LE POINT SUR LE GROUPE DE TRAVAIL DU RAPDP RELATIF A LA COOPERATION INTERNATIONALE

La Commission de protection des Données Personnelles du Sénégal (CDP) a reçu mandat de coordonner le Groupe de travail sur la coopération entre le Réseau africain des autorités de protection des données personnelles (RAPDP) et les organisations régionales et internationales.

A ce titre, elle fait le point sur les activités et les travaux suivis pour le compte du RAPDP.

La rencontre des présidents des groupes de travail du RAPDP et les représentants de la CUA

Le Réseau des Autorités de Protection des Données à caractère Personnel (RAPDP) et la Commission de l’Union Africaine (CUA) ont tenu, le vendredi 17 avril 2020 une séance de travail téléphonique pour discuter des perspectives de collaboration entre les deux structures.

Cette conférence téléphonique a permis de fixer deux points importants : l’implication du RAPDP dans la mise en œuvre du programme PRIDA et la mise en place progressive d’un cadre de concertation entre l’UA et le RAPDP.

Ont pris part à cette réunion : Madame Awa NDIAYE, Présidente du Groupe de travail sur la coopération entre le RAPDP et les organisations régionales et internationales ; Madame Marguerite BONANE OUEDRAOGO, Présidente du Groupe de travail sur le renforcement de capacités ; Monsieur Moctar YEDALI, Chef Division Société de l’Information, Commission Infrastructure et Énergie ;   Madame Amazouz SOUHILA, Cheffe de projet sénior, Division de la Société de l’Information ; Monsieur Sandro BAZZANELLA, Assistant technique Programme PRIDA ; Monsieur Omar SEGHROUCHNI, Président du Groupe de travail sur l’identité numérique.

UA- PRIDA : La participation au groupe de travail sur le suivi et l’évaluation des politiques et réglementations en matière de protection des données et de localisation des données

Dans le cadre du programme PRIDA (Initiative politique et réglementaire pour l'Afrique numérique (PRIDA), le Groupe de travail a pour objectif d’identifier et de valider des indicateurs, permettant de mesurer le degré d’harmonisation des politiques, des législations sur la protection et la localisation des données.

La méthodologie de travail du Groupe consistait à : identifier et valider les indicateurs d’harmonisation des législations ; élaborer un modèle d’évaluation des législations à l’aide des indicateurs identifiés et validés ; tester le modèle d’évaluation dans cinq (05) pays choisis, à savoir : le Gabon, le Ghana, l’Ile Maurice, le Maroc et la Zambie.

Les indicateurs validés sont notamment :

• La reconnaissance du droit à la vie privée et l’engagement à établir un cadre juridique pour la protection des données personnelles ;
• L’existence de droits individuels pour les personnes concernées ;
• L’existence de règles contraignantes permettant le flux de données entre organisations ;
• La fiabilité des flux transfrontaliers des données.

Ils doivent permettre de mesurer l’impact des politiques, législations et réglementations sur la société et les économies africaines.

Les résultats du test d’évaluation au Ghana, au Maroc et en Zambie ont été présentés lors de réunion du Groupe de travail, tenue en visioconférence, le 24 novembre 2020 ; et lors de la 2ème Rencontre continentale sur l’Harmonisation des politiques et cadres de régulation des TIC et du numérique, organisée par la Commission de l’Union Africaine, tenue du 16 au 18 juin 2021.

Ainsi, les résultats de la phase pilote révèlent que le Maroc et le Ghana présentent un plus haut niveau de conformité avec les indicateurs précités. La Zambie, quant à elle, devrait mettre en œuvre des politiques de protection des données plus adéquates, passant notamment par l’adoption et la mise en œuvre d’une législation.

Pour la deuxième phase, la Commission de l’Union Africaine vise le déploiement du modèle d’évaluation dans vingt-cinq (25) pays africains.

Pour ce faire, les pays candidats ont reçu un questionnaire d’évaluation, avec des indicateurs, de leurs politiques et législations sur la protection des données personnelles.

Les résultats de l’évaluation des politiques et législations africaines sur la protection des données personnelles seront présentés lors de la prochaine Réunion Ministérielle de l’Union Africaine.

Les recommandations sur le Suivi et l’Evaluation des politiques et législations africaines sur la protection des données personnelles 

Au sortir des premiers tests réalisés, il a été recommandé de :

• Mettre à jour le modèle d’évaluation en tenant compte des leçons apprises ;
• Appliquer le modèle mis à jour aux États membres ;
• Convenir d'une méthodologie finale de Suivi et Évaluation, pour la protection des données et la localisation des données, et examiner les options pour améliorer la qualité de l'harmonisation pour ce sujet à travers le continent ;
• Documenter les résultats et les conclusions, pour soutenir les discussions sur les améliorations futures d'un système de suivi et d'évaluation, et d'une méthodologie d'harmonisation continentale.

Smart Africa - Groupe de Travail sur la protection des données personnelles et le respect de la vie privée

Il convié de rappeler que l’Alliance Smart Africa a mis en place un Groupe de travail sur la protection des données personnelles et respect de la vie privée, dans le cadre du flagship sur la stratégie de Broadband (Internet Haut débit) 2025, confié au Sénégal.

Ayant pour mission de proposer un cadre harmonisé pour la protection des données et le respect de la vie privée sur la base de la Convention de Malabo, le Groupe de travail s’est fixé comme objectifs de :

• Cartographier les législations africaines sur la protection des données personnelles ;
• Créer un document cadre qui servira de lignes directrices pour les États membres souhaitant développer des stratégies nationales de protection des données personnelles et de respect de la vie privée ;
• Créer un document cadre avec des recommandations sur les mécanismes d’harmonisation des législations. Ces recommandations seront présentées et au Comité de pilotage et au Conseil d’administration de Smart – Africa.

Le Groupe de travail est subdivisé en sept (7) sous-groupes thématiques, à savoir :

• Sous-groupe 1 : Processus de ratification et d’adoption de la Convention de Malabo dans les pays africains et mécanismes de suivi et de soutien à l’adoption et à l’harmonisation des cadres juridiques ;
• Sous-groupe 2 : Vie privée et régulation des données ;
• Sous-groupe 3 : Mesures appropriées pour la sécurité des données ;
• Sous-groupe 4 : Harmonisation de la mise en œuvre des obligations des responsables de traitement et des sous-traitants ;
• Sous-groupe 5 : Gouvernance des Autorités de protection des données ;
• Sous-groupe 6 : Cadre harmonisé des flux transfrontières de données ;
• Sous-groupe 7 : Confiance numérique en Afrique.

Les activités suivantes ont été réalisées dans le cadre du Groupe de travail :

• Cartographie des législations existantes par les membres du groupe de travail : les premiers résultats de la cartographie des législations, réalisée par le groupe de travail (étape 1) ont reçu un écho très positif de la part des membres du comité de pilotage de Smart Africa. Le Secrétariat de Smart Africa a été encouragé à poursuivre cet effort ;
• Atelier de renforcement des capacités pour les Autorités de protection des données personnelles, tenu du 17 au 21 mai 2021 ;
• Recrutement du cabinet consultant Sense Strategy pour la finalisation du travail de cartographie des législations et pour l’appui des travaux des sous-groupes ;
• L’organisation du premier atelier (Workshop 1) sur l’harmonisation des cadres juridiques africains sur la protection des données personnelles (tenu le 07 septembre 2021, en visioconférence) ;
• L’élaboration d’un rapport d’analyse sur les défis d’harmonisation des législations en Afrique ;
• Démarrage des réunions des sept (07) sous-groupes de travail (du 06 octobre au 09 novembre 2021).

Les prochaines étapes prévues dans le cadre du Groupe de travail sont :

• L’élaboration d’un document cadre de Recommandations pour les États membres de l’Alliance Smart Africa ;
• La présentation des recommandations au Sommet Transform Africa, initialement prévu en septembre 2021 à Kigali, et reporté en raison de l’évolution de la pandémie liée au Covid-19

La mise en relation avec l’UEMOA

A l’occasion du Séminaire régional d’information et de sensibilisation relatif aux comportements délictuels sur les réseaux sociaux qui s’est tenu du 26 au 28 octobre, la CDP, en sa qualité de Président du groupe de travail Coopération internationale, a pris contact avec le Directeur de l’Économie Numérique à la Commission de l’UEMOA, en vue d’initier une collaboration institutionnelle forte entre le Réseau et l’Institution régionale.

Réseau africain des Autorités de protection des données à caractère personnel

Au plan africain, la deuxième édition du Forum Africain, tenue à Ouagadougou au mois de septembre dernier, a permis l’adoption des Statuts et la mise en place du Réseau Africain des Autorités de protection des données personnelles.

Le Réseau a pour objectifs, entre autres de créer un cadre de coopération et de collaboration entre les Autorités Africaines de Protection des données personnelles afin de favoriser le partage d’idées, d’expériences sur les questions y liées. Aussi, il permettra d’appuyer les Etats ne disposant pas de législation sur la protection des données et la mise en place d’une autorité de contrôle.

Huit (08) pays sont signataires des Statuts adoptés notamment le Bénin, le Burkina Faso, le Mali, le Maroc, la Tunisie, la Côte-d’Ivoire, le Cap-Vert et le Sénégal.

Adhésion à la Convention 108

Le 08 juin 2016, le Sénégal a adopté, en Conseil des Ministres, le projet de loi autorisant le Président de la République à ratifier la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE n°108) et son Protocole additionnel concernant les autorités de contrôle et les flux transfrontières de données (STE n°181).

Suite à cette décision importante du Gouvernement du Sénégal, ce projet de loi a été adopté en Commission des Lois, et en plénière, à l’Assemblée Nationale le 24 juin 2016. Et le 03 août 2016, le Président de la République du Sénégal a signé les Instruments de Ratification.

Ladite Convention est entrée en vigueur le 01^er décembre 2016 à la suite du dépôt des instruments d’adhésion au Conseil de l’Europe le 25 août 2016 et le Sénégal devient ainsi le 50^ème Etat partie de la Convention.

L’intérêt de la ratification de ladite Convention est multiple pour le Sénégal qui :

• sera une destination privilégiée pour les entreprises étrangères, et partant, les sociétés nationales peuvent prétendre au marché extérieur de commerce de services ;
• aura un cadre juridique renforcé et un espace commun naturel de libre échange et de facilitation des flux transfrontières de données avec l’Europe ;
• jouira enfin, de la coopération et de l’assistance à la mise en conformité de la législation nationale avec les standards internationaux.

Autres textes ratifiés par le Sénégal 

Le Conseil des ministres du 30 mars 2016 a adopté des textes de lois autorisant le Président de la République à ratifier la Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel du 27 juin 2014 et la Convention de Budapest sur la cybercriminalité du 23 novembre 2001 ainsi que son protocole additionnel du 28 janvier 2013.

La convention de Malabo du 27 juin 2014 constitue une innovation majeure de la stratégie de lutte contre la cybercriminalité en Afrique. Elle retient de ce fait une approche très large de la cybersécurité impliquant la lutte contre la cybercriminalité, la protection des données à caractère personnel et l’encadrement des transactions électroniques. En termes d’opportunités, nous relevons que sa ratification facilitera la coopération entre Etats parties dans le cadre de la lutte contre la cybercriminalité (entraide judiciaire pour une assistance mutuelle, échange d’informations avec la mise en place de CERTs, renforcement du partenariat public privé pour la promotion d’une culture de la cybersécurité, etc.).

S’agissant de la Convention de Budapest sur la cybercriminalité et son protocole additionnel, nous noterons que nos autorités judiciaires et policières pourront obtenir l’assistance des Etats membres à la Convention, des acteurs globaux de l’internet (Facebook, Youtube, Google, etc.) mais aussi de l’assistance technique et opérationnelle du Conseil de l’Europe.