30/07/2014
Compte rendu rédigé avec l’aide du Dr Mouhamadou Lo, Président de la CDP au Sénégal
Conscients des menaces engendrées par le phénomène de la cybercriminalité, les Chefs d’Etat et de gouvernement de l’Union Africaine (UA), réunis les 26 et 27 juin 2014 à Malabo en Guinée Equatoriale, pour la 23ème Session Ordinaire du Sommet de l’UA, ont adopté, à l’instar du Conseil de l’Europe, la Convention de l’UA sur la cybersécurité et la protection des données à caractère personnel.
Ce texte était très attendu par les acteurs de la protection des données en Afrique et dans le monde, parmi lesquels l’Association francophone des autorités de protection des données personnelles (AFAPDP).
Une convention sur « la confiance et la sécurité dans le cyberespace » pour l’Afrique
La Convention du 23 juin 2014 vise à « renforcer et harmoniser les législations actuelles des Etats membres et des Communautés Economiques Régionales (CER) en matière de TIC », dans le respect des libertés fondamentales et des droits de l’Homme et des Peuples. Elle vise également à créer « un cadre normatif approprié correspondant à l’environnement juridique, culturel, économique et social africain » et souligne que la protection des données personnelles et de la vie privée est un « enjeu majeur de la société de l’information » ; tout traitement de données personnelles doit respecter un équilibre entre libertés fondamentales, promotion et usage des TIC, intérêts des acteurs publics et privés.
L’adoption de la Convention s’inscrit dans la continuité des engagements des Etats membres pour une harmonisation des cyber-législation africaines. On peut citer notamment : la Décision sur les technologies de l’information et de la communication en Afrique : défis et perspectives (2010), la Déclaration Oliver Tambo de Johannesburg du 9 novembre 2009, la Déclaration d’Abidjan du 22 février 2012 et la a Déclaration d’Addis-Abeba du 22 juin 2012.
La Convention est divisée en 4 chapitres :
- Chapitre 1 : les transactions électroniques
- Chapitre 2 : la protection des données à caractère personnel
- Chapitre 3 : promotion de la cybersécurité et lutte contre la cybercriminalité
- Chapitre 4 : dispositions finales
Les Chefs d’Etat et de gouvernement de l’UA ont souhaité mettre l’accent, dans le titre de la Convention, sur la cybersécurité et sur la protection des données à caractère personnel.
Quel modèle de protection des données personnelles ?
On retrouve dans la Convention, et tout particulièrement dans le Chapitre II :
- Article 1 : plusieurs définitions concernent le droit à la protection des données personnelles : consentement ; destinataire ; donnée personnelle ; donnée sensible (voir l’article 14 également) ; fichier ; interconnexion ; personne concernée ; responsable de traitement ; sous-traitant ; tiers ; traitement.
Section I : objet et champ d’application
- Article 9 : sont concernés par la Convention les traitements mis en œuvre dans le secteur privé et dans le secteur public dans un ou plusieurs Etats membres de l’UA.
- Article 10 et 11 : l’obligation pour les responsables de déclarer leur(s) traitement(s) de données à une autorité de contrôle spécifiquement créée pour garantir l’application des principes de protection des données personnelles.
- Pour certaines catégories de traitement (santé, police et justice, interconnexion de fichiers, biométrie, recherche), une autorisation de l’autorité de protection des données est obligatoire.
Section II : autorité de protection des données
- Article 11 : les garanties de l’indépendance de ces futures autorités sont décrites dans la Convention, dont les critères d’incompatibilité entre les fonctions des membres d’une autorité, les moyens nécessaires à l’accomplissement de leurs missions, etc.
- Article 12.2 : entre autres missions, les autorités sont chargées d’informer et de conseiller, de recevoir les déclarations, les demandes d’autorisation et d’avis (notamment pour les transferts à l’étranger), de contrôler, de sanctionner, de saisir des autorités judiciaires, de coopérer au niveau international, de rendre compte de leur activité, de prévoir un recours pour les personnes sanctionnées.
Section III : principes des traitements de données
- Article 13 : pour la mise en œuvre des traitements de données, les responsables, y compris les sous-traitants, doivent respecter les principes suivants : consentement « exprès, non équivoque, libre, spécifique et informé » comme défini à l’article 1 (4 exceptions prévues), licéité et loyauté, finalité, pertinence, durée de conservation limitée, exactitude, transparence, confidentialité et sécurité.
- Article 14 : certaines données sont considérées comme des données sensibles et font l’objet d’une interdiction de traitement (sauf exceptions et encadrement spécifique). Il s’agit des données qui révèlent l’origine raciale, ethnique ou régionale, la filiation, les opinions politiques, religieuses ou philosophiques, l’appartenance syndicale, la vie sexuelle, les données génétiques ou de santé.
- Article 14.5 : une décision affectant un individu ne peut avoir pour seul fondement un traitement de données personnelles.
- Article 14.6 : Les transferts à l’étranger sont interdits sauf encadrement spécifique et garanties adéquates prévues.
Section IV : droits des personnes
- La Convention prévoit les droits suivants pour les personnes concernées : information, accès, opposition, rectification et suppression.
Section V : obligations des responsables de traitements
- Les responsables de traitement doivent respecter les obligations suivantes : confidentialité, sécurité, conservation limitée, pérennité.
Le respect des droits des personnes est évoqué dans les autres chapitres de la Convention, notamment au Chapitre III, sur la promotion de la cybersécurité et lutte contre la cybercriminalité, à l’article 25 qui indique que les mesures visant à lutter contre la cybercriminalité prises par les Etats ne doivent pas entraver les droits et libertés des « citoyens » ; ces droits sont notamment protégés par la Charte africaine des droits de l’Homme et des Peuples (1981).
Ces positions prises au niveau communautaire sont une bonne chose pour faire appliquer le droit et encourager les gouvernements à respecter leurs engagements, selon le Dr Mouhamadou Lo.
Quand la Convention doit-elle entrer en vigueur ?
Suite à l’adoption de la version finale de la Convention le 27 juin 2014, 15 Etats membres de l’UA doivent ratifier la Convention (déposer leur instrument de ratification à la présidence de la Commission de l’UA) pour que celle-ci entre en vigueur.
La Convention est ouverte à la ratification de tous les Etats membres de l’UA (liste des Etats membres).
Le suivi de la mise en œuvre de la Convention est assuré par la Division de la société de l’information, au sein de la Commission des infrastructures et de l’énergie de l’UA. Le mécanisme de suivi veillera notamment à :
- Promouvoir l’adoption et l’application de mesures de lutte contre la cybercriminalité et de protection des droits des personnes dans les Etats ;
- Faire un bilan des risques d’atteinte à la cybersécurité et aux droits des personnes ;
- Faire un état des lieux des besoins et des méthodes pour lutter efficacement contre la cybercriminalité et pour protéger les droits des personnes dans les Etats ;
- Encourager la coopération entre les acteurs institutionnels, la société civile et les citoyens africains.
Plus en savoir plus :
- Exposé des motifs de la Convention
- Convention de l’UA sur la cybersécurité et la protection des données à caractère personnel (version adoptée le 27/06/2014)
- Communiqué de l’UA du 30/06/2014 sur la 23ème Session Ordinaire de l’Union Africaine
- Communiqué de la CDP au Sénégal sur l’adoption de la Convention
- Article de l’association sénégalaise Osiris du 11/07/2014 sur l’adoption de la Convention
Bonjour,
Je voudrais savoir si Madagascar a ratifié cette convention?
Bjr!
Je vais savoir si la République démocratique du Congo a ratifié la Convention de l’Union africaine sur la cybercriminalité et la protection des données à caractère personnel?
un instrument très important pour la lutte et la régulation du secteur relatif au commerce électronique
Quiero saber cuando Guinea ecuatorial ha ratificado este protocolo
Bonjour,
Nous vous remercions pour votre question. Vous pouvez consulter la liste des pays ayant ratifié la convention en suivant ce lien : https://cybersecuritymag.africa/bilan-ratification-convention-union-africaine-sur-cybersecurite-et-protection.
À ce jour, il semblerai que la Guinée équatoriale n’ait pas encore ratifiée cette convention.
Cordialement,
L’AFAPDP