Etat des lieux des réglementations existantes

L'une des premières règlementations sur la protection des données personnelles à voir le jour sur le continent africain a été celle du Cap Vert, en 2001, suivie de celles de la Tunisie, du Sénégal, du Maroc puis du Bénin. À l’époque, le régime du RGPD (Règlement général sur la protection des données de l'UE) n'existe pas en Europe, mais ces pays ont su faire évoluer leurs textes depuis sur la base du RGPD adopté en 2016 et applicable depuis mai 2018.

De manière générale, on observe une forte accélération dans le domaine des données personnelles en Afrique depuis 5 ans. De plus en plus de pays se dotent d’une règlementation, peut-être est-ce l’effet qu’a eu le RGPD sur le monde y compris en Chine il y a deux ans (loi PIPL) ou en Inde en 2023 (loi DPDPA).

A ce jour, 5 pays africains (Maurice, Sénégal, Tunisie, Cap-Vert et Maroc) ont signé et ratifié la Convention 108 du Conseil de l’Europe, grande convention  internationale sur la protection des données personnelles. En revanche aucun pays africain n'est reconnu par la Commission européenne comme offrant une protection adéquate au regard des critères de l’UE.

Enfin, il y a quelques pays qui n’ont aucune loi, mais c’est une minorité. Ils sont sur le chemin de l’adoption d’une règlementation de la protection des données personnelles. Le Cameroun réfléchit à un projet de loi, la RCA a également un projet en cours d’examen.

L’autre constat concernant l’Afrique est la lenteur de mise en œuvre de ces règlementations. En Algérie par exemple, la loi date de 2018 et elle est entrée en vigueur en août 2023. Il a fallu plus de cinq ans. Même chose pour l’Afrique du Sud, la loi date de 2013, elle est entrée en vigueur en 2021, il a fallu 8 ans. En Egypte l’application de la loi votée il y a deux ans est soumise à l’adoption d’un décret, qui n’est, à ce jour, pas encore publié.

Les initiatives de règlementations panafricaines

Il y a trois initiatives panafricaines très intéressantes. La première date de 2010, c’est l'Acte additionnel relatif à la protection des données à caractère personnel, mais qui ne couvre que l’espace de la CEDEAO. L’Acte additionnel a créé un cadre pour guider les différents membres de la CEDEAO pour l’adoption de règlementations nationales.

Le deuxième exemple est une initiative plus large, celle de l’Union Africaine avec la Convention dite de Malabo, qui date de 2014.

Les deux textes se ressemblent beaucoup, on y incite les pays à favoriser des règlementations cohérentes pour faciliter un transfert des données au sein des pays du groupe de pays africains concernés.

Ces textes doivent promouvoir  une cohérence. L'exemple de l'Europe qui a vécu pendant des années avec des réglementations peu cohérentes montre qu'il est très difficile pour les acteurs de développer les flux transfrontières et les traitements de données personnelles dans plusieurs pays alors qu’ils doivent faire face à des règlementations différentes dans chaque pays.

Le dernier instrument est la loi type sur la protection des données qui a été développée par la Communauté de développement de l’Afrique australe (SADC), qui date de 2013 et qui adopte une approche légèrement différente. La SADC a invité ses pays membres à reprendre le modèle de loi proposé pour l’implémenter dans leur ordre juridique interne, mais il y a eu peu de suivi.

Les perspectives pour une règlementation effective en Afrique

Il faut absolument aller plus vite dans le sens d’une harmonisation et d'une cohérence des règlementations. Elles sont trop disparates. Aujourd’hui aucun pays africain n’a encore franchi le pas de la reconnaissance d’une protection adéquate par la Commission européenne. Ce serait probablement une grande avancée pour le continent. Aujourd’hui on sait qu’il y a plusieurs pays qui ont fait des demandes de reconnaissance, mais aucune n'a abouti à ce jour. Et puis il y a un dernier enjeu, favoriser l’enseignement dans le domaine de la donnée personnelle. Il y a beaucoup d'études sur le continent africain sur les questions de règlementation des données personnelles qui se font avec des cabinets étrangers et c’est très bien. Mais le développement de l'enseignement universitaire de la protection des données personnelles en Afrique serait un formidable levier. Nous avons constaté et notamment en France, que les masters universitaires sur la protection des données se sont énormément développés au cours des 5-6 dernières années. Produire du savoir sur ces sujets aide les acteurs à mieux comprendre la loi, à mieux la respecter et à mieux l'appliquer, mais aussi à pouvoir la faire évoluer pour l'améliorer.