Laurent BADIANE Avocat Associé – KGA AVOCATS Paris: “Les données personnelles ont une valeur marchande incontestable »

Laurent Badiane
Laurent Badiane

Laurent Badiane est avocat, inscrit au barreau de Paris depuis 2007. Il est un des associés en charge du Département IP-IT de KGA AVOCATS. Il assiste tant en conseil qu’en contentieux les Etats et organismes publics et privés africains dans leurs projets informatiques et en matière de protection des données. Pour le Magazine BUSINESS AFRICA, il livre son analyse sur les enjeux de la protection des données personnelles en Afrique. Interview. 

Quelle est votre appréciation du régime de protection des données personnelles en Afrique, notamment francophone ?

En Afrique, le droit de la protection des données à caractère personnel est un droit relativement récent. La réglementation sur la protection des données à caractère personnel a pour principal objectif de lutter contre les atteintes à la vie susceptibles d’être engendrées par la collecte, le traitement, la transmission, le stockage et l’usage des données à caractère personnel. Les pays d’Afrique ont vu leurs économies bouleversées par les transformations numériques.
Dans ce contexte, les données personnelles ont une valeur marchande incontestable et c’est pour cela qu’il convient de les protéger par un cadre légal et réglementaire.
La protection de la confidentialité et l’utilisation responsable des données personnelles sont des facteurs indispensables pour favoriser la modernisation/dématérialisation de l’Administration et l’instauration en Afrique d’une confiance envers les services en ligne et dans le développement de l’économie numérique.
A ce jour, sur 55 pays d’Afrique, seuls 25 ont adopté une législation relative à la protection des données personnelles (notamment Sénégal, la Guinée, la Côte d’Ivoire, le Bénin, le Burkina Faso, Mali, le Gabon, le Maroc, le Niger, etc.).
Parmi ces 25 pays, 12 ont instauré une autorité de protection des données personnelles (notamment le Burkina, la Côte d’Ivoire, le Gabon, le Mali, le Sénégal, le Bénin, la Tunisie, etc.). Ces autorités sont essentielles en ce qu’elles permettent de garantir l’application effective de la réglementation lorsqu’elles sont dotées de réels pouvoirs d’enquête et de sanction.

On note que dans de nombreux pays africains, il n’y a pas de lois « Informatique et Libertés » quels sont, selon vous, les risques d’un tel vide juridique ?

Si on laisse les questions évidentes de protection de la vie privée des citoyens, le vide juridique en matière de protection des données à caractère personnel expose les Etats africains à un risque évident de perte de souveraineté, plus particulièrement lorsque leurs données sont hébergées sur des serveurs localisés à étranger.
Le transfert et l’hébergement de ces données vers des sociétés situées hors des pays africains a pour principale conséquence de rendre impossible leur protection, les données stockées à l’étranger étant généralement régies par la règlementation du pays d’accueil.
Ce transfert de données expose les Etats africains à des risques d’atteinte aux secrets de défense nationale et de surveillance massive de leurs citoyens.

Les GAFA ont manifesté, à plusieurs reprises leur vif intérêt pour le continent africain, compte tenu de la masse de données personnelles que ces entreprises détiennent. Comment les Etats africains peuvent-ils contraindre ces mastodontes à plus de transparence dans l’utilisation de ces données ?

Il est essentiel d’instaurer des autorités nationales de protection des données personnelles permettant d’assurer l’application effective de la réglementation en leur donnant de réels pouvoirs de sanction et de dissuasion.
Il convient également d’améliorer/de renforcer le cadre juridique afin de prendre en compte les évolutions technologiques et d’instaurer un RGPD africain permettant d’infliger des sanctions très lourdes voire exemplaires (de plusieurs dizaines de millions d’euros ou pourcentage significatif de leur chiffre d’affaires mondial global), à l’instar de la condamnation de Google LLC par la CNIL française à une amende de 50 millions d’euros (pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité).

Considérant la faiblesse institutionnelle des Etats en la matière, ne pensez-vous pas que la question de la protection des données personnelles devrait être traitée non pas à l’échelle nationale mais plutôt régionale ou même continentale ?

Dans un souci d’harmonisation des différentes lois nationales en vigueur, le Réseau africain des autorités de protection des données personnelles (RAPDP) a vu le jour en 2016.
Ce réseau panafricain a notamment pour ambition d’instaurer un cadre de coopération entre les autorités africaines de protection des données personnelles, les institutions, le secteur privé et la société civile, afin de faciliter le partage d’idées et d’expériences sur les questions liées à la protection des données personnelles.

Propos recueillis par A.C. DIALLO