Les échos de la gouvernance des données

Promouvoir des politiques et des pratiques durables en matière de transfert transfrontalier de données en Afrique

Au fil des ans, plusieurs gouvernements africains ont adopté des lois et des politiques qui limitent les flux de données transfrontaliers, en invoquant la nécessité de protéger la sécurité nationale, de promouvoir l'économie numérique locale et de préserver la vie privée des utilisateurs. Ces limitations vont de l'interdiction totale des transferts transfrontaliers de toutes les données au transfert transfrontalier conditionnel de certaines données, avec l'autorisation des organismes gouvernementaux compétents.

Les dispositions légales interdisant les transferts transfrontaliers de données sont dispersées dans différents cadres juridiques dans des pays comme l'Éthiopie, le Nigéria, le Rwanda et l'Ouganda, dont les limitations sont contenues dans leurs lois sur les services financiers et la cybersécurité. Au Rwanda, par exemple, l'article 3 du règlement n° 02/2018 du 24/01/2018 sur la cybersécurité prévoit que toute banque agréée par la Banque centrale doit conserver ses données primaires sur le territoire du Rwanda. En Ouganda, l'article 68 de la loi nationale sur les systèmes de paiement de 2020 impose à tous les émetteurs de monnaie électronique d'établir et de conserver leur centre de données primaires en relation avec les services de systèmes de paiement en Ouganda.

Pour d'autres pays comme l'Afrique du Sud, le Kenya, le Nigéria, l'Ouganda et la Tunisie, les limitations sont contenues dans leurs lois sur la protection des données. Par exemple, les articles 48 et 49 de la loi kényane de 2019 sur la protection des données interdisent le transfert transfrontalier de données à caractère personnel vers un pays qui ne dispose pas de garanties appropriées en matière de sécurité des données. La loi sud-africaine de 2013 sur la protection des informations personnelles (Protection of Personal Information Act ) interdit les transferts transfrontaliers de données sans le consentement de la personne concernée ou à moins que le pays étranger ne soit considéré comme disposant de garanties adéquates.

Au Nigéria, les articles 41 à 43 de la loi de 2023 sur la protection des données fixent les conditions dans lesquelles les transferts transfrontaliers de données peuvent avoir lieu, comme l'obligation pour le pays de destination de disposer de garanties en matière de protection des données et d'obtenir le consentement de la personne concernée, entre autres conditions.

Les détracteurs de ces dispositions et pratiques de localisation des données ont souvent fait valoir que les politiques et pratiques actuelles de localisation des données ne sont pas favorables aux citoyens, car elles n'atténuent pas les problèmes de cybersécurité ou de ciblage en ligne, mais servent au contraire à porter atteinte à la confidentialité des données personnelles en facilitant l'accès illimité des agences gouvernementales aux données personnelles des citoyens, y compris à des fins de surveillance de l'État.

Ces pratiques ne sont pas non plus conformes aux principales dispositions de la Déclaration de principes sur la liberté d'expression et l'accès à l'information en Afrique, adoptée en 2019 par la Commission africaine des droits de l'homme et des peuples (CADHP), qui interdit aux pays d'adopter des lois et d'autres mesures qui criminalisent les pratiques de chiffrement, y compris les portes dérobées, les dépôts de clés et les exigences en matière de localisation des données, à moins que ces mesures ne soient justifiables et compatibles avec le droit international en matière de droits de l'homme.

Les exigences légales en matière de localisation des données ont été identifiées comme les obstacles les plus restrictifs et les plus perturbateurs pour le commerce international, poussant les entreprises enregistrées à l'étranger à supporter des coûts supplémentaires et inutiles pour établir de multiples infrastructures telles que des centres de données locaux dans chacun de leurs pays d'opération, au lieu d'avoir un seul centre dans le pays de leur choix. En outre, les "réformes politiques et réglementaires limitées pour faciliter l'interconnexion des réseaux transfrontaliers, y compris les dorsales nationales et commerciales, ou les cadres de supervision pour la protection des données, le stockage/traitement/manipulation des données" ont été identifiés comme des faiblesses supplémentaires dans la réalisation du potentiel économique de l'Afrique.

Le succès de plusieurs initiatives, telles que la Zone de libre-échange continentale africaine (ZLECA) dont le mandat est de créer "un marché continental unique avec une population d'environ 1,3 milliard de personnes et un PIB combiné d'environ 3,4 billions de dollars", dépend de l'élimination des barrières commerciales et de l'harmonisation des transferts transfrontaliers grâce à la modification des politiques et pratiques restrictives en matière de localisation des données.

En outre, dans le cadre de la stratégie de transformation numérique de l'Union africaine pour l'Afrique (2020-2030), les pays sont appelés à "promouvoir des politiques d'ouverture des données qui peuvent assurer le mandat et la durabilité des plateformes ou des initiatives d'échange de données pour permettre de nouveaux modèles commerciaux locaux, tout en assurant la protection des données et la cyber-résilience pour protéger les citoyens contre l'utilisation abusive des données et les entreprises contre la cybercriminalité."

D'autre part, le cadre de la politique de l'UA en matière de données exige des pays qu'ils créent un environnement juridique propice à la réalisation et à l'optimisation des avantages.

d'une économie fondée sur les données en encourageant les investissements privés et publics nécessaires pour soutenir la création de valeur et l'innovation fondées sur les données. Le cadre propose des orientations sur les interventions politiques visant à optimiser les flux de données transfrontaliers et à harmoniser les cadres de gouvernance des données. En ce qui concerne la gouvernance et les transferts transfrontaliers de données, le principe 14(6)(a) de la Convention de l'Union africaine sur la cybersécurité et la protection des données personnelles interdit aux contrôleurs de données de transférer "des données personnelles à un État non membre de l'UA, à moins que cet État n'assure un niveau adéquat de protection de la vie privée, des libertés et des droits fondamentaux des personnes dont les données sont traitées ou susceptibles de l'être".

Un défi majeur pour le continent consiste à traduire et à localiser ces initiatives en solutions réalisables. La plupart des gouvernements autocratiques sont réticents à l'idée de modifier leurs lois pour s'ouvrir davantage aux transferts transfrontaliers de données. Cette réticence repose sur des craintes non fondées selon lesquelles l'envoi des données de leurs citoyens à l'étranger pourrait accroître la vulnérabilité des citoyens à de graves menaces pour la sécurité et la vie privée de la part d'acteurs étrangers. D'autre part, les acteurs de la société civile ne disposent pas des compétences et des connaissances nécessaires pour s'engager de manière proactive dans un plaidoyer stratégique, tant au niveau national que régional. En outre, il y a une pénurie de recherches basées sur des preuves sur les questions clés autour de la localisation des données, en particulier la façon dont les différents pays mettent en œuvre leurs politiques de localisation des données telles que guidées par le cadre de la politique des données de l'UA et la stratégie de transformation numérique.

Les enseignements tirés des précédents engagements en matière de défense des intérêts politiques montrent que les gouvernements nationaux sont ouverts à des réformes politiques progressives, comme en témoigne l'adoption rapide de lois sur la protection des données, en particulier s'ils sont convaincus que ces mesures ne porteront pas atteinte à leurs intérêts nationaux.

INTERVENTIONS CLÉS

Même avec cette promesse et l'abondance de cadres internationaux et régionaux pour guider l'adoption et la mise en œuvre de cadres nationaux progressifs de gouvernance des données, les interventions nécessiteraient l'adoption et la mise en œuvre de stratégies multiples et se renforçant mutuellement, telles que (a) le renforcement des capacités de recherche et de plaidoyer des acteurs des droits numériques et des droits des données ; (b) la réalisation de recherches et d'analyses politiques ; et (c) l'engagement dans des processus politiques nationaux et régionaux sur la réglementation de la gouvernance des données, en particulier en ce qui concerne les flux transfrontaliers de données et l'harmonisation des cadres de gouvernance des données.

S'appuyant sur le succès de son travail précédent sur la gouvernance des données et l'engagement avec le cadre de politique de données de l'Union africaine, dans le cadre du projet actuel, la Collaboration sur la politique internationale des TIC pour l'Afrique orientale et australe (CIPESA) poursuit ses engagements régionaux et travaille dans cinq pays - le Cameroun, le Ghana, l'Afrique du Sud et l'Ouganda - pour renforcer les capacités des partenaires de recherche nationaux et produire des preuves qui répondent aux craintes qui alimentent les positions réglementaires restrictives des États, démontrent les avantages de la libre circulation des données et de l'harmonisation des politiques.

1. Renforcement des capacités en matière de recherche et de plaidoyer

Au cœur des interventions du CIPESA se trouve la nécessité de générer une masse critique d'acteurs engagés qui comprennent les interactions entre les cadres politiques nationaux et régionaux sur la réglementation des données et leurs implications pour l'harmonisation de la politique des données ainsi que pour la politique et la pratique nationales. En outre, ces acteurs devront posséder les compétences nécessaires pour effectuer des recherches et produire des preuves afin d'éclairer les engagements avec des acteurs tels que les décideurs politiques et de mener un plaidoyer efficace et collaboratif afin d'éclairer l'élaboration des politiques.

2. Recherche et analyse politique

Le CIPESA soutient également les partenaires de recherche basés dans les pays pour produire et communiquer des commentaires, des notes, des analyses politiques et des documents de réflexion fondés sur la recherche concernant la réglementation de la localisation des données et les politiques transfrontalières en matière de données, et pour plaider en faveur de flux de données transfrontaliers flexibles et du respect de la confidentialité des données. Ces résultats alimenteront les engagements avec les décideurs politiques aux niveaux national et régional, ainsi qu'avec les organes de traités multilatéraux qui mandatent la protection des données et surveillent le respect de la vie privée et des droits relatifs aux données.

3. Plaidoyer et engagement aux niveaux national et régional

Le troisième volet implique le déploiement stratégique des commentaires, analyses et documents de réflexion publiés afin d'attirer l'attention des acteurs étatiques et non étatiques et de constituer la base des délibérations sur la manière d'améliorer la politique et la pratique en matière de gouvernance des données dans la région, notamment sur les flux de données transfrontaliers, l'harmonisation des données et la nécessité d'adopter le cadre de la politique des données de l'UA. Le plaidoyer ciblera les acteurs nationaux, tels que les régulateurs de données, les régulateurs de télécommunications et les décideurs politiques, ainsi que les entités régionales, telles que l'Union africaine, la Commission africaine des droits de l'homme et des peuples et les associations régionales de régulateurs et d'opérateurs de télécommunications, telles que l'Association rurale compatissante pour l'action sociale (CRASA) et les Organisations de communication d'Afrique de l'Est (EACO).

En s'appuyant sur des initiatives continentales essentielles et vivantes telles que le Cadre de politique de données de l'UA, la Stratégie de transformation numérique pour l'Afrique et la Zone de libre-échange continentale africaine (ZLECA), et en travaillant au niveau régional et au niveau de quatre pays par le biais d'un réseau multisectoriel d'acteurs, le CIPESA espère produire des preuves qui démystifient les craintes infondées qui sous-tendent les politiques et pratiques restrictives des États en matière de réglementation des données transfrontalières, tout en démontrant les avantages de la libre circulation des données et en proposant des mesures d'harmonisation.