Protection des données en Afrique: un regard sur les progrès des membres de l'OGP

Couverture papier sur la protection des données en Afrique

11th Août 2021

L'adoption mondiale de la protection des données législationLa création et l'adoption de lois sont l'un des moyens les plus efficaces de garantir que les réformes du gouvernement ouvert ont des effets durables sur les pratiques gouvernementales. Spécifications techniques : Acte de création ou de r... a été lent. Seuls 66 % des pays du monde ont une législation en vigueur, tandis que 10 % supplémentaires ont un projet de loi. Les pays africains sont à l'origine de cette tendance mondiale, avec seulement 52 % d'entre eux ayant une législation sur la protection des données en vigueur. Sur les quatorze membres africains de l'OGP, dix États ont adopté une législation sur la protection des données, à savoir : Burkina Faso, Cabo Verde, Côte d'Ivoire, Ghana, Kenya, Libéria, Malawi, Maroc, Nigéria, Sénégal, Seychelles, Sierra Leone, Afrique du Sud, et la Tunisie. Le Malawi et le Nigéria ont un projet de loi, et le Libéria et la Sierra Leone n'ont pas de loi du tout.

De manière significative, les quatorze membres africains de l'OGP reconnaissent le droit à la vie privée au niveau national, et il existe un consensus croissant sur le fait que le droit (ainsi que le droit d'être libre de toute discrimination illégale, préjugé ou tout autre déni de procédure régulière) doit évoluer pour inclure des considérations de la protection des données. Fait important, il a été noté tout au long du rapport que le réglementationLes réformateurs du gouvernement élaborent des réglementations qui consacrent les valeurs de transparence, de participation et de responsabilité dans les pratiques gouvernementales. Spécifications techniques : Acte de création ou de réforme... de la protection des données doit trouver un juste équilibre avec des droits de l'hommeUn élément essentiel d'un gouvernement ouvert comprend la protection des libertés et des droits sacrés de tous les citoyens, y compris les groupes les plus vulnérables, et la responsabilisation de ceux qui violent les droits de l'homme. T..., comme l'accès à l'information et liberté d'expressionLes journalistes et les militants sont des intermédiaires essentiels reliant les fonctionnaires aux citoyens et servant de chiens de garde du gouvernement, et leurs droits et leur sécurité doivent être protégés. Spécification technique... Plus.

Ce rapport vise à comprendre et à analyser le contexte et les principaux obstacles à une protection efficace des données dans les quatorze membres africains de l'OGP et à formuler des recommandations éclairées qui renforcent la protection des données sur le continent africain. Ce faisant, ce rapport se concentre sur trois domaines thématiques qui intéressent particulièrement l'OGP : transparenceSelon les articles de gouvernance de l'OGP, la transparence se produit lorsque "les informations détenues par le gouvernement (y compris sur les activités et les décisions) sont ouvertes, complètes, opportunes, librement accessibles au public... Plus, responsabilisation et participation. Au sein de ces domaines thématiques, dix-huit domaines prioritaires ont été analysés, consistant en des mécanismes communs inclus dans la législation sur la protection des données qui permettent un cadre efficace et contribuent à une plus grande transparence, la reddition de compteset participation.

Un résumé des résultats et des conclusions de l'analyse contextuelle et législative dans chaque domaine thématique est brièvement détaillé ci-dessous.

Pour plus de détails sur toutes les conclusions et recommandations, veuillez consulter le rapport complet ici.

Transparence

La transparence est un principe important de la législation sur la protection des données : elle renforce la confiance entre la personne concernée et le responsable du traitement, et elle permet à la personne concernée d'exercer un contrôle sur ses données et de prendre des décisions éclairées sur les fournisseurs de services à utiliser. Il permet en outre aux personnes concernées de demander réparation si nécessaire et contribue à accroître la responsabilité. La législation de tous les membres africains de l'OGP comprenait certains engagementLes engagements du PGO sont des promesses de réforme co-créées par les gouvernements et la société civile et soumises dans le cadre d'un plan d'action. Les engagements comprennent généralement une description du problème, des actions concrètes... à la transparence, cinq membres l'incluant explicitement comme condition d'un traitement licite. Il a été reconnu par les parties prenantes que la transparence, au strict minimum, nécessite la publication d'informations, en particulier concernant les contrôleurs de données et les sous-traitants de données.

Dans ce domaine thématique, quatre domaines d'intervention ont été analysés, voir les conclusions et recommandations pour chacun, ci-dessous :

Le droit de notification
- Douze membres de l'OGP offrent aux personnes concernées le droit d'être informées que leurs données personnelles sont en cours de traitement.
- En l'absence de notification d'un contrôleur de données que les données personnelles d'une personne concernée sont en cours de traitement, une personne concernée peut ne pas être au courant de la non-conformité, ce qui compromet sa capacité à exercer des droits supplémentaires.
Notification de violation
- Seuls quatre membres nécessitent une notification en cas de violation de données.
- Il a été noté que l'obligation d'informer une personne concernée en cas de violation de données contribue à une transparence accrue et permet à une personne concernée de contrôler ses données personnelles. Le but d'une telle obligation peut être compromis par le texte légal de trois manières : (1) par l'absence d'un délai prescrit pour la notification ; (2) par l'utilisation de termes vagues pour la période de notification ; et (3) à travers le inclusionLes gouvernements participants à l'OGP s'efforcent de créer des gouvernements qui servent véritablement tous les peuples. Les engagements dans ce domaine peuvent concerner les personnes handicapées, les femmes et les filles, les lesbiennes, les gays, les bisexuels, les tr... Plus d'exceptions qui autorisent la non-déclaration.
Registres de traitement des données
- Huit membres de l'OGP nécessitent l'élaboration d'un registre de traitement des données, qui est un ensemble consolidé d'informations que l'autorité de régulation développe et maintient. Pour être efficace, contribuer à la transparence et permettre l'exercice des droits des personnes concernées, le registre doit être accessible, ce qui nécessite un accès numérique.
Icônes des conditions d'utilisation
- Aucun des membres n'exige l'utilisation d'icônes de conditions d'utilisation.

Recommandations pour renforcer la transparence

Cybersécurité auditsDes cadres institutionnels et juridiques sont nécessaires pour garantir l'intégrité des informations financières et le respect des règles et procédures budgétaires. Spécifications techniques : Ces... des contrôleurs de données doit être menée afin de confirmer leur conformité à la législation sur la protection des données. De tels audits sont utiles pour s'assurer que les personnes concernées ont été informées que leurs données personnelles sont en cours de traitement, ce qui permettra l'exercice de droits supplémentaires. Il est prévu que les membres seront les acteurs de mise en œuvre, bien que secteur privéLes gouvernements s'efforcent également d'ouvrir les pratiques du secteur privé, notamment grâce à la transparence de la propriété réelle, aux contrats ouverts et à la réglementation des normes environnementales. Spécification technique... Plus les acteurs peuvent également envisager de mener de tels audits.
L'obligation d'informer l'autorité de régulation et les personnes concernées en cas de violation doit prescrire des délais précis et certains. L'utilisation de délais imprécis est susceptible d'abus et peut conduire au non-respect. Il est prévu que les membres soient les acteurs de mise en œuvre.
Les registres de traitement des données devraient être mis à la disposition du public. Les frais prescrits ne doivent pas limiter l'accès à certains membres du public. Le mécanisme qui donne accès au registre doit être accessible et il est recommandé d'inclure l'accès numérique. Il est prévu que les membres soient les acteurs de mise en œuvre.
Les mécanismes ou processus permettant l'exercice du droit d'accès à l'information doivent être accessibles. Il est envisagé que les contrôleurs de données soient les acteurs de mise en œuvre.

Responsabilité

La responsabilité en matière de protection des données dépend du contexte, ce qui rend difficile l'élaboration de règles ou de normes uniformes pour un cadre institutionnel de responsabilité. Cependant, certaines mesures communes ont été incluses dans la législation sur la protection des données des membres africains de l'OGP, dont la plus importante comprend la nomination d'une autorité de régulation chargée de faire respecter la loi. La législation sur la protection des données prévoit plusieurs mesures et mécanismes de responsabilité qui permettent aux différents acteurs de demander des comptes aux différents mandants. Ce rapport explore ces mécanismes dans les trois relations de responsabilité ci-dessous :

Mécanismes permettant à la personne concernée de tenir le responsable du traitement responsable

Responsabilité civile
- L'effectivité de la responsabilité civile est mise à mal par le manque d'expertise dans le judiciaireAlors que la majorité des réformes du gouvernement ouvert se produisent au sein du pouvoir exécutif, les membres de l'OGP s'engagent de plus en plus à accroître l'ouverture du pouvoir judiciaire. Spécification technique..., le service de police et la profession juridique.

Mécanismes permettant à l'autorité de régulation de tenir le responsable du traitement responsable

Le pouvoir d'enquêter
- Ce pouvoir a un impact significatif sur la capacité d'une autorité de régulation à sanctionner les parties non conformes et l'oblige à disposer des ressources et des capacités nécessaires, car les enquêtes sur la non-conformité nécessitent un haut niveau d'expertise technique. Cela exige à son tour que l'autorité de réglementation soit dotée des ressources appropriées d'une telle expertise technique.
- Neuf des douze membres confèrent aux autorités de régulation de tels pouvoirs d'accès et de saisie.
Le pouvoir de sanctionner
- Il a été noté par les intervenants qu'une sanction ne sera efficace que si elle est prohibitive, ce qui exige que l'amende soit suffisamment élevée pour avoir un effet dissuasif. Des montants législatifs faibles affaiblissent le rôle de l'autorité de régulation.
- La législation de onze des douze membres prévoit des sanctions pénales et sept des douze membres prévoient des sanctions administratives qui comprennent généralement l'imposition d'une amende.
Indépendance
- L'indépendance institutionnelle est minée par les préoccupations relatives au budget, à la collaboration et aux exigences en matière de rapport, et à la sécurité d'emploi qui, à leur tour, peuvent miner l'indépendance décisionnelle.
Ressources
- Pour que l'autorité de régulation fonctionne efficacement, elle a besoin de ressources financières suffisantes pour embaucher des membres du personnel suffisamment qualifiés.

Mécanismes permettant au public de tenir l'autorité de réglementation responsable

Rapports réguliers
- L'autorité de régulation devrait fournir des rapports accessibles au public qui permettent aux acteurs externes de la tenir responsable.
- La législation de neuf des douze membres de l'OGP exige que l'autorité de réglementation soumette un rapport annuel.

Recommandations pour renforcer la responsabilisation

Tous les acteurs clés de l'écosystème de la responsabilité doivent avoir la capacité technique et les connaissances nécessaires pour gérer les questions de protection des données. Cela comprend les membres de l'autorité de régulation, les membres du service de police, les avocats et les juges. Tous ces acteurs doivent être correctement formés et dotés des compétences nécessaires pour déterminer si une violation de la protection des données a eu lieu et pour comprendre et appliquer les recours appropriés. Il est envisagé que les membres, les autorités de régulation et les organismes professionnels soient les acteurs de mise en œuvre.
Des tribunaux spécialisés, ou des unités et des greffes au sein des tribunaux, devraient être désignés pour statuer sur les questions de protection des données. Il est prévu que les membres soient les acteurs de mise en œuvre.
Les sanctions en termes d'amendes pécuniaires doivent être suffisamment élevées pour avoir un effet dissuasif. Il est prévu que les membres soient les acteurs de mise en œuvre.
L'indépendance institutionnelle de l'autorité de régulation doit être garantie afin d'assurer l'indépendance juridictionnelle ; cela nécessite un modèle financier durable qui garantit l'indépendance financière de l'autorité de régulation. Il est prévu que les membres soient les acteurs de mise en œuvre.
L'autorité de régulation doit être dotée des capacités appropriées. Cela nécessite un financement suffisant pour employer du personnel techniquement qualifié. Les membres de l'autorité de régulation devraient envisager d'autres moyens d'attirer des compétences techniques, tels que les partenariats public-privé, le développement de réseaux et les stages. Il est envisagé que les membres et les autorités de régulation soient les acteurs de mise en œuvre.
L'autorité de régulation devrait rendre compte publiquement de ses activités et fonctions pour permettre aux acteurs externes de la tenir responsable. Il est recommandé que ces rapports soient publiés tous les trimestres et qu'ils comprennent des statistiques et des informations ventilées. Il est prévu que les autorités de régulation seront les acteurs de mise en œuvre.

Participation

Ce domaine thématique concerne la participation dans trois cas : premièrement, la participation des personnes concernées au traitement de leurs données personnelles et le contrôle de celui-ci ; deuxièmement, la participation de l'autorité de réglementation au niveau national à travers son engagement avec les parties prenantes et sa capacité à participer aux développements législatifs et politiques ; et troisièmement, la participation de l'autorité de régulation au niveau régional à travers sa coopération dans les associations, réseaux et organisations régionaux. Dans ce domaine thématique, six domaines d'intervention ont été analysés : le droit d'accéder aux données personnelles, le droit de demander la correction ou la suppression des données personnelles, le consentement, l'engagement des parties prenantes, la formulation de politiques et la participation des autorités de réglementation.

Participation de la personne concernée

Le droit d'accéder aux données personnelles
- Ce droit est compromis de deux manières : (1) il existe un écart entre le type d'informations requises pour déposer une plainte et le type d'informations auxquelles une personne concernée a accès, ce qui à son tour porte atteinte au droit d'une personne concernée à un recours effectif ; et (2) il est rendu inaccessible par des processus incertains, compliqués ou qui présentent des obstacles complexes au niveau de la langue et de l'alphabétisation.
- Douze membres de l'OGP accordent aux personnes concernées le droit d'accéder à leurs données personnelles.

Le droit de demander la rectification ou la suppression des données personnelles
- Ces droits reposent sur la connaissance par la personne concernée qu'un responsable du traitement traite ses données personnelles et est donc habilitée par ce droit de demander l'accès et son droit de notification. L'atteinte à ces droits diminue leur capacité à exercer le droit de demander la rectification ou la suppression de leurs données personnelles.
- Douze membres de l'OGP offrent aux personnes concernées le droit de demander la rectification ou la suppression de leurs données personnelles.

Consentement
- Le consentement opt-in n'est généralement pas requis chez les membres OGP.
- Le Kenya est le seul membre qui exige expressément le consentement opt-in.

La participation nationale de l'autorité de régulation

Engagement des parties prenantes
- Un engagement efficace nécessite que l'autorité de réglementation ait un mandat transversal pour faciliter les engagements avec de multiples parties prenantes, et cela nécessite que les parties prenantes aient un accès direct à l'autorité de réglementation.
Le mandat de l'autorité de réglementation de participer à la formulation de la politique
- L'autorité de régulation disposera de l'expertise nécessaire pour orienter la politique de protection des données et leur inclusion dans le processus offre une opportunité de renforcer les faiblesses qui existent dans le système de régulation.
- Huit des douze membres sont habilités à participer à la politique intérieure

La participation régionale et internationale de l'Autorité de régulation

Participation de l'Autorité de Régulation aux Organismes Régionaux
- Une protection efficace des données nécessite que l'autorité de régulation soit intégrée dans les associations régionales afin d'aider à la coordination et au développement de la jurisprudence et des ressources.

Recommandations pour renforcer la participation

Des audits devraient être menés pour déterminer à quelles informations une personne concernée a accès et quelles informations sont nécessaires pour déposer une plainte. Les deux doivent s'aligner pour permettre à une personne concernée d'exercer son droit à un recours effectif. Il est envisagé que les contrôleurs de données soient les acteurs de mise en œuvre.
Les contrôleurs de données doivent s'assurer que le processus qu'ils mettent en œuvre pour réaliser le droit d'une personne concernée de demander l'accès à ses données personnelles est clair, certain et tient compte des barrières contextuelles de la langue et de l'alphabétisation. La loi doit prévoir exigences minimalesTous les pays participants à l'OGP doivent adhérer aux normes de participation et de co-création. Chaque norme comprend des exigences minimales claires et mesurables que tous les participants OGP comptent ... qui indique un délai de réponse, cela ne doit pas entraîner de coût et les informations doivent être fournies dans un format intelligible. Il est prévu que les contrôleurs de données et les membres seront les acteurs de mise en œuvre.
La participation des personnes concernées est compromise par un manque de connaissance des droits des personnes concernées. Des campagnes de sensibilisation devraient être entreprises pour faciliter la participation des personnes concernées. Il est recommandé de lier les problèmes de protection des données aux préjudices réels pour rendre le contenu plus accessible. Il est envisagé que les autorités de régulation, les membres et les organisations de la société civile soient les acteurs de mise en œuvre.
L'autorité de régulation devrait avoir un mandat transversal et la capacité de faciliter les conversations multipartites. Il est prévu que les membres et les autorités de régulation soient les acteurs de mise en œuvre.
La protection des données doit être un processus participatif : pour permettre cela, les autorités réglementaires doivent consulter les parties prenantes avant de publier des documents réglementaires tels que des notes d'orientation. Il est prévu que les autorités de régulation seront les acteurs de mise en œuvre.
Un organe ou un mécanisme devrait être établi pour permettre une plus grande coopération régionale. Il est recommandé qu'une telle coordination ait lieu au niveau de l'Union africaine et qu'un bureau similaire au comité européen de la protection des données soit mis en place. Un tel organisme pourrait fournir des orientations régionales aux États sur les questions de protection des données. Il est envisagé que les membres et l'Union africaine soient les acteurs de mise en œuvre.

Les informations contenues dans ce rapport datent du 1er juillet 2021.

Remerciements

OGP tient à remercier les parties prenantes suivantes qui ont généreusement donné de leur temps pour contribuer à ce rapport et dont la contribution a été inestimable : Alison Tilley, Amrit Labhuram, Anri Van der Spuy, Chawki Gaddes, Fatou Jagne, Gabriella Razzano, 'Gbenga Sesan, Grace Bomu, Hlengiwe Dube, Mugambi Laibuta, Mustafa Mahmoud, Teki Akuetteh Falconer et les quatre parties prenantes qui ont souhaité rester anonymes.

Pour la rédaction de ce rapport, OGP remercie Tara Davis de ALT Advisory, soutenu par Avani Singh et Wendy Trott. Pour les premières révisions de la version préliminaire de ce rapport, OGP remercie Michael Power, Joseph Foti, Sandy Arce et Jessica Hickle.

Une analyse mise à jour qui couvre les 55 pays africains peut être trouvée sur le nouveau site d'Alt Advisory dataprotection.afrique site.

Télécharger

Filed under: L'Afrique et le Moyen-Orient, Gérance des données et confidentialité, Nationales, Communauté OGP, Ressources politiques, Recommandations, Rapport, Produit de recherche, Analyse de l’état des lieux

Commentaires (1)

Amine BYAD Août 26, 2021 à 10:46 am Répondre

Pouvez-vous s'il vous plaît indiquer où dans la loi sur le DP du Kenya, l'opt-in est expressément mentionné ?