A lire l’écrasante majorité des commentaires faits en Afrique d’une manière générale et au Sénégal en particulier, relativement à l’entrée en vigueur du Règlement général sur la protection des données (RGPD) adopté par l’Union européenne, c’est à croire que ce texte constitue une surprise totale à laquelle personne ne s’était préparé. Pourtant, le processus d’actualisation de la directive 1995/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données a été particulièrement long puisqu’il a duré près de quatre années avant d’aboutir à son adoption par le Conseil de l’Europe le 8 avril 2016 puis par le Parlement européen le 16 avril 2016. Cependant à l’image de l’accord GE06 de l’Union internationale de télécommunications (UIT) adopté en juin 2006 et qui prévoyait l’adoption du tout numérique pour les services de radiodiffusion sonore et télévisuelle terrestre et le passage à la télévision numérique terrestre avant le 17 juin 2015, aucun pays africain, à l’exception notable de l’Ile Maurice, ne s’est sérieusement préparé aux conséquences de l’application de ce nouveau texte à portée universelle. En effet l’ile Maurice, faisant preuve d’anticipation, a décidé de se conformer au RGPD en actualisant sa législation, qui datait de 2004, et en promulguant le Data Protection Act dès le 22 décembre 2017. Il faut dire que cette question est particulièrement sensible dans ce pays où l’on recensait, en 2016, près de 750 sociétés travaillant dans le secteur du Business Process Outsourcing (BPO), dont près de 400 centres d’appels manipulant des données personnelles pour les besoins de services qu’ils fournissent. De son côté le Maroc, où existent également une importante industrie des centres d’appels, à travers la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), a mis en place un dispositif d’information destiné à aider les entreprises concernées à s’initier au RGPD, dès mai 2017. Au vu de ces considérations, il est difficilement compréhensible que la Commission de protection des données personnelles (CDP) attende l’entrée en vigueur RGPD pour publier un communiqué indiquant qu’elle a pris les dispositions nécessaires pour aider à l’application du dudit règlement par les entreprises concernées. A l’époque où nous vivons aujourd’hui, caractérisée notamment par l’instantanéité voire l’immédiateté découlant de l’utilisation intensive du numérique mais également de l’innovation permanente génératrice de disruption dans quasiment tous les secteurs de la société, l’heure n’est plus à la réaction mais à l’anticipation, à défaut d’être toujours en retard sur l’évolution du monde, surtout lorsque celle-ci est prévisible. Cette obligation d’anticipation s’impose à toutes les structures en charge de la régulation d’un quelconque secteur qu’il s’agisse des médias, des télécommunications, des banques et assurances, etc. car à chaque fois qu’elles maintiennent les règles de l’ancien monde où qu’elles sont incapables de concevoir les règles d’aujourd’hui, voire de demain, elles bloquent non seulement le potentiel d’innovation mais elles font courir de graves risques à la société en ne prenant pas en compte les nouveaux risques et les nouvelles menaces. Certes le défi est difficile à relever pour tous ceux qui ont la responsabilité de définir et surtout de faire évoluer l’environnement légal et réglementaire mais l’épanouissement des personnes physiques et morales, pour ne pas dire celui de la société dans son ensemble, est à ce prix. Au-delà, se pose également la question de l’échelle de la réponse à ces nouveaux défis car les pays Africains doivent cesser de d’y répondre en ordre dispersé, à travers des dispositifs légaux et réglementaire à caractère national qui n’ont guère de pertinence dans le monde globalisé qui est de plus en plus le nôtre. Afin de répondre à ces questions nouvelles qui nous interpellent de plus en plus fréquemment, avec insistance et urgence (cybersécurité, protection des données personnelles, etc.), la réponse doit au minimum être apportée à l’échelle des communautés économiques régionales (CER) existant en Afrique et idéalement à l’échelle continentale. En la matière, il aurait été plus pertinent que l’Afrique anticipe en élaborant son propre Règlement général de protection des données et prépare ses entreprises à cette nouvelle donne plutôt que d’être réduite à réagir avec un temps de retard et en ordre dispersé. Pour ce faire, nous devons cesser d’être attentistes et mettre des structures de veille dans tous les secteurs pour penser l’avenir et non le subir.

Alex Corenthin
Secrétaire aux relations internationales