L’Afrique est au cœur des problématiques de sécurité en ligne, à la fois en tant que cible potentielle, mais aussi en tant que nouveau partenaire dans la lutte contre ces nouvelles menaces.
Par Florence Guthfreund-Roland, associée et Mathilde Hallé, avocat, DLA Piper
L’actualité de ces dernières années illustre cette tendance. Par exemple, Microsoft Afrique a annoncé en avril 2017 que plus de 554 millions de données (data points) avaient été «volées» au cours du premier semestre de l’année précédente en Côte d’Ivoire, constatant ainsi une hausse de plus de 30 % par rapport à la période antérieure.1 Dans ce contexte, la faiblesse du cadre légal et réglementaire fait craindre une multiplication des actes cybercriminels, au détriment du développement de l’économie numérique et du droit des individus à la protection de leurs données.
1. Des déclarations de principes au niveau régional
Plusieurs textes ont été adoptés au niveau régional concernant la sécurité des données en Afrique.
Après plusieurs années de négociations, l’UA a adopté la Convention sur la cyber-sécurité et protection des données le 23 juin 2014.2
S’agissant de la protection des données personnelles, la Convention reprend les principes posés par la directive européenne du 24 octobre 1995 en prévoyant que tout traitement de données personnelles doit être licite et loyal, être mis en œuvre pour une finalité définie, pour une durée limitée, sur la base de données pertinentes et exactes, et dans le respect d’exigences de transparence, de confidentialité et de sécurité. Concernant la sécurité des données, la Convention est assez lapidaire. Rien n’est prévu au-delà de l’obligation générale d’assurer la sécurité des données traitées. En particulier, elle ne prévoit pas d’obligations «ex post», telles que des obligations de notification en cas de faille de sécurité.
Le chapitre relatif à la cyber-sécurité de la Convention impose aux Etats de pénaliser certaines infractions, telles que l’altération de données informatiques ou encore l’usage frauduleux de données informatiques. Le volet répressif de la Convention est plus étoffé que son chapitre plus réglementaire relatif aux obligations à la charge des organismes collectant et traitant des données personnelles.
