Accueil High Tech Internet: Les pays africains manquent de cadre législatif sur la protection des...

Internet: Les pays africains manquent de cadre législatif sur la protection des internautes

152
0
Partager

Jules Hervé Yimeumi

« Les pays africains manquent de cadre législatif sur la protection des utilisateurs d’internet»

Le spécialiste en cybersécurité dresse l’état des lieux de la protection des données personnelles en Afrique, alors que l’Europe se prépare à mettre  en vigueur le Règlement général sur la protection des données (RGPD)


C’est quoi le Règlement général sur la protection des données (RGPD) ?

Il s’agit d’un règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données qui entrera en application le 25 mai 2018 en Europe. Le règlement s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que ce dernier met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les « cibler ». En pratique, le droit européen s’appliquera donc chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par internet.

Comment se conformer au RGPD ?
Pour se conformer au RGPD il faut la tenue d’un registre des traitements et la notification de failles de sécurité (aux autorités et personnes concernées). Les données personnelles doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées. Lorsqu’il constate une violation de données à caractère personnel, le responsable de traitement doit notifier à l’autorité de protection des données la violation dans les 72 heures. L’information des personnes concernées est requise si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne. L’adhésion à des codes de conduite et la certification des traitements pour les responsables de traitement et les sous-traitants. Ces deux outils doivent contenir des engagements contraignants. La désignation d’un DPO (délégué à la protection des données). Les responsables de traitement peuvent opter pour un délégué à la protection des données mutualisé ou externe. Le délégué devient le véritable « chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme. Il est ainsi chargé d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés.

Quelles sont les sanctions prévues en cas de non respect de ce règlement ?
Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.
S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du  chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Selon vous, l’Afrique est-elle prête ?
La plupart des pays africains ne présentent pas, à ce jour, un cadre législatif exhaustif et conforme au regard du GDPR. Un groupe plus restreint de pays (le Bénin, le Burkina Faso, la Côte d’Ivoire, le Gabon, le Mali, le Maroc, le Sénégal et la Tunisie) apparaissent plus avancés sur la voie de la conformité au GDPR, chacun ayant institué sa propre autorité de contrôle de la protection des données, réunies au sein de l’Association Francophone des Autorités de Protection des Données Personnelles (AFAPDP). A l’égard des entreprises et organismes publics, qui pourraient pour certains se voir demain appliquer directement les dispositions du GDPR, l’adoption d’une législation nationale équivalente aux principes européens pourrait constituer tout à la fois un levier efficace et une forte incitation pour la mise en conformité.

 Propos recueillis par

Cyrille Djami, à Bruxelles