Ignorer la navigation

Protection des données en Afrique: un regard sur les progrès des membres de l'OGP

Couverture papier sur la protection des données en Afrique

L'adoption mondiale de la législation sur la protection des données a été lente. Seuls 66 pour cent des pays dans le monde ont une législation en vigueur, tandis que 10 pour cent supplémentaires ont un projet de loi. Les pays africains sont à l'origine de cette tendance mondiale, avec seulement 52% d'entre eux ayant une législation sur la protection des données en vigueur. Sur les quatorze membres africains de l'OGP, dix États ont promulgué une législation sur la protection des données, à savoir : Burkina Faso, Cabo Verde, Côte d'Ivoire, Ghana, Kenya, Liberia, Malawi, Maroc, Nigeria, Sénégal, Seychelles, Sierra Leone, Afrique du Sud, et la Tunisie. Le Malawi et le Nigéria ont un projet de loi, et le Libéria et la Sierra Leone n'ont aucune loi du tout.

De manière significative, les quatorze membres africains de l'OGP reconnaissent le droit à la vie privée au niveau national, et il existe un consensus croissant sur le fait que le droit (ainsi que le droit de ne pas subir de discrimination illégale, de parti pris ou de tout autre déni d'une procédure régulière) doit évoluer pour inclure des considérations de protection des données. Surtout, il a été noté tout au long du rapport que la réglementation de la protection des données doit trouver un équilibre approprié avec les droits de l'homme importants, tels que l'accès à l'information et la liberté d'expression.

Ce rapport vise à comprendre et à analyser le contexte et les principaux obstacles à une protection efficace des données dans les quatorze membres africains de l'OGP et à faire des recommandations éclairées qui renforcent la protection des données sur le continent africain. Ce faisant, ce rapport se concentre sur trois domaines thématiques qui présentent un intérêt particulier pour OGP: transparence, responsabilité et participation. Au sein de ces domaines thématiques, dix-huit domaines d'intervention ont été analysés, consistant en des mécanismes communs inclus dans la législation sur la protection des données qui permettent un cadre efficace et contribuent à une plus grande transparence, la reddition de comptesainsi que participation.

Un résumé des résultats et des conclusions de l'analyse contextuelle et législative dans chaque domaine thématique est brièvement détaillé ci-dessous. 

Pour plus de détails sur toutes les conclusions et recommandations, veuillez consulter le rapport complet ici.

Transparence

La transparence est un principe important de la législation sur la protection des données : elle établit la confiance entre la personne concernée et le responsable du traitement, et elle permet à la personne concernée d'exercer un contrôle sur ses données et de prendre des décisions éclairées sur les fournisseurs de services à utiliser. Il permet en outre aux personnes concernées de demander réparation si nécessaire et s'efforce d'accroître la responsabilité. La législation de tous les membres africains de l'OGP comprenait un certain engagement en faveur de la transparence, cinq membres l'incluant explicitement comme condition de traitement licite. Il a été reconnu par les parties prenantes que la transparence, au strict minimum, exige la publication d'informations, en particulier concernant les contrôleurs de données et les sous-traitants.

Dans ce domaine thématique, quatre domaines d'intervention ont été analysés, voir les conclusions et recommandations pour chacun, ci-dessous :

  • Le droit de notification
    • Douze membres de l'OGP offrent aux personnes concernées le droit d'être informées que leurs données personnelles sont en cours de traitement.
    • En l'absence de notification d'un contrôleur de données que les données personnelles d'une personne concernée sont en cours de traitement, une personne concernée peut ne pas être au courant de la non-conformité, ce qui compromet sa capacité à exercer des droits supplémentaires.
  • Notification de violation  
    • Seuls quatre membres nécessitent une notification en cas de violation de données.
    • Il a été noté que l'obligation d'informer une personne concernée en cas de violation de données contribue à une transparence accrue et permet à une personne concernée de contrôler ses données personnelles. La finalité d'une telle obligation peut être compromise par le texte juridique de trois manières : (1) par l'absence d'un délai prescrit pour la notification ; (2) par l'utilisation de termes vagues pour la période de notification ; et (3) par l'inclusion d'exceptions qui permettent la non-déclaration.
  • Registres de traitement des données
    • Huit membres de l'OGP nécessitent l'élaboration d'un registre de traitement des données, qui est un ensemble consolidé d'informations que l'autorité de régulation développe et maintient. Pour être efficace, contribuer à la transparence et permettre l'exercice des droits des personnes concernées, le registre doit être accessible, ce qui nécessite un accès numérique.
  • Icônes des conditions d'utilisation
    • Aucun des membres n'exige l'utilisation d'icônes de conditions d'utilisation.

Recommandations pour renforcer la transparence

  • Des audits proactifs des contrôleurs de données devraient être menés afin de confirmer leur conformité avec la législation sur la protection des données. De tels audits sont utiles pour s'assurer que les personnes concernées ont été informées que leurs données personnelles sont en cours de traitement, ce qui permettra l'exercice de droits supplémentaires. Il est envisagé que les membres soient les acteurs de mise en œuvre, bien que les acteurs du secteur privé puissent également envisager de mener de tels audits.
  • L'obligation d'informer l'autorité de régulation et les personnes concernées en cas de violation doit prescrire des délais précis et certains. L'utilisation de délais imprécis est susceptible d'abus et peut conduire au non-respect. Il est prévu que les membres soient les acteurs de mise en œuvre.
  • Les registres de traitement des données devraient être mis à la disposition du public. Les frais prescrits ne doivent pas limiter l'accès à certains membres du public. Le mécanisme qui donne accès au registre doit être accessible et il est recommandé d'inclure l'accès numérique. Il est prévu que les membres soient les acteurs de mise en œuvre.
  • Les mécanismes ou processus permettant l'exercice du droit d'accès à l'information doivent être accessibles. Il est envisagé que les contrôleurs de données soient les acteurs de mise en œuvre.

Responsabilité

La responsabilité en matière de protection des données dépend du contexte, ce qui rend difficile l'élaboration de règles ou de normes uniformes pour un cadre institutionnel de responsabilité. Cependant, certaines mesures communes ont été incluses dans la législation sur la protection des données des membres africains de l'OGP, dont la plus importante comprend la nomination d'une autorité de régulation chargée de faire respecter la loi. La législation sur la protection des données prévoit plusieurs mesures et mécanismes de responsabilité qui permettent aux différents acteurs de demander des comptes aux différents mandants. Ce rapport explore ces mécanismes dans les trois relations de responsabilité ci-dessous :

Mécanismes permettant à la personne concernée de tenir le responsable du traitement responsable

  • Responsabilité civile
    • L'efficacité de la responsabilité civile est minée par le manque d'expertise de la magistrature, des services de police et de la profession juridique.

Mécanismes permettant à l'autorité de régulation de tenir le responsable du traitement responsable

  • Le pouvoir d'enquêter
    • Ce pouvoir a un impact significatif sur la capacité d'une autorité de régulation à sanctionner les parties non conformes et l'oblige à disposer des ressources et des capacités nécessaires, car les enquêtes sur la non-conformité nécessitent un haut niveau d'expertise technique. Cela exige à son tour que l'autorité de réglementation soit dotée des ressources appropriées d'une telle expertise technique.
    • Neuf des douze membres confèrent aux autorités de régulation de tels pouvoirs d'accès et de saisie.
  • Le pouvoir de sanctionner
    • Il a été noté par les intervenants qu'une sanction ne sera efficace que si elle est prohibitive, ce qui exige que l'amende soit suffisamment élevée pour avoir un effet dissuasif. Des montants législatifs faibles affaiblissent le rôle de l'autorité de régulation.
    • La législation de onze des douze membres prévoit des sanctions pénales et sept des douze membres prévoient des sanctions administratives qui comprennent généralement l'imposition d'une amende.
  •  Indépendance
    • L'indépendance institutionnelle est minée par les préoccupations relatives au budget, à la collaboration et aux exigences en matière de rapport, et à la sécurité d'emploi qui, à leur tour, peuvent miner l'indépendance décisionnelle.
  • Ressources
    • Pour que l'autorité de régulation fonctionne efficacement, elle a besoin de ressources financières suffisantes pour embaucher des membres du personnel suffisamment qualifiés.

Mécanismes permettant au public de tenir l'autorité de réglementation responsable

  • Rapports réguliers
    • L'autorité de régulation devrait fournir des rapports accessibles au public qui permettent aux acteurs externes de la tenir responsable.
    • La législation de neuf des douze membres de l'OGP exige que l'autorité de réglementation soumette un rapport annuel.

 Recommandations pour renforcer la responsabilisation

  • Tous les acteurs clés de l'écosystème de la responsabilité doivent avoir la capacité technique et les connaissances nécessaires pour gérer les questions de protection des données. Cela comprend les membres de l'autorité de régulation, les membres du service de police, les avocats et les juges. Tous ces acteurs doivent être correctement formés et dotés des compétences nécessaires pour déterminer si une violation de la protection des données a eu lieu et pour comprendre et appliquer les recours appropriés. Il est envisagé que les membres, les autorités de régulation et les organismes professionnels soient les acteurs de mise en œuvre.
  • Des tribunaux spécialisés, ou des unités et des greffes au sein des tribunaux, devraient être désignés pour statuer sur les questions de protection des données. Il est prévu que les membres soient les acteurs de mise en œuvre.
  • Les sanctions en termes d'amendes pécuniaires doivent être suffisamment élevées pour avoir un effet dissuasif. Il est prévu que les membres soient les acteurs de mise en œuvre.
  • L'indépendance institutionnelle de l'autorité de régulation doit être garantie afin d'assurer l'indépendance juridictionnelle ; cela nécessite un modèle financier durable qui garantit l'indépendance financière de l'autorité de régulation. Il est prévu que les membres soient les acteurs de mise en œuvre.
  • L'autorité de régulation doit être dotée des capacités appropriées. Cela nécessite un financement suffisant pour employer du personnel techniquement qualifié. Les membres de l'autorité de régulation devraient envisager d'autres moyens d'attirer des compétences techniques, tels que les partenariats public-privé, le développement de réseaux et les stages. Il est envisagé que les membres et les autorités de régulation soient les acteurs de mise en œuvre.
  • L'autorité de régulation devrait rendre compte publiquement de ses activités et fonctions pour permettre aux acteurs externes de la tenir responsable. Il est recommandé que ces rapports soient publiés tous les trimestres et qu'ils comprennent des statistiques et des informations ventilées. Il est prévu que les autorités de régulation seront les acteurs de mise en œuvre.

Participation

Ce domaine thématique concerne la participation dans trois cas : premièrement, la participation des personnes concernées au traitement de leurs données personnelles et le contrôle de celui-ci ; deuxièmement, la participation de l'autorité de réglementation au niveau national à travers son engagement avec les parties prenantes et sa capacité à participer aux développements législatifs et politiques ; et troisièmement, la participation de l'autorité de régulation au niveau régional à travers sa coopération dans les associations, réseaux et organisations régionaux. Dans ce domaine thématique, six domaines d'intervention ont été analysés : le droit d'accéder aux données personnelles, le droit de demander la correction ou la suppression des données personnelles, le consentement, l'engagement des parties prenantes, la formulation de politiques et la participation des autorités de réglementation.

Participation de la personne concernée

  • Le droit d'accéder aux données personnelles
    • Ce droit est compromis de deux manières : (1) il existe un écart entre le type d'informations requises pour déposer une plainte et le type d'informations auxquelles une personne concernée a accès, ce qui à son tour porte atteinte au droit d'une personne concernée à un recours effectif ; et (2) il est rendu inaccessible par des processus incertains, compliqués ou qui présentent des obstacles complexes au niveau de la langue et de l'alphabétisation.
    • Douze membres de l'OGP accordent aux personnes concernées le droit d'accéder à leurs données personnelles.
  • Le droit de demander la rectification ou la suppression des données personnelles
    • Ces droits reposent sur la connaissance par la personne concernée qu'un responsable du traitement traite ses données personnelles et est donc habilitée par ce droit de demander l'accès et son droit de notification. L'atteinte à ces droits diminue leur capacité à exercer le droit de demander la rectification ou la suppression de leurs données personnelles.
    • Douze membres de l'OGP offrent aux personnes concernées le droit de demander la rectification ou la suppression de leurs données personnelles.
  • Consentement
    • Le consentement opt-in n'est généralement pas requis chez les membres OGP.
    • Le Kenya est le seul membre qui exige expressément le consentement opt-in.

La participation nationale de l'autorité de régulation

  • Engagement des parties prenantes
    • Un engagement efficace nécessite que l'autorité de réglementation ait un mandat transversal pour faciliter les engagements avec de multiples parties prenantes, et cela nécessite que les parties prenantes aient un accès direct à l'autorité de réglementation.
  • Le mandat de l'autorité de réglementation de participer à la formulation de la politique
    • L'autorité de régulation disposera de l'expertise nécessaire pour orienter la politique de protection des données et leur inclusion dans le processus offre une opportunité de renforcer les faiblesses qui existent dans le système de régulation.
    • Huit des douze membres sont habilités à participer à la politique intérieure

La participation régionale et internationale de l'Autorité de régulation

  • Participation de l'Autorité de Régulation aux Organismes Régionaux
    • Une protection efficace des données nécessite que l'autorité de régulation soit intégrée dans les associations régionales afin d'aider à la coordination et au développement de la jurisprudence et des ressources.

Recommandations pour renforcer la participation

  • Des audits devraient être menés pour déterminer à quelles informations une personne concernée a accès et quelles informations sont nécessaires pour déposer une plainte. Les deux doivent s'aligner pour permettre à une personne concernée d'exercer son droit à un recours effectif. Il est envisagé que les contrôleurs de données soient les acteurs de mise en œuvre.
  • Les contrôleurs de données doivent s'assurer que le processus qu'ils mettent en œuvre pour réaliser le droit d'une personne concernée de demander l'accès à ses données personnelles est clair, sûr et prend en compte les barrières contextuelles de la langue et de l'alphabétisation. La loi devrait prévoir des exigences minimales indiquant un délai pour une réponse, cela ne devrait pas entraîner de coût et les informations devraient être fournies dans un format intelligible. Il est envisagé que les contrôleurs de données et les membres soient les acteurs de mise en œuvre.
  • La participation des personnes concernées est compromise par un manque de connaissance des droits des personnes concernées. Des campagnes de sensibilisation devraient être entreprises pour faciliter la participation des personnes concernées. Il est recommandé de lier les problèmes de protection des données aux préjudices réels pour rendre le contenu plus accessible. Il est envisagé que les autorités de régulation, les membres et les organisations de la société civile soient les acteurs de mise en œuvre.
  • L'autorité de régulation devrait avoir un mandat transversal et la capacité de faciliter les conversations multipartites. Il est prévu que les membres et les autorités de régulation soient les acteurs de mise en œuvre.
  • La protection des données doit être un processus participatif : pour permettre cela, les autorités réglementaires doivent consulter les parties prenantes avant de publier des documents réglementaires tels que des notes d'orientation. Il est prévu que les autorités de régulation seront les acteurs de mise en œuvre.
  • Un organe ou un mécanisme devrait être établi pour permettre une plus grande coopération régionale. Il est recommandé qu'une telle coordination ait lieu au niveau de l'Union africaine et qu'un bureau similaire au comité européen de la protection des données soit mis en place. Un tel organisme pourrait fournir des orientations régionales aux États sur les questions de protection des données. Il est envisagé que les membres et l'Union africaine soient les acteurs de mise en œuvre.

Les informations contenues dans ce rapport datent du 1er juillet 2021.

Remerciements

OGP tient à remercier les parties prenantes suivantes qui ont généreusement donné de leur temps pour contribuer à ce rapport et dont la contribution a été inestimable : Alison Tilley, Amrit Labhuram, Anri Van der Spuy, Chawki Gaddes, Fatou Jagne, Gabriella Razzano, 'Gbenga Sesan, Grace Bomu, Hlengiwe Dube, Mugambi Laibuta, Mustafa Mahmoud, Teki Akuetteh Falconer et les quatre parties prenantes qui ont souhaité rester anonymes.

Pour la rédaction de ce rapport, OGP remercie Tara Davis de ALT Advisory, soutenu par Avani Singh et Wendy Trott. Pour les premières révisions de la version préliminaire de ce rapport, OGP remercie Michael Power, Joseph Foti, Sandy Arce et Jessica Hickle.

Télécharger

Commentaires (1)

Amine BYAD Répondre

Pouvez-vous s'il vous plaît indiquer où dans la loi sur le DP du Kenya, l'opt-in est expressément mentionné ?

Laissez un commentaire

Votre adresse email n'apparaîtra pas. Les champs obligatoires sont marqués *

Open Government Partnership