ils soient rassurés par des règles protectrices et une autorité indépendante qui les applique. Ces deux conceptions ne s’opposent pas mais se complètent. Le modèle européen du règlement général de protection des données (RGPD), adopté en 2016 et entré en vigueur en 2018, applique cette double conception. Le RGPD encadre le traitement des données de manière harmonisée sur tout le territoire de l'Union européenne (UE), et favorise les flux transfrontières au sein de l'UE. Les pays africains pourraient s'inspirer de ce modèle européen.
“A ce jour, cinq pays africains (Cap-Vert, Maroc, Maurice, Sénégal et Tunisie ) ont signé et ratifié la Convention 108 du Conseil de l’Europe”
Quel est l’état des lieux législatif des pays africains ?
La première fois que je me suis intéressé à une réglementation sur la protection des données personnelles sur le continent africain, c'était celle du Maroc, en 2009. C’était une des premières réglementations en la matière, avec celles du Cap-Vert et du Sénégal. Ensuite, le Bénin, à l’époque, en 2009, nous ne sommes pas encore sous le régime du RGPD en Europe, mais le pays a su par la suite faire évoluer ses textes sur ce règlement.
A ce jour, cinq pays africains (Cap-Vert, Maroc, Maurice, Sénégal et Tunisie ) ont signé et ratifié la Convention 108 du Conseil de l’Europe, une importante convention internationale sur la protection des données personnelles. En revanche, aucun pays africain n'est reconnu par la Commission européenne comme offrant une protection adéquate au regard des critères de protection de l’UE. Enfin, il y a quelques pays qui n’ont aucune loi, mais c’est une minorité. Ils sont sur le chemin de l’adoption d’une réglementation de la protection des données personnelles. Le Cameroun réfléchit à un projet de loi, la Centrafrique a également un projet en cours d’examen.
En Afrique, on observe une forte accélération depuis cinq ans. De plus en plus de pays se dotent d’une réglementation. Peut-être est-ce l’effet qu’a eu le RGPD sur le monde. D'ailleurs, la Chine, qui était l’un des grands absents, a adopté la loi PIPL (protection des informations personnelles), il y a deux ans, et l’Inde, une loi sur la protection des données personnelles numériques (DPDPA), cet été. L’autre constat, concernant l’Afrique, est moins bon. Il s’agit de la lenteur dans la mise en œuvre de ces réglementations. En Algérie, par exemple, la loi date de 2018 mais elle est entrée en vigueur en août 2023. Il a fallu quatre ans. Même chose pour l’Afrique du Sud, la loi date de 2013, elle est entrée en vigueur huit ans plus tard. En Egypte, l’application de la loi votée il y a deux ans est soumise à l’adoption d’un décret, qui n’est, à ce jour, pas encore publié.
“Il faut absolument accélérer l’harmonisation et la cohérence des réglementations”
Quelles sont les initiatives de réglementation continentales ?
Trois initiatives panafricaines très intéressantes doivent être mentionnées. La toute première date de 2010, c’est l'Acte additionnel relatif à la protection des données à caractère personnel, mais qui ne couvre que l’espace de la Communauté économique des Etats d’Afrique de l’Ouest (CEDEAO). L’Acte additionnel devait créer un cadre pour guider les différents membres de la CEDEAO pour l’adoption de réglementations nationales. Le deuxième exemple est une initiative plus large, celle de l’Union Africaine avec la Convention dite de Malabo, qui date de 2014. Les deux textes se ressemblent beaucoup, ils incitent les pays à favoriser l’adoption de réglementations cohérentes pour faciliter un transfert des données interafricaines.
Ces textes doivent promouvoir une cohérence. On a vécu pendant des années en Europe avec des réglementations qui n'étaient pas harmonieuses ; c'est très difficile pour les acteurs de développer les flux et traitements de données personnelles quand ils doivent faire face à des réglementations différentes dans chaque pays.
Le dernier instrument que je voulais mentionner, c’est la loi type sur la protection des données qui a été développée par la Communauté de développement de l’Afrique australe (SADC), qui a une approche légèrement différente. La SADC a invité ses pays membres à reprendre le modèle de loi proposé pour l’implémenter dans leur juridiction nationale, mais cela a peu été suivi.
Quelles sont les perspectives pour une réglementation effective en Afrique ?
Il faut absolument accélérer l’harmonisation et la cohérence des réglementations. Elles sont trop disparates. Il est dommage aujourd’hui qu’aucun pays africain n'ait encore franchi le pas de la reconnaissance d’une protection adéquate par la Commission européenne. Ce serait probablement une grande avancée pour le continent. Plusieurs pays ont fait des demandes de reconnaissance, mais aucune n'a abouti, à ce jour. Et puis, il y a un dernier enjeu : favoriser l'éducation dans le domaine des données personnelles. Beaucoup d'études sur les questions de réglementation sur les données personnelles se font avec des cabinets étrangers, et c’est très bien. Mais, le développement, en Afrique, de l'enseignement universitaire de la protection des données personnelles serait un formidable levier. Nous avons constaté, notamment en France, que les masters universitaires sur la protection des données se sont énormément développés au cours des cinq ou six dernières années. Produire du savoir sur ces sujets aide les acteurs à mieux comprendre la loi, à mieux la respecter et à mieux l'appliquer, mais aussi à pouvoir la faire évoluer pour l'améliorer.