Le transfert de données à caractère personnel occupe une place centrale au sein des entreprises dès lors qu’elles doivent concilier les impératifs de sécurité et de protection des libertés, en l’occurrence la protection des données personnelles. Afin de se mettre en conformité, les entreprises ont l’obligation de se conformer aux lois des pays. Depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) dans l’Union Européenne (UE) et l’adoption des lois sur la protection des données en Afrique, comment gérer les échanges de données entre les deux zones ?
Jules Hervé Yimeumi, Data Protection & Privacy Consultant répond à nos questions.
Africa CyberSecurity Mag : Qu’est-ce que le RGPD et quelles sont les obligations des entreprises africaines ?
Jules Hervé Yimeumi : Le RGPD est un règlement qui encadre le traitement de données à caractère personnel relatives à des personnes qui se trouvent dans l'UE. Il faut savoir que les organismes publics et entreprises privées africaines qui sont situés sur le territoire de l’UE et qui traitent des données à caractère personnel ont l’obligation de se conformer à ce règlement. Cela s’applique même s’ils ciblent des personnes qui ne se trouvent pas dans l’UE.
De même, toute entreprise africaine basée en Afrique qui cible des personnes qui se trouvent au sein de l’UE (y compris la diaspora africaine) a l’obligation de se conformer à ce règlement.
Comment transférer des données de l’UE vers l’Afrique ?
À ce jour, aucun pays africain n’est reconnu comme adéquat par l’UE. C’est pourquoi les transferts de données de l’UE vers l’Afrique nécessitent d’être encadrés par des outils de transfert. Les Clauses Contractuelles Types (CCT) de la Commission Européenne sont un exemple d’outil de transfert.
De plus, il est également recommandé de réaliser une analyse d'impact relative à la protection des données avant tout transfert hors UE.
“Sur les 54 pays africains, j’ai recensé 32 pays qui disposent d’une loi sur la protection des données.”
Quel est l’état des lieux en matière de loi sur la protection des données en Afrique ? Peut-on transférer des données de l’Afrique vers l’Union Européenne ?
Sur les 54 pays africains, j’ai recensé 32 pays qui disposent d’une loi sur la protection des données. Les transferts depuis l’ensemble des pays africains sont autorisés. Cependant, pour les 32 pays disposant d’une loi, ces transferts doivent se conformer à la loi du pays exportateur. En effet comme il ne s’agit ici que d’un transfert (par exemple sur un serveur dans l’UE), et non pas d’un ciblage, le RGPD ne s’applique pas ici. Charge à l’entreprise réceptrice basée en UE de se conformer elle au RGPD.
Source : Africa Data Protection
Existe-t-il une initiative commune de protection de données sur le continent africain ? Et à l’international ?
En 2014, l’Union Africaine avait ouvert à la ratification de sa convention sur « la cybersécurité et la protection des données à caractère personnel ». Il s'agit d'un document couvrant les transactions électroniques, la protection des données à caractère personnel, la promotion de la cybersécurité et la lutte contre la cybercriminalité. Mais à ce jour, très peu d’états africains ont signé et ratifié cette convention. Sur le plan international, le conseil de l’Europe a ouvert à la signature la convention 108+. Il s’agit d’un instrument international juridique contraignant dans le domaine de la protection des données. Aux termes de cette Convention, les parties doivent prendre les mesures nécessaires en droit interne pour en appliquer les principes afin d'assurer, sur leur territoire, le respect des droits fondamentaux de la personne humaine au regard de l'application de la protection des données. En Afrique, seule l’île Maurice l’a signée et ratifiée.
Comment les États africains pourraient-ils mieux défendre leur souveraineté numérique ?
Les États africains doivent travailler ensemble s’ils veulent gagner la bataille de leur souveraineté numérique. Ces États peuvent également moderniser leurs lois sur la protection des données, donner plus de pouvoir aux autorités de contrôle et investir dans la sensibilisation.
Jules Hervé Yimeumi, merci d’avoir accepté de nous accorder cette interview.
Merci à vous !
La Rédaction d’Africa CyberSecurity Mag
