Quelles politiques de protection des données personnelles utilisent les entreprises en Afrique pour la sécurité de leurs employés ?
Les entreprises en Afrique adoptent une gamme de mesures pour renforcer la sécurité des données personnelles de leurs employés, allant de politiques internes robustes à des technologies de pointe en matière de cybersécurité. Ces initiatives visent à minimiser les risques liés à la collecte, au stockage et au traitement des données personnelles, tout en offrant un cadre de travail sécurisé et respectueux de la vie privée. Cependant, malgré les progrès réalisés dans ce domaine, de nombreux défis persistent, notamment en ce qui concerne la sensibilisation des employés aux enjeux de confidentialité des données et l'adaptation aux évolutions rapides de la technologie et de la réglementation.
Mais où en sommes-nous exactement dans ce domaine ? Comment les pays africains se positionnent-ils par rapport aux normes internationales telles que le RGPD européen ? Pour répondre à ces questions et bien d'autres, nous avons le plaisir d'accueillir aujourd'hui Léon BRANDRE, Consultant, Expert en Management et Protection des données personnelles auprès des Institutions, expert renommé en protection des données à caractère personnel en Afrique.
Il a accepté de partager avec Africa Cybersecurity Mag les politiques de protection des données personnelles des entreprises africaines à l’endroit de leurs employés. À travers une série de questions avisées, il nous plonge au cœur des dispositions que les entreprises prennent en matière de protection des données de leurs employés en Afrique.
Africa Cybersecurity Mag : Bonjour M. Présentez-vous s'il vous plaît
Léon BRANDRE : Je suis Léon BRANDRE, Consultant Expert en Management et protection des données à caractère personnel, PDG de GROUPE DPSE, cabinet de Conseil et de Formation spécialisé dans la conformité règlementaire relative à la protection des données personnelles, la cybersécurité et la lutte contre le blanchiment de capitaux.
Africa Cybersecurity Mag : Quelles mesures de protection des données personnelles sont mises en place dans les entreprises africaines pour assurer la sécurité des informations des employés ?
Léon BRANDRE : Avant de répondre à cette question, je voudrais préciser qu’il est difficile de garantir que les entreprises africaines mettent effectivement en place ces mesures de sécurité des données de leurs employés. Bien au contraire, c’est à cela qu’elles doivent aspirer, et c’est là tout le sens de notre présence sur le continent africain pour accompagner les organismes privés, publics et institutionnels à prendre les dispositions nécessaires pour respecter les différentes lois afin de garantir la sécurité et la confidentialité de leur système d’information. Notre souhait le plus ardent est de voir les entreprises africaines atteindre cet objectif. Notre expérience nous montre que celles-ci, en fonction des pays où elles se trouvent, sont plus enclines à se limiter à des démarches administratives que de mettre en œuvre les mesures pratiques de protection et de sécurisation des données.
Pour revenir à votre question, afin d’assurer la sécurité des informations personnelles de leurs employés, les entreprises qu’elles soient africaines ou venant d’un autre continent doivent pouvoir se doter d’une politique de sécurisation des données. Cette politique doit pouvoir s’appuyer sur une cartographie détaillée des données qu’elles utilisent à la fois sur ses employés et pour toutes les activités d’une entreprise. En effet, cette stratégie ne doit pas se limiter simplement aux données des employés pour éviter que les risques indus par des traitements sur des activités commerciales puissent fragiliser la sécurité de l’ensemble de son système de sécurité informatique. De manière générale, on retrouve dans les PSD les mesures suivantes :
- L’identification des données sensibles de l’entreprise, des risques inhérents à son système d’information et la mise en place d’un système de classification interne
- La mise à jour des applications, logiciels et systèmes d’exploitation de l’entreprise, afin qu’elle intègre en permanence les derniers correctifs de sécurité
- L’utilisation de technologies qui renforcent la sécurité des données : antivirus, pare-feu, VPN, etc
- La gestion des accès aux systèmes d’information et aux outils collaboratifs, afin de s’assurer que seules les personnes autorisées puissent manipuler les données sensibles
- La mise en place d’une politique interne de gestion des risques cyber, avec des contrôles réguliers permettant de sécuriser les bases de données : contrôles d’évaluation de l’état de sécurité, contrôles de détection des comportements anormaux et des menaces, contrôles préventifs, et systèmes d’alertes en cas de non-respect des règles de sécurité
- La sensibilisation des collaborateurs à la sécurité des données et à ses enjeux, et des bonnes pratiques à adopter à la matière (changement régulier des mots de passe, non-utilisation des sites internet non sécurisés, non divulgations d’informations sensibles par voie électronique à des personnes non autorisées, etc
- La mise à disposition des collaborateurs d’outils collaboratifs parfaitement sécurisés
- La réalisation de sauvegardes régulières des données sensibles et stratégiques, afin de pouvoir les restaurer au plus vite en cas de sinistre ou d’attaque
Africa Cybersecurity Mag : Comment les entreprises en Afrique gèrent-elles le consentement des employés concernant l'utilisation de leurs données personnelles ? Doit-on vraiment respecter le RGPD en Afrique alors que c’est un règlement européen ?
Léon BRANDRE : Le consentement est une des bases légales prévues (un fondement juridique) dans toutes les lois dédiées à la protection des données personnelles et sur laquelle peut se fonder un traitement de données personnelles. Dans le RGPD, il est prévu aux articles 4 et 7 et est lié au droit à l’information des personnes concernées par le traitement des données. En substance, ces articles imposent que tout consentement soit libre, spécifique, éclairé et univoque. Le recueil du consentement en général permet d’autoriser le début du traitement des données d’une personne concernée par les responsables du traitement (entreprise) et doit être recueilli dans des conditions particulières assurant sa validité. Se faisant, pour tout individu il peut être obtenu verbalement, physiquement (par la signature d’un support papier) et/ou en ligne lors de la souscription et l’utilisation de services proposé par une entreprise. En ce qui concerne spécifiquement les employés, il peut être obtenu, à la fois, lors du processus de son recrutement et être renouvelé pour d’autres traitement de données en fonction de la finalité voulu par le responsable de traitement.
Pour ce qui concerne le respect du RGPD en Afrique, il faut noter toute réglementation relative à la protection des données a une dimension territoriale. De ce fait un texte règlementaire n’est applicable que dans un pays ou un espace communautaire circonscrit.
Le RGPD qui en réalité signifie, Règlement Général sur la Protection des Données, Règlement EU 2016/679 n’est applicable qu’en Europe. C’est un texte réglementaire européen qui encadre le traitement des données de manière égalitaire sur tout le territoire de l’Union européenne (UE). Se faisant, il ne s’applique formellement au traitement des données à caractère personnel opérées sur des individus ne résidant pas dans l’UE ou n’ayant pas la citoyenneté européenne. Toutefois, le critère de nationalité qui est lié à son extraterritorialité et la nécessité pour les entreprises domiciliées en Europe et à leurs sous-traitants de se conformer au RGPD la rend applicable à certaines entreprises africaines. Il s’agit notamment des entreprises africaines qui sont des filiales d’entreprises européennes et/ou celles qui en sont des sous-traitants. À ce groupe s’ajoute, des entreprises africaines qui proposent leurs services et/ou produits à travers un site internet à des citoyens européens.
Africa Cybersecurity Mag : Dites-nous quels sont les protocoles de sécurité adoptés par les entreprises africaines pour protéger les données sensibles de leurs employés ?
Léon BRANDRE : À l’heure actuelle, cinq (05) types de protocoles de sécurité sont utilisées pour renforcer, à la fois, la confidentialité, l’authentification et la protection des données contre les attaques informatiques. Ils protègent efficacement les informations sensibles lors des transactions en ligne, des connexions réseau, dans l’accès à distance aux systèmes informatiques ou dans les communications échangées. Il s’agit du Protocole SSL/TLS (Secure Sockets layer/Transport Layer Security), du Protocole SSH (Secure Shell), du Protocole IPSec (Internet Protocol Security), du Protocole WPA/WPA2 (Wi-fi Protected Acces) et du Protocole VPN (Virtual Private Network). Sur ces cinq (05) types de protocoles, les deux derniers, le WPA/WPA 2 pour le Wifi et le VPN sont les plus utilisés par les entreprises africaines.
Africa Cybersecurity Mag : Pouvez-vous nous parler des principales lois et réglementations en matière de protection des données personnelles auxquelles les entreprises en Afrique doivent se conformer ?
Léon BRANDRE : Depuis juin 2023, tous les pays africains ont une Loi sur la Protection des Données avec l’entrée en vigueur de la Convention sur la Cybersécurité et la Protection des Données de 2014 de l’Union africaine (Convention de Malabo). Cette Loi se superpose aux Lois nationales adoptées dans plus d’une trentaine de pays africains que leurs entreprises doivent respecter. À cette Convention et à ces Lois, s’ajoute, comme évoqué plus haut, le RGPD pour les entreprises exerçant une activité internationale.
Africa Cybersecurity Mag : Quels sont les outils et technologies utilisés par les entreprises africaines pour sécuriser les données personnelles de leurs employés ?
Léon BRANDRE : Le chiffrement et la signature cryptographiques sont deux des outils de sécurité informatique qui sont les plus être utilisées africaines pour sécuriser les données personnelles d’une entreprise. De manière spécifique, le chiffrement permet d’assurer la confidentialité des données, de sorte que les personnes non-destinataires ne puissent accéder au contenu en clair. Tandis que, la signature en assure l’intégrité : la vérification de la signature garantit à la fois l’identité du signataire et le fait que le message n’a pas été modifié depuis sa signature. À ces deux outils, s’ajoutent l’utilisation de différentes technologies à installer sur les ordinateurs des collaborateurs et les sites internet des entreprises pour leurs données sensibles. Il s’agit notamment des logiciels antivirus, pare-feu, réseaux privés virtuels (RPV), bloqueurs de publicité, logiciels anti-hameçonnage…
Africa Cybersecurity Mag : Comment les entreprises en Afrique s'assurent-elles que seuls les employés autorisés ont accès aux données sensibles ?
Léon BRANDRE : La sensibilisation et la responsabilisation sur les enjeux de respect des données sensibles des personnes concernées (les employés) sont les clés pour s’assurer que ces derniers sont les seuls à les utiliser. En effet, malgré la pertinence et l’efficacité des outils et technologies, l’absence d’une culture de la protection des données peut induit des risques pour les entreprises. Se faisant, les entreprises doivent élaborer et faire participer son personnel à des programmes de formation et de sensibilisation à la sécurité des données personnels. Ces programmes de formation et de sensibilisation devraient s’axer sur l’hygiène des mots de passe, les attaques de phishing et l’ingénierie sociale afin d’éduquer les employés et les clients à la sécurité des données. A cela doit s’ajouter, la mise en place des procédés techniques tels que les pratiques de sécurité dites Identity and Acces Management (IAM) qui s’appuie sur 4 étapes :
- L’étape 1 est : l’authentification à deux facteurs (2FA) ; elle nécessite que l’utilisateur fournisse deux formes d’identifiants pour accéder à une application d’entreprise
- L’étape 2 qui traite de l’autorisation granulaire qui garantit que chaque utilisateur dispose des droits d'accès appropriés, en fonction de ses fonctions et de son niveau d'autorité
- En 3, la surveillance des accès qui permet de détecter rapidement toute activité suspecte ou non autorisée et d'identifier les accès non autorisés ou les utilisateurs qui tentent de contourner les restrictions d'accès
- L’étape 4 consiste en la gestion pointue des accès privilégiés qui aide à limiter l'accès privilégié et à surveiller de près les activités des administrateurs système
Africa Cybersecurity Mag : Parlez-nous des politiques de rétention des données adoptées par les entreprises africaines pour garantir la sécurité des informations des employés ?
Léon BRANDRE : Les politiques de rétention des données sont généralement illustrées par la mise en œuvre de politique de durée de conservation des données. Son objet est de répondre aux exigences des Lois sur la protection des données et autres réglementations locales et internationales qui fixent les obligations de durée de conservation légale des données (civile, pénale, fiscale, sociale et vie privée et également sectorielles) collectées par les entreprises. Elles ne visent pas spécifiquement à garantir la sécurité des informations des employés même si elles peuvent y contribuer. Pour la mise en œuvre d’une politique de durée de conservation, les entreprises doivent, d’une part, connaitre toutes les exigences légales en vigueur dans son pays et celles dont elles doivent faire face à l’international. Et d’autre part, constituer des registres de traitement spécifiant clairement les durées de traitement en fonction du type de données collectées, leur durée légale de conservation, leur support et lieu de conservation, leur finalité et des mesures d’utilisation de ces données. Dans ces registres doivent notamment figurer des données comportant des comptes et registres juridiques, fichiers et données environnementaux, fichiers et données infrastructures critiques, fichiers et données de santé et de sécurité, fichiers et données des RH, fichiers et données à caractère personnel et traitements de données, fichiers et données fiscaux, fichiers et données de transport.
Africa Cybersecurity Mag : Comment les entreprises en Afrique protègent-elles les données personnelles de leurs employés contre les cyberattaques et les violations de sécurité ?
Léon BRANDRE : Les entreprises africaines peuvent se doter d’outils de cybersécurité pour d’une part, prévenir les attaques cyber, et d’autre part, y faire face. Une importance de la démarche de mise en conformité relative à la protection des données personnelles, réside à ce niveau. En effet, la mise en conformité permet de déceler toutes les failles pouvant compromettre la sécurité des données tant au niveau juridique, technique qu’organisationnel, et d’apporter des propositions concrètes pour juguler ces failles ; les outils de cyber protection en font partie.
Africa Cybersecurity Mag : Quelles sont les procédures mises en place par les entreprises africaines pour informer leurs employés sur la manière dont leurs données personnelles sont collectées, utilisées et stockées ?
Léon BRANDRE : L’information des employés en ce qui concerne le traitement de leurs données personnelles se fait dans le contrat, à travers une clause de protection des données.
Africa Cybersecurity Mag : Quels sont les mécanismes de surveillance et de conformité utilisés par les entreprises en Afrique pour garantir le respect des politiques de protection des données personnelles par leurs employés ?
Léon BRANDRE : En général, la surveillance de conformité est effectuée par les autorités de protection sous forme de contrôles de conformité. Ce sont des audits qui sont censés permettre à l’Autorité de protection de vérifier que les traitements de données effectués par les entreprises sont conformes à la loi.
Mais à côté de ce contrôle externe, les entreprises africaines ont-elles même la possibilité de contrôler leur niveau de conformité afin de la maintenir et la rendre pérenne. C’est le travail du Data Protection Officer (DPO) qui va le faire à l’aide de son outil de travail principal, le registre de traitement des données.
Africa Cybersecurity Mag : Quel est Votre Mot de Fin ?
Léon BRANDRE : Merci à Africa Cybersecurity Mag pour l’entretien, et vivement une prise de conscience active des responsables de traitement africains sur les réels enjeux de la mise en conformité relative à la protection des données personnelles.
Propos recueillis par Koffi ACAKPO, Journaliste digital