Confidentialité 8 mai 2018

Lignes directrices sur la protection des données à caractère personnel pour l’Afrique

Une initiative conjointe de l’Internet Society et de la Commission de l’Union africaine

Introduction

En 2014, les membres de l’Union africaine (UA) ont adopté la Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel (« la Convention »)[1] . Les ministres de l’UA en charge de la communication et des technologies de l’information et de la communication (CICT) et des services postaux ont confirmé leur engagement envers la Convention au sein du Comité technique spécialisé de l’Union africaine sur la communication et la déclaration ministérielle sur les TIC (UA/CCICT-2)[2] .

La Déclaration a fixé un objectif important d’action africaine en matière de cybersécurité et de protection des données à caractère personnel pour offrir des avantages à l’Afrique. En particulier, la Commission de l’Union africaine est appelée à élaborer des lignes directrices sur la protection des données à caractère personnel (paragr. 31).

Pour faciliter la mise en œuvre de la Convention, la Commission de l’Union africaine a demandé à l’Internet Society d’élaborer conjointement les Lignes directrices sur la protection de la vie privée et des données à caractère personnel pour l’Afrique (« les Lignes directrices »). Ont contribué à l’élaboration des Lignes directrices des experts régionaux et mondiaux de la protection de la vie privée, y compris des spécialistes de la protection de la vie privée, des universitaires et des groupes de la société civile.

Les Lignes directrices soulignent l’importance d’assurer la confiance dans les services en ligne, en tant que facteur clé du maintien d’une économie numérique productive et bénéfique. Elles offrent également des conseils sur la façon d’aider les particuliers à prendre une partie plus active à la protection de leurs données à caractère personnel, tout en reconnaissant que dans de nombreux domaines, les résultats positifs pour les particuliers dépendent des actions positives des autres parties prenantes. Les Lignes directrices énoncent 18 recommandations, regroupées sous trois rubriques :

  • Deux principes fondamentaux pour créer la confiance, protéger la vie privée et assurer l’utilisation responsable des données à caractère personnel
  • Huit recommandations d’action par les parties prenantes suivantes :
    • Gouvernements et décideurs
    • Autorités de protection des données (DPA)
    • Contrôleurs de données et responsables du traitement des données
  • Huit recommandations sur les thèmes suivants :
    • Solutions multipartites
    • Bien-être du citoyen numérique
    • Mesures d’habilitation et de soutien

La protection de la vie privée et des données à caractère personnel est un domaine vaste et en constante évolution. Les Lignes directrices ne sont pas une fin en soi. Elles représentent un plan d’action relatif à un processus évolutif d’élaboration d’orientations stratégiques et opérationnelles et de pratiques exemplaires, qui prend en compte les circonstances et les exigences émergentes du moment.

Résumé analytique

Cette partie résume les principaux rôles et responsabilités des principaux groupes de parties prenantes, en ce qui concerne la protection des données à caractère personnel.

Gouvernements et décideurs

Rôle : responsabiliser les citoyens numériques et assurer que l’environnement en ligne soit fiable, sûr et bénéfique pour toutes les parties prenantes.

Responsabilités :

  • Accroître leur compréhension des avantages et des dangers de l’économie fondée sur les données.
  • Comprendre les forces économiques et sociales en œuvre dans l’écosystème des données à caractère personnel.
  • Cultiver le cadre social à long terme pour la confiance dans l’économie numérique, en veillant à ce que les bénéfices soient équitablement répartis. Ce sont les objectifs des principes fondamentaux et les mesures d’habilitation et de soutien.
Autorités de protection des données (DPA)

Rôle : accroître la sécurité juridique, en appliquant les lois sur la protection des données, en enquêtant sur les violations présumées de la vie privée, en imposant des sanctions, le cas échéant, et en travaillant avec les groupes de parties prenantes et d’autres DPA.

Résponsabilités :

  • Fournir des conseils d’expert aux gouvernements sur les politiques et les lois relatives à la protection des données.
  • Donner des orientations claires aux contrôleurs de données et aux fabricants/développeurs de produits et de services.
  • Assurer l’application effective des règlements de protection des données, y compris les enquêtes et les sanctions.
  • Fournir des conseils et de l’aide aux personnes concernées.
  • Se concerter avec d’autres DPA pour une cohérence des règles de protection des données transfrontalières et une application uniforme.
Les contrôleurs de données et leurs partenaires

Rôle : créer et appliquer des pratiques responsables et durables en matière de traitement des données à caractère personnel, qui prend en compte les intérêts de la personne concernée ainsi que ceux du contrôleur de données et des partenaires.

Responsabilités :

  • Maximiser la confiance portée par le citoyen/client/utilisateur, comme un avantage apporté par vos services et produits, et comme un atout économique de votre organisation. La confiance améliore la réputation, renforce le consentement et peut apporter un avantage concurrentiel dans un contexte commercial.
  • S’attaquer aux problèmes pratiques de la protection des données à caractère personnel (consentement, périodes de conservation des données, sécurité des données, etc.), avec la bonne combinaison de mesures techniques et procédurales.
  • Augmenter la prise en compte du respect de la vie privée dès la conception et renforcer la conception basée sur la valeur[3] , en tant que partie intégrante du développement de produits/services. 3
Citoyens et société civile

Rôle : créer des citoyens numériques efficaces ; devenir des parties prenantes actives de la protection individuelle de la vie privée et des données à caractère personnel.

Responsabilités :

  • Comprendre les risques liés à la vie en ligne.
  • Comprendre et exercer les droits relatifs aux données à caractère personnel, à la vie privée et à l’autonomie.
  • Développer les capacités individuelles à protéger ses intérêts en ligne, que ce soit directement, ou en utilisant des outils et des services qui aident à améliorer la protection de la vie privée individuelle.
  • Faire entendre une voix collective (avec les organisations de consommateurs et les organisations de la société civile) pour que le marché des consommateurs assure davantage la protection de la vie privée.
Tâches multipartites

Chaque partie prenante a un rôle à jouer dans la mise en place collective d’un écosystème en ligne fiable, profitable à tous.

La protection de la vie privée consiste à respecter les attentes des particuliers quant à la façon dont leurs informations personnelles sont traitées ; la protection de la vie privée dépend d’une relation de respect, entre les particuliers et les parties prenantes qui collectent et utilisent les données les concernant. La protection de la vie privée en ligne est renforcée lorsque tous ceux qui y ont un intérêt font partie de la solution.

De nombreux problèmes pratiques de protection des données nécessitent une action concentrée de plusieurs parties prenantes ; par exemple,

  • Élaboration des meilleures pratiques en matière de codes de conduites (DPA, contrôleurs de données, organismes concernés) ;
  • Création et exploitation de programmes de certification pour la protection des données (DPA, organisations de consommateurs, organismes de normalisation et de certification) ; et
  • Consentement de l’utilisateur et respect de la vie privée (DPA, contrôleurs de données, organismes de consommateurs).[4] Ce sont les actions recommandées sous la rubrique « Solutions multipartites ».

Notes

[1] https://au.int/en/treaties/african-union-convention-cyber-security-and-personal-data-protection

[2] https://au.int/sites/default/files/newsevents/reports/33025-rp-addis_ababa_declaration_of_the_stc-cict-2_en.pdf (Para.31)

[3] La plupart des processus de conception de produits se concentrent principalement sur des aspects tels que la fonction, la forme, l’esthétique et le coût. La conception basée sur la valeur reconnaît que chaque choix de conception a une dimension éthique et intègre systématiquement des considérations éthiques dans le cycle de conception et de développement.

[4] La protection de la confidentialité consiste souvent à respecter le contexte dans lequel l’information est divulguée et non à la partager ou à la réutiliser dans d’autres contextes (par exemple, ne pas prendre de données médicales privées et les publier dans un journal).

  • guidelines.FR thumbnail

    Lignes directrices sur la protection des données à caractère personnel pour l’Afrique

    Télécharger
  • guidelines.FR thumbnail

    Lignes directrices sur la protection des données à caractère personnel pour l’Afrique

    Télécharger

Ressources associées

Identité 9 juin 2016

Fiche sur les politiques publiques: L’identité sur Internet

Sur Internet, votre identité numérique n’est pas simplement un nom, c’est aussi qui vous êtes et votre clé pour...

Confidentialité 30 octobre 2015

Fiche sur les politiques publiques: Introduction à la confidentialité sur l’Internet

La confidentialité contribue à renforcer la confiance des utilisateurs dans les services en ligne. Cependant le respect de la...

Politique publique 30 octobre 2015

Fiche sur les politiques publiques: Les défis du courrier indésirable

La prolifération des courriers indésirables présente une menace nuisible, coûteuse et en constante évolution pour les internautes. Les gouvernements...