Le continent africain entend bien se positionner comme un acteur incontournable sur la scène technologique mondiale. La multiplication des lois de protection des données dans plusieurs pays africains témoigne de cette ambition, même si, comme le montre la carte de l’Afrique contenue dans ce numéro, la situation varie considérablement d’un pays à l’autre. Actuellement, 45 pays africains, tel que le Nigeria, l’Afrique du Sud et la Côte d’Ivoire, ont ou sont en passe d’adopter des lois de protection des données, reflétant une prise de conscience croissante des législateurs de l’importance de mettre en place des cadres juridiques robustes pour protéger les données de leurs citoyens. Cette tendance annonce des sanctions financières imminentes pour les contrevenants. Les entreprises doivent donc être particulièrement vigilantes et prendre en compte ces évolutions législatives.
FREDERIC FORSTER
Vice-président du réseau Lexing® et Directeur du pôle Industries et services informatiques, télécoms et bancaires du cabinet Lexing Alain Bensoussan-Avocats
Cette carte de l’Afrique, préparée par Lexing Afrique du Sud, vous permet de visualiser les pays disposant d’une loi ou d’un projet de loi de protection des données.
© Michalsons 1989 – 2024. All rights reserved.
LISA EMMA–IWUOHA
ZWAKELE MBANJWA
WANDILE MPISI
JOHN GILES
Introduction
L’Afrique du Sud a promulgué la loi sur la protection des informations personnelles (POPIA) en juillet 2020, avec une période de grâce d’un an pour la mise en conformité qui s’est terminée en juillet 2021. Cette loi découle du droit constitutionnel à la vie privée dont chacun bénéficie en Afrique du Sud. Le régulateur de l’information (« Information Regulator») est l’organisme indépendant chargé de faire appliquer la POPIA.
Champ d’application de la POPIA
La POPIA s’applique au traitement d’informations personnelles par des responsables du traitement, personnes physiques ou morales, situés en Afrique du Sud. Elle s’applique également aux responsables du traitement situés hors du pays lorsqu’ils traitent des informations personnelles relatives à des citoyens sud-africains.
Principes clés de la POPIA
- Responsabilité (accountability). Le responsable du traitement est responsable du respect des exigences de la POPIA. Notamment, il doit désigner un délégué à la protection des données (« information officer»).
- Minimisation des données. Les données doivent être traitées de manière licite et limitées à ce qui est nécessaire au regard de la finalité spécifique liée à l’activité du responsable du traitement.
- Limitation des finalités. Les informations personnelles doivent être collectées, utilisées et conservées pour des finalités déterminées, explicites et légitimes.
- Limitation des traitements ultérieurs. Les données doivent être traitées ultérieurement d’une manière compatible avec la finalité initiale.
- Qualité des informations. Les données doivent être exactes, complètes et à jour.
- Le responsable du traitement doit être transparent sur la manière dont il collecte, utilise et divulgue les informations personnelles. Les personnes doivent être informées de la collecte de leurs données.
- Mesures de sécurité. Le responsable du traitement met en œuvre des mesures de sécurité appropriées pour protéger les données contre la perte, l’accès non autorisé, les dégâts, la destruction ou la divulgation.
- Droit de la personne concernée. Les personnes concernées ont le droit d’accéder à leurs informations personnelles et de les rectifier, de s’opposer à leur traitement et de demander leur suppression dans certains cas.
Enregistrement des « information officers » (DPO)
Tous les organismes publics et privés qui mettent en œuvre des traitements d’informations personnelles doivent enregistrer un délégué à la protection des données auprès du Régulateur de l’information. Le délai d’enregistrement, initialement fixé au 31 mars 2021, avait été prolongé jusqu’au 1er février 2022.
Transferts transfrontaliers de données
Le transfert d’informations personnelles en dehors de l’Afrique du Sud est autorisé, mais il est soumis à des conditions strictes. Le pays destinataire doit disposer de lois adéquates en matière de protection des données, ou la personne concernée doit donner son consentement au transfert. A défaut, le transfert doit être nécessaire à l’exécution d’un contrat ou pour des motifs d’intérêt public.
Bilan
La conformité à la loi POPIA est essentielle pour opérer sur le marché sud-africain. Une fois le DPO enregistré, il est fortement conseillé de mettre en œuvre d’autres mesures de conformité, telles la mise en place de politiques de protection des données, de politiques de conservation des données, la réalisation analyse d’impact relative à la protection des données (DPIA).
(1) The Protection of Personal Information Act 4 of 2013. Available at: https://popia.co.za/
WANDILE MPISI
La Belgique a, depuis des années, une relation privilégiée avec certains pays d’Afrique et notamment avec la République démocratique du Congo et le Rwanda.
Les relations bilatérales entre la Belgique et le Rwanda ont de multiples facettes. Il existe un dialogue permanent entre ces deux pays ainsi qu’une coopération économique permettant l’investissement, des transferts de connaissance, etc. (1)
Un nombre important de données à caractère personnel est donc amené à transiter entre la Belgique et le Rwanda. Il est dès lors opportun de s’interroger sur la manière dont ces transferts de données fonctionnent en pratique.
En Europe, les traitements de données à caractère personnel sont encadrés de manière stricte depuis une trentaine d’années et plus encore depuis l’entrée en vigueur du RGPD.
En Afrique, ces traitements sont également encadrés notamment depuis l’adoption de la Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel, à Malabo, le 27 juin 2014.
Plus spécifiquement, le Rwanda a transposé cette Convention dans la loi du 13 octobre 2021 relative à la protection des données à caractère personnel et de la vie privée (LPDVP) (2). Cette loi est entrée en vigueur en date du 15 octobre 2021 et l’ensemble des responsables de traitement/sous-traitants doivent s’y conformer depuis le 15 octobre 2023.
Il est à noter que cette loi s’exporte, à l’instar du RGPD, en dehors des frontières du Rwanda. Elle s’applique en effet au responsable du traitement, au sous-traitant ou à un tiers qui n’est ni établi ni résident au Rwanda, mais qui traite des données à caractère personnel de personnes concernées situées au Rwanda.
De manière générale, la LPDVP comprend des droits et obligations comparables à ceux du RGPD. Cependant, cette loi se montre, à certains égards, plus exigeante que le RGPD lui-même.
Concernant spécifiquement les transferts de données, le Rwanda n’est pas reconnu comme un pays offrant un niveau de protection adéquat au sens de l’article 46 du RGPD. Cet article offre néanmoins d’autres possibilités afin de réaliser un transfert de données : il convient que le responsable du traitement ou le sous-traitant prévoit des garanties appropriées et que les personnes concernées disposent de droits opposables et de voies de recours effectives.
Ces garanties appropriées peuvent notamment être fournies par des clauses types mises à disposition par la Commission européenne, des règles d’entreprise contraignantes, un code de conduite, etc.
La LPDVP impose, quant à elle, le respect des exigences suivantes lors d’un transfert de données à caractère personnel vers un pays tiers :
- Le responsable du traitement ou le sous-traitant peuvent procéder à ce transfert dans un certain nombre d’hypothèses énumérées par la loi, parmi lesquelles le consentement de la personne concernée ou l’autorisation de l’autorité de contrôle après avoir fourni des garanties appropriées. À cet égard, l’autorité de contrôle peut établir un règlement déterminant une autre raison de partage et de transfert à un tiers des données à caractère personnel en dehors du Rwanda ;
- Le responsable du traitement ou le sous-traitant qui autorise à une personne d’obtenir les données à caractère personnel, de les partager et de les transférer vers un pays tiers en dehors du Rwanda doit également conclure un contrat écrit avec cette personne définissant les rôles et les responsabilités de chaque partie pour assurer le respect des dispositions de la loi. L’autorité de contrôle peut, par voie de règlement, déterminer le format du contrat devant être utilisé pour le transfert des données à caractère personnel en dehors du Rwanda ;
- Le responsable du traitement ou le sous-traitant stocke les données à caractère personnel au Rwanda. Le stockage en dehors du Rwanda est néanmoins autorisé si le responsable du traitement ou le sous-traitant détient un certificat d’enregistrement délivré par l’autorité de contrôle, qui l’autorise expressément à procéder de la sorte.
Il convient donc que les responsables de traitement et sous-traitants tiennent compte de ces différentes obligations lors de leurs futurs transferts de données entre la Belgique et le Rwanda.
(1) https://www.rwandainbelgium.gov.rw/1/le-rwanda-en-belgique.
(2) Loi n° 058/2021 du 13 octobre 2021, disponible à l’adresse suivante : https://cyber.gov.rw/index.php?eID=dumpFile&t=f&f=229&token=742569646abebc43d1ad81e3d3bee2f4f11f9639.
ELENA CAES
Introduction
L’Égypte occupe une place stratégique au carrefour de l’Afrique ou du Moyen-Orient. De par cette situation, les lois adoptées en Égypte sont susceptibles d’avoir des répercussions sur de nombreux pays arabes et africains. De fait, les législateurs égyptiens ont joué un rôle de premier plan dans les processus d’élaboration des lois dans de nombreux pays arabes et africains.
Les données sont protégées par de nombreuses lois en Égypte, à commencer par l’article 309 II du code pénal de 1936 qui impose une peine d’emprisonnement d’un an à toute personne qui viole la vie privée d’autrui sans autorisation. Sont ainsi punis l’enregistrement ou le transfert de toute conversation ayant eu lieu dans un lieu privé ou les enregistrements d’appels téléphoniques, ainsi que la prise de photos d’autrui dans des lieux privés sans autorisation. (1)
Loi anti-cybercriminalité de 2018
Adoptée par le Parlement égyptien en 2018, la loi n° 175/2018 relative à la lutte contre la cybercriminalité définit les données comme « tout ce qui peut être créé, stocké, traité, recréé, transféré, partagé ou reproduit par une méthode informatique, comme les chiffres, les codes, les lettres, les symboles, les signes, les photos, les sons et toutes les autres choses similaires ». (2)
Les articles 25 et 26 de cette loi prévoient de lourdes sanctions pour les personnes physiques et morales qui violent la vie privée d’autrui, utilisent les données d’autrui dans des contenus pornographiques ou mettent en danger la vie ou l’honneur d’autrui.
Loi sur la protection des données personnelles de 2020
Aux termes de la loi sur la protection des données personnelles n° 151/2020 adopté en 2020 une donnée personnelle est « toute donnée se rapportant à une personne physique identifiée ou identifiable directement ou indirectement par l’analyse ou la connexion de ces données ou de toute autre donnée, telle qu’un nom, un son, une photo, un identifiant, un identifiant électronique, ou toute donnée propre à l’identité psychologique, économique, culturelle, sociale ou médicale d’une personne physique ».
Des sanctions s’appliquent en cas d’atteinte à la protection des données personnelles sans l’autorisation du propriétaire des données ou des autorités compétentes de l’État. (3)
Bilan
Aujourd’hui, dans notre monde hyperconnecté, les données jouent un rôle essentiel dans notre vie quotidienne et sont étroitement liées à l’exercice des droits et libertés publiques des personnes.
Pour assurer la pleine protection de ces données, le respect de l’état de droit et de l’indépendance du pouvoir judiciaire dans les pays concernés sont essentiels, afin que les lois en matière de protection des données ne restent pas lettre morte et soient appliquées de manière effective et efficace.
(1) La loi sur le code pénal de 1936
(2) La loi de 2018 sur la lutte contre la cybercriminalité
(3) La loi de 2020 sur la protection des données personnelles
MOHAMED HASSANEIN
Par loi datant du 18 février 2009, référencée sous n°09-08, le Maroc a adopté un cadre légal régissant la protection des données personnelles, en ce compris, toutes les fonctions, utilisations ou implications pouvant découler du traitement des données personnelles, et ce, à travers l’instauration des mécanismes d’identification de la nature des données, de limitation du traitement à la finalité déclarée.
Néanmoins, il n’en demeure pas moins que les dispositifs mis en place se voient défiés par l’évolution constante et accélérée du monde digital.
Les dispositions de la loi 09-08 s’articule autour des axes suivants :
A. La définition des données à caractère personnel et les droits accordés aux personnes concernées
i) Les données personnelles
Les données à caractère personnel englobent toute information de quelle que nature qu’elle soit, indépendamment de son support, en ce compris le son et l’image rapportant à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou par élément spécifiques de son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Parmi les données collectées, figurent celles qui exigent une autorisation préalable avant sa collecte par les intervenants compte tenu de leur nature sensible, ou soumise à une telle formalité préalable par disposition légale. Il en est ainsi des données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale de la personne concernée ou qui sont relatives à sa santé y compris ses données génétiques.
Il est à noter qu’à ce principe il existe, en évidence, des exceptions notamment pour le traitement mis en œuvre par une association ou tout autre groupement à but non lucratif et à caractère religieux, philosophique, politique, syndical, culturel ou sportif.
ii) Les droits des personnes concernées
Les personnes concernées dont les données sont traitées, bénéficient du droit à l’information lors de la collecte, et ce, aux fins d’exercer les droits qui lui sont garantis par le dispositif légal, à savoir, le droit d’accès, le droit de rectification et le droit d’opposition :
- droit à l’information : le droit à l’information se traduit par l’obligation préalable à la collecte des données de porter à la connaissance de la personne concernée les éléments nécessaires permettant l’dentification du responsable de traitement et les mécanismes mis en place pour exercer ses droits accordés par la loi sur ses données. Toutefois, ce droit subi une limitation portant sur les informations relevant de la sécurité nationale de l’Etat, ou celles ayant des fins statistiques, journalistiques ou artistiques.
- droit d’accès : la personne concernée, a le droit d’obtenir à des intervalles raisonnables, sans délais et gratuitement, la confirmation de la finalité du traitement, des mécanismes utilisés pour le traitement automatisé des données
- droit de rectification : la personne concernée, justifiant de son identité, a le droit d’obtenir du responsable du traitement l’actualisation, la rectification, l’effacement ou le verrouillage des données à caractère personnel dont le traitement n’est pas conforme à la loi, notamment en raison du caractère incomplet et inexact de ces données ;
- droit d’opposition: la personne concernée, a le droit de s’opposer, pour des motifs légitimes, à ce que des données la concernant fassent l’objet d’un traitement. Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur.
Contrairement aux dispositions du RGPD, la loi marocaine, interdit par disposition claire et expresse la prospection directe, qu’elle soit au moyen d’un automate, d’appel, d’un télécopieur ou d’un courrier électronique ou d’un moyen employant une technologie de même nature qui utilise, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen.
Il est à noter que le droit à l’oubli numérique dit « droit à l’effacement » tel qu’il est prévu par les dispositions de l’article 17 du RGPD ne figure pas comme droit accordé à la personne concernée. L’effacement des données doivent au sens de la loi marocaine être automatique limitée par la durée de conservation, et ce en fonction de la finalité déclarée ou autorisée au responsable du traitement.
B. Les démarches à entreprendre auprès de l’organisme de contrôle
Les données personnelles ne peuvent être traitées qu’après obtention de manière expresse et indubitable du consentement de la personne concernée pour l’opération envisagée.
Le traitement est conditionné par la finalité liée directement aux fonctions du responsable du traitement.
Il est bien entendu qu’exceptio probat regulam in casibus non exceptisi, la loi marocaine, n’exige pas le consentement exprès dans les cas suivants :
- a )au respect d’une obligation légale à laquelle est soumis la personne concernée ou le responsable du traitement ;
- b) à l’exécution d’un contrat auquel la personne concernée, est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci (ex. contrat de travail) ;
- c) à la sauvegarde d’intérêts vitaux de la personne concernée, si elle est physiquement ou juridiquement dans l’incapacité de donner un consentement ;
- d) à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées ;
- e) à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.
Toute personne procédant à la collecte des données en est responsable. Ce dernier, doit recourir à une démarche spécifique en fonction de la nature des données collectées. Pour les données sensibles une autorisation préalable s’impose, autrement une simple déclaration préalable demeure suffisante.
L’autorisation préalable est exigée dans les cas suivants :
- cas des données sensibles ;
- cas où le traitement des données est indispensable à l’exercice des fonctions légales ou statutaires du responsable du traitement.
Elle est exigée aussi dans le cas de transfert des données vers un pays étranger qui ne présenterait pas le niveau de sécurité exigé par l’entité du contrôle. Dans ce sens la CNDP (Commission Nationale de Protection des Données) a émis une délibération portant n° 236-2015, listant les pays qui répondent aux exigences légales marocaines.
A noter que la durée de conservation doit être proportionnelle à la finalité pour laquelle les données sont collectées. La finalité est déterminée par les fonctions du responsable de traitement et le besoin de traitement de celui-ci.
C. Les intervenants, leurs pouvoirs et leurs limites
La collecte et le traitement des données impliquent un nombre d’intervenant chacun ses fonctions, ses pouvoirs, et ses limitations. Il s’agit notamment de :
- la personne concernée: lors de la collecte des données, le consentement de la personne demeure une condition indispensable. Contrairement à la RGPD qui n’en prévoit que la nécessité de la collecte du consentement, celui demeure exigible sans lequel, les démarches auprès de la CNDP pour déclaration ou autorisation se verrait rejeté.
- le responsable de traitement: au vu de sa définition par la loi, le responsable du traitement est la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel. Il ressort de cette définition que la responsabilité du traitement, elle est assumée par la personne qui fait la collecte et le traitement des données directement ou par personne intermédiaire, en vertu d’un contrat de sous-traitance. Le choix du sous-traitant est soumis à la condition d’apport par ce dernier des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relative aux traitements envisagés.
- la Commission Nationale: la Commission Nationale de Protection des Données Personnelles (CNDP) est l’organisme officiel chargé de veiller au respect de la vie privée et de protéger les données à caractère personnel des citoyens. En outre de son rôle de supervision et de contrôle, elle dispose des attributions suivantes :
- autorisation et contrôle : la CNDP autorise les traitements de données sensibles et contrôle leur conformité.
- réception des plaintes : Elle reçoit et traite les plaintes des citoyens relatives à la protection de leurs données personnelles.
- consultation et avis : la commission peut être consultée par les pouvoirs publics ou privés pour des avis sur la protection des données personnelles traduit par des délibérations ;
- coopération internationale : la CNDP collabore avec des organisations internationales pour harmoniser les standards de protection des données.
- Comme conséquence du contrôle, elle a le pouvoir d’émettre des sanctions pécuniaires préalablement fixées par la loi, allant de 10.000 MAD à 300.000 MAD en fonction de la nature du manquement et de sa gravité.
Les sanctions sont portées à des peines d’emprisonnement en fonction de l’infraction commise. Dans ce cas, la CNDP dresse un procès-verbal de l’infraction et le transmet au procureur.
Un projet d’amendement de la loi, notamment la composition de la commission et ses pouvoirs, a été présenté en février 2023, afin de doter la commission d’un mécanisme plus efficace et de pouvoirs plus étendus dans le but de lui conférer un statut plus indépendant et plus représentatif.
Bilan
Bien que disposant d’un arsenal juridique permettant d’assurer un certain niveau de sécurité des données personnelles, un alignement sur les résolutions européennes en la matière s’impose et ce sur plusieurs aspects, notamment.
En termes d’intervenant, la loi marocaine ne prévoit pas de fonctions spécifiques comme il en est le cas des professionnels et les responsables de la gestion des données (comme les DPO – Data Protection Officers) définis par le RGPD.
Aussi, la loi doit continuellement s’adapter aux progrès technologiques rapides. Des technologies émergentes comme l’internet des objets (IoT), l’intelligence artificielle (IA) et le big data posent de nouveaux défis en matière de protection des données qui peuvent ne pas être entièrement couverts par la législation actuelle.
Par ailleurs, les droits accordés aux personnes concernées par la loi marocaine ne sont pas aussi exhaustifs que ceux prévus par la RGPD, ils demeurent limités à l’accès, la rectification ou opposition. Il en est ainsi notamment d’absence de droit à la limitation du traitement, aucune disposition ne propose une solution en cas de non-respect par le responsable de traitement de la finalité déclarée, l’empêchant ainsi à limiter le traitement de ses données.
AMAL AZAROUR
Le cadre juridique de la protection des données au Nigéria est en pleine évolution, marqué par une importante mise à jour législative avec la promulgation de la loi sur la protection des données (NDPA) (1) en juin 2023, qui vient s’appliquer aux côtés du Règlement sur la protection des données (NDPR) de 2019. La NDPA renforce les droits en matière de protection des données et établit la Commission nigériane de protection des données (NDPC) chargée de veiller au respect de ces deux textes.
Champ d’application
La NDPA et la NDPR s’appliquent au traitement des données à caractère personnel des personnes concernées qui se trouvent sur le territoire du Nigeria, quel que soit le lieu où est établi le responsable du traitement. Entrent dans leur champ d’application le traitement automatisé et manuel des données par les organisations publiques et privées.
Autres textes en matière de protection des données
Outre la NDPA, plusieurs autres textes complètent le cadre de protection des données du Nigéria :
- loi de 2017 sur les informations relatives aux crédits à la consommation: cette loi encadre l’agrément des agences d’évaluation du crédit et l’établissement de rapports de solvabilité. Par exemple, afin de protéger les informations relatives au crédit (2) des personnes concernées, les agences ne sont pas autorisées à inclure des données qui révèlent l’origine raciale ou ethnique, la religion ou l’affiliation politique dans leurs rapports de solvabilité (3) et les utilisateurs destinataires de ces rapports (4) sont tenu de protéger l’intégrité et la confidentialité des informations qui leur sont communiquées (5).
- loi de 2015 sur la cybercriminalité: ce texte traite des cybercrimes et comprend des dispositions relatives à la confidentialité des données et aux interceptions légales.
- loi de 2011 sur la liberté d’information (FoIA): la FoIA, qui prévoit un droit d’accès aux informations détenues par les institutions publiques, autorise ces dernières à rejeter les demandes d’accès portant sur des données à caractère personnel (6).
- loi de 2007 sur la commission nationale de gestion de l’identité (loi NIMC): la loi NIMC a créé la base de données nationale sur l’identité et institué la Commission nationale de gestion de l’identité (NIMC). Cette commission est chargée de gérer la base de données nationale, d’enregistrer les personnes et de délivrer des cartes d’identité multifonctions. La loi NIMC contient des règles pour contrôler l’accès aux informations contenues dans la base de données nationale sur l’identité.
- loi de 2003 sur les communications (NCA): la NCA s’applique au secteur des communications et aux détenteurs d’une licence de communication. Elle comprend plusieurs dispositions relatives à la protection des données à caractère personnel des utilisateurs de services de télécommunications. Notamment, la section 106 de la NCA prévoit que le dossier de demande de licence doit contenir les procédures prévues afin de protéger les informations des clients.
Principes clés
La NDPA énonce les principes fondamentaux suivants, qui sont conformes aux normes mondiales en matière de protection des données :
- licéité, loyauté et transparence: les données à caractère personnel doivent être traitées de manière licite, loyale et transparente.
- limitation des finalités: les données doivent être collectées pour des finalités déterminées, explicites et légitimes.
- minimisation des données: seules les données nécessaires au regard des finalités précisées doivent être collectées.
- exactitude: les données personnelles doivent être exactes et tenues à jour.
- limitation de la durée de conservation : les données doivent être conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
- intégrité et confidentialité: les données doivent être traitées de façon à garantir une sécurité appropriée des données contre l’accès non autorisé, le traitement illicite, la perte, la destruction ou les dégâts d’origine accidentelle.
- responsabilité (accountability): les responsables du traitement des données sont tenus de démontrer qu’ils respectent bien ces principes.
Enregistrement et conformité
Les responsables du traitement ou les sous-traitants considérés comme « d’importance majeure » doivent s’enregistrer auprès de ladite commission, et désigner un délégué à la protection des données (DPO). En outre, en vertu du NDPR, qui reste d’application conformément à la NDPA, les responsables du traitement et les sous-traitants sont tenus de déposer un rapport d’audit tous les ans. Seules les organisations de conformité à la protection des données (DPCO) agréées peuvent fournir certaines prestations de conformité, tels que l’enregistrement des responsables du traitement et des sous-traitant et le dépôt de rapports d’audit en leur nom.
Transferts transfrontaliers de données
La NDPA encadre le transfert de données à caractère personnel en dehors du Nigeria, en autorisant les transferts uniquement vers les pays qui assurent un niveau de protection adéquat, tel que déterminé par la NDPC (7). En l’absence de protection adéquate, les transferts peuvent avoir lieu avec le consentement de la personne concernée ou dans certains cas, notamment lorsque le transfert est nécessaire à l’exécution d’un contrat, pour des motifs d’intérêt public, pour l’exercice de droits en justice ou encore à la sauvegarde d’intérêts vitaux. L’adoption de toute norme internationale de transfert de données est soumise à l’approbation de l’Assemblée nationale.
Sanctions
En cas de violation de la NDPA, la NDPC a le pouvoir d’imposer des amendes importantes ainsi que d’autres mesures d’exécution. Les amendes encourues par les responsables du traitement d’importance majeure peuvent s’élever jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires brut annuel, le montant le plus élevé étant retenu. Les autres responsables du traitement s’exposent à une amende pouvant atteindre 2 millions d’euros ou 2 % du chiffre d’affaires brut annuel, le montant le plus élevé étant retenu.
Autorité nationale
La NDPC, créée en vertu de la NDPA, est l’autorité principale chargée de superviser la protection des données. La NDPC a pour mission :
- de veiller au respect de la NDPA ;
- de sensibiliser à la protection des données ;
- de faire appliquer toutes autres lois en matière de protection des données ;
- d’imposer des sanctions en cas de non-respect.
Les régulateurs sectoriels, comme la Banque centrale du Nigeria (CBN) pour les données financières, et la Commission nigériane des communications (NCC) pour les données de télécommunications, jouent également un rôle dans l’application de la protection des données au sein de leur secteur respectif.
Bilan
L’arsenal juridique du Nigeria en matière de protection des données s’est consolidé avec la loi dite NDPA, qui renforce les droits individuels et établit une autorité de contrôle dédiée. Avec la NDPA, le Nigeria confirme son engagement à protéger la vie privée de ses citoyens à l’ère numérique, en assurant un équilibre entre la libre circulation de l’information et la protection des données personnelles. Le respect de ce cadre de protection permet aux organisations de protéger les droits des personnes concernées et constitue un levier de confiance vis-à-vis de leurs clients et de leurs partenaires au Nigéria.
(1) Nigerian Data Protection Act 2023. Accessible à l’adresse : https://www.dataguidance.com/sites/default/files/data_protection_act_2023.pdf
(2) Sont des informations relatives au crédit les informations qui influent sur la solvabilité, la capacité de crédit, la qualité du crédit d’une personne, ainsi qu’à l’historique et au profil de cette personne en matière de crédit, d’actifs et d’obligations financières, y compris les données démographiques de cette personne et toute autre information susceptible d’aider à la prise de décision en matière de crédit (section 27)
(3) Section 3 (3) (d)
(4) L’utilisateur d’informations relatives au crédit désigne les fournisseurs d’informations sur le crédit et les autres personnes légalement autorisées à obtenir des informations sur le crédit auprès des agences d’évaluation du crédit à des fins autorisées (section 27)
(5) Section 12 (a)
(6) Section 14
(7) Chukwuyere Izuogu, Transferts de données et décisions d’adéquation au Nigéria : analyse de l’affaire Ikigai c/ NITDA. Accessible à l’adresse : https://lexing.network/fr/transferts-de-donnees-et-decisions-dadequation-au-nigeria-analyse-de-laffaire-ikigai-c-nitda/
CHUKWUYERE IZUOGU