Alors que la révolution numérique prend de l’ampleur sur le continent, avec la numérisation progressive des services et des interactions sociales, l’arsenal juridique indispensable à une protection efficace de la vie privée de millions d’Internautes demeure quasi-inexistant. Cette situation, si elle perdure, met sérieusement en danger ses ambitions de faire des technologies de l’information et de la communication un moteur de croissance.

L’Afrique, c’est 435 millions d’utilisateurs d’Internet, pour 191 millions d’utilisateurs des réseaux sociaux, selon le Digital Report 2018 de We Are Social et Hootsuite. Cette population numérique génère au quotidien des milliards de données personnelles issues du paiement en ligne, du stockage de documents sur des serveurs, des publications sur les réseaux sociaux, etc.

Mais cet important volume d’informations numériques est recueilli et utilisé sans limite par les entreprises pour améliorer leur ciblage publicitaire, ou vendu à d’autres entreprises à diverses fins.

Cette réalité perdure parce que l’Afrique souffre encore d’une absence d’un cadre réglementaire général sur la protection des données personnelles. Cela s’est d’ailleurs confirmé lors du scandale Cambridge Analytica, la société accusée en mars 2018 d’avoir récolté des données de 87 millions de profils Facebook et de s’en être servi pour influencer les élections au Nigeria en 2007 et 2015, aux Etats-Unis en 2016, tout comme pour le Brexit, ou au Kenya en 2017. Alors que l’Europe a réagi sévèrement à travers plusieurs réglementations et auditions de Mark Zuckerberg, le fondateur de Facebook, l’Afrique est demeurée bien passive.

Selon le cabinet Bird & Bird, la plupart des pays africains ne présentent à ce jour aucun cadre législatif exhaustif et conforme à la gestion des données personnelles. Actuellement, seuls 23 pays sur les 55 que compte le continent ont adopté ou rédigé des lois sur la protection de la vie privée. Mais plusieurs de ces textes ne traitent encore que de la sécurité et de la confidentialité des données de communications électroniques, à l’exclusion de toutes les autres catégories de données à caractère personnel. Pire, il n’y a qu’une poignée de pays (le Bénin, le Burkina Faso, la Côte d’Ivoire, le Gabon, le Mali, le Maroc, le Sénégal, la Tunisie) qui s’est déjà dotée d’une autorité en charge du contrôle spécifique de l’usage réservé aux données dites personnelles.

Pire, il n’y a qu’une poignée de pays (le Bénin, le Burkina Faso, la Côte d’Ivoire, le Gabon, le Mali, le Maroc, le Sénégal, la Tunisie) qui s’est déjà dotée d’une autorité en charge du contrôle spécifique de l’usage réservé aux données dites personnelles.

La convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel, adoptée le 27 juin 2014 à Malabo, en Guinée Equatoriale, tarde toujours à entrer pleinement en vigueur. Au terme de l’échéance des signatures fixée au 14 mars 2018, seuls 10 pays sur 55 l’ont signé (Bénin, Tchad, Comores, Congo, Ghana, Guinée-Bissau, Mauritanie, Sierra Leone, Sao Tomé et Principe, Zambie) tandis deux nations seulement (Sénégal et île Maurice) l’ont ratifié pour une entrée en vigueur sur leur territoire. Cette faiblesse juridique du continent, Merav Griguer, avocate spécialiste en protection des données personnelles et associée au sein du cabinet Bird & Bird à Paris, estime qu’elle risque de porter préjudice à ses intérêts économique et sécuritaire à long terme si elle n’est pas résolue.

Investir dans la confiance

Le 22 février 2018, lors de la conférence internationale sur la protection de la vie privée et des données personnelles en Afrique, organisée à Casablanca au Maroc, les pays africains indiquaient que la protection des données personnelles représente aujourd’hui une opportunité de développement pour les pays africains. Qui dit protection de qualité dit une plus grande confiance accordée aux services en ligne et donc à l’économie numérique. Mais à l’inverse, une déficience dans ce domaine pourrait impacter négativement le continent. Elle pourrait conduire à une nouvelle forme d’exploitation du continent. A l’heure du Big Data, les données africaines -médicales, bancaires, religieuses, sexuelles, etc- aisément collectées et analysées pourraient faire l’objet d’une exploitation par de nombreuses entreprises d’intelligence économique pour établir des schémas de consommation ou des stratégies d’influence politique.

A l’heure du Big Data, les données africaines -médicales, bancaires, religieuses, sexuelles, etc- aisément collectées et analysées pourraient faire l’objet d’une exploitation par de nombreuses entreprises d’intelligence économique pour établir des schémas de consommation ou des stratégies d’influence politique.

Une déficience dans la protection des données personnelles en Afrique pourrait aussi pourrait impacter négativement les relations économiques et les échanges commerciaux entre l’Europe et l’Afrique. En mai 2015, l’Union européenne s’est dotée d’un règlement général sur la protection des données (RGPD) qui empêche les GAFA (Google, Apple, Facebook et Amazon) et les autres entreprises de continuer à recueillir, sans leur consentement, les données personnelles des internautes et d’en faire usage comme bon leur semble. Ce texte affecte le transfert transfrontalier de données personnelles, en particulier parmi les multinationales ayant une empreinte mondiale. En clair, une entreprise européenne ne pourra transmettre des données (bancaires ou commerciales, par exemple) à un fournisseur ou un partenaire d’affaires situé sur le continent africain que si, et seulement si, ce fournisseur ou ce partenaire d’affaires peut apporter la preuve qu’il sécurise ses informations à un niveau au minimum égal à ce qu’exige la réglementation européenne.

En clair, une entreprise européenne ne pourra transmettre des données à un fournisseur ou un partenaire d’affaires situé sur le continent africain que si, et seulement si, ce fournisseur ou ce partenaire d’affaires peut apporter la preuve qu’il sécurise ses informations.

Les économies africaines doivent donc s’adapter pour permettre à leurs entreprises de continuer à faire des affaires avec celles d’Europe. A défaut, elles se retrouveront en difficulté. Pour toute entreprise européenne qui serait tenté de passer outre les exigences de RGPD, l’article 83 du règlement a prévu des mesures dissuasives. Une amende de 20 000 000 euros ou 4% du chiffre d’affaire annuel.

Démocratie en danger

Au-delà de l’aspect économique, la faiblesse de l’Afrique à protéger efficacement les données personnelles de ses populations laisse planer sur le continent un risque sécuritaire.

« C’est un enjeu de souveraineté nationale. Si un Etat laisse fuir les données de ses citoyens à l’extérieur, elles pourront éventuellement être utilisées contre lui ».

En effet, il devient aisé, sans protection, de réaliser un profilage ou un fichage des utilisateurs d’internet. Ces actions ne viendraient pas forcément d’ailleurs mais tout d’abord des gouvernements africains qui voient là une source abondante d’informations pour de potentielles actions. Lors de la rencontre internationale de Casablanca sur la protection des données à caractère personnel, Oumarou Ag Mohamed Ibrahim Haidara, le président de l’Autorité de protection de données à caractère personnel (APDP) du Mali, s’interrogeait déjà sur « l’attitude à adopter par les autorités face à l’intrusion de plus en plus fréquente des services de sécurité et de renseignements de nos États dans la sphère des données personnelles en dehors de tout encadrement juridique ? » Il s’enquérait également de la meilleure méthode pour « concilier la protection des données personnelles avec la liberté de la presse dans nos États où la culture démocratique est encore en construction ».

Dans un entretien accordé à France TV en avril 2018, Archippe Yepmou, le président de l’ONG Internet sans Frontière, semblait lui répondre lorsqu’il déclarait que « les gouvernements et les sociétés civiles doivent être conscients du fait que les données personnelles sont le pétrole du XXIe siècle, la matière première de l’économie de l’information et des démocraties de demain. En Afrique, si on ne fait pas attention à la manière dont elles sont récoltées ou traitées, on peut causer une inversion de l’agenda démocratique. Car les données personnelles vont permettre à des régimes autoritaires de renforcer leur pouvoir et leur tyrannie sur les masses. En revanche, si on estime que l’individu est propriétaire de ses données et que l’Etat doit les protéger, on assure à la fois la protection de l’individu et celle de la collectivité. Ensuite, gouvernements et société civile doivent également prendre conscience de la dimension géopolitique des données personnelles. C’est un enjeu de souveraineté nationale. Si un Etat laisse fuir les données de ses citoyens à l’extérieur, elles pourront éventuellement être utilisées contre lui ».

Muriel Edjo

(Source : Ecofin Hebdo, 21 septembre 2018)