Quelques principes simples pour se conformer aux lois de protection des données dans le cadre de ses activités en Afrique

4 juillet 2022
Blog

Mise en situation : vous achetez un bien sur un site de vente en ligne. Pour les besoins de la facture et de l’envoi du colis, vous devez entrer vos nom, prénom, numéro de téléphone, adresse postale et adresse e-mail. A la fin de la journée, ce site de vente en ligne transmet l’ensemble des données personnelles collectées, y compris les vôtres, à une plateforme, contre rémunération, laquelle les transmet à son tour à des partenaires. Quelques semaines plus tard, vous êtes excédé : vous recevez jusqu’à cinq appels par jour de prospection téléphonique : des commerciaux tentent par tout moyen de vous vendre mille et une choses dont vous n’avez absolument pas besoin !

La protection des données personnelles : un impératif de notre temps

Voici en quelques mots les abus que tendent à éviter les réglementations de protection des données personnelles, qui, en raison de leur complexité et de l’ampleur des flux de données que nous connaissons, peuvent représenter un véritable casse-tête pour les entreprises. Ces réglementations existent depuis une quarantaine d’années, mais on remarque, depuis quelques années une tendance au durcissement en raison de l’avènement d’internet et de son utilisation par le grand public, qui facilite la collecte massive de données personnelles. A cet égard, le scandale Facebook-Cambridge Analytica, par lequel une société aurait influencé l’élection présidentielle américaine de 2016 grâce aux données de 87 millions d’utilisateurs Facebook, a eu un retentissement considérable.

Panorama des lois de protection des données en vigueur en Afrique

C’est donc en réaction à de multiples scandales et protestations qu’a été adopté le Règlement européen de protection des données, entré en vigueur en 2018, dont l’acronyme « RGPD » est depuis devenu fameux. En Afrique, il existe également des réglementations de protection des données, qui sont plus ou moins strictes. On peut considérer qu’elles sont strictes lorsqu’il existe une autorité de contrôle des traitements de données, comme c’est par exemple le cas au Mali ou au Ghana. Dans d’autres pays, il existe une réglementation de protection des données sans autorité de contrôle, par exemple en Guinée. Enfin, certains pays n’ont pas de réglementation spécifique : c’est le cas du Cameroun – même si la protection des données personnelles est brièvement visée dans la loi de 2010 relative à la sécurité et à la cybercriminalité – ou encore de la Tanzanie.

Attention : une absence de réglementation ou une réglementation souple n’exonère pas systématiquement les opérateurs de toute obligation : d’une part, il est très facile, simplement parce que les données circulent, de se retrouver soumis à une réglementation : par exemple, il suffit d’être basé sur le territoire de l’Union européenne pour être soumis au RGPD, même si les opérations sont déployées en Afrique. De même, le fait de traiter les données d’un ressortissant de l’Union européenne, même en étant basé en dehors, soumet au RGPD. D’autre part, la protection des données personnelles devient de plus en plus un argument commercial pour les citoyens, qui sont de plus en plus sensibles à ces questions. Les entreprises encourent donc, au-delà des sanctions, un véritable risque réputationnel à ne pas protéger les données de leurs clients.

Voici donc quelques conseils pratiques pour éviter les manquements dans le cadre de vos opérations en Afrique.

Quelques conseils…

1.     Maîtriser la nature, le flux et la trajectoire des données

Avec la globalisation des échanges, les informations se transmettent instantanément d’un coin à l’autre de la terre. Il est donc impératif, lorsque l’on traite des données dans le cadre de sa profession, d’identifier :

–       la nature des données collectées ;

–       leur volume ;

–       l’ensemble des pays par lesquels elles transitent : elles peuvent dépasser les frontières du pays dans lequel vous vous trouvez parce que vous vous appuyez sur un serveur ou un sous-traitant localisé dans un autre pays.

Attention, les données collectées ne doivent pas être excessives et proportionnées au but poursuivi.

 

2.     Se plonger dans le droit applicable

Une fois que vous avez identifié où vous données seront amenées à voyager, vous ne pouvez pas passer outre la lecture des réglementations locales des pays concernés, du moins lorsqu’elles existent. En effet, même si on retrouve des principes similaires dans les réglementations de protection des données, les autorités locales de protection des données effectuent un contrôle plus ou moins poussé des traitements de données. Votre activité peut donc être soumise à autorisation préalable ou à simple déclaration. De même, la réglementation peut imposer, lorsque vous traitez un volume de données important, la désignation d’un correspondant à la protection des données qui fera le lien avec l’autorité de protection des données pour rendre compte de vos activités de traitement des données de vos clients.

 

3.     Mettre l’accent sur la sécurité informatique

Les fuites de données peuvent être lourdes de conséquences. Il faut donc s’assurer que les supports ou les serveurs où sont conservées les données soient sécurisés pour prévenir tout risque de piratage. Cela implique donc une coordination étroite avec les experts en systèmes d’information. Cette obligation ne s’annule pas si vous passez par un sous-traitant : dans ce cas, vous devrez d’une part, vous assurer que la solution qu’il propose est suffisamment sécurisée, et d’autre part prévoir une clause contractuelle prévoyant l’obligation pour lui de se conformer à cette obligation de sécurité.

 

4.     Recueillir le consentement des personnes dont vous traitez les données

Lorsque vous collectez des données, vous devez le faire de manière loyale et transparente, c’est-à-dire informer les clients sur les traitements effectués et de leurs finalités. Le consentement n’est pas toujours obligatoire, par exemple lorsque les traitements sont nécessaires à l’exécution d’un contrat. Il apparaît tout de même plus simple d’obtenir leur consentement, qui peut prendre la forme d’une clause contractuelle, et qui vous permettra par exemple de les recontacter après la fin de la relation contractuelle afin d’à nouveau leur proposer des services. Attention, la durée de conservation des données doit être proportionnée et limitée dans le temps. En outre, vos clients doivent à tout moment pouvoir rectifier ou obtenir l’effacement des données les concernant.

 

5.     Prévoir une politique de confidentialité sur votre site internet et le cas échéant un bandeau cookies

Votre site internet doit prévoir dans les mentions légales une politique de confidentialité qui indique, les traitements effectués, leur finalité, la durée de leur conservation et le droit des vos clients d’obtenir leur rectification ou leur effacement. En outre, si vous utilisez des cookies, c’est-à-dire que votre site retient l’adresse IP des visiteurs afin de leur proposer des publicités de votre entreprise lorsqu’ils naviguent sur internet, vous devez prévoir un bandeau grâce auquel chaque client vous autorisera ou non l’utilisation de ses cookies.

Lecture conseillée : B. Dédia, M. Ouattara, La protection des données personnelles en Afrique francophone, LGDJ, 2020

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

logo Mandémory
Mandémory, cabinet d’avocat engagé dans l’essor des économies africaines et dédié à l’accompagnement de ses acteurs.
Linkedin Twitter

Le cabinet

A propos
Avocate
Compétences
Zones d'intervention
Blog
Contact

Liens utiles

Mentions légales
Confidentialité
Gestion des cookies

© MANDEMORY 2025. Tous Droits Réservés

Contact
Nous utilisons des cookies pour personnaliser le contenu, fournir des fonctions de médias sociaux et pour analyser notre trafic. Nous partageons également des informations sur votre utilisation de notre site avec nos partenaires de médias sociaux, de publicité et d'analyse. View more
Accepter
Refuser