Par Pam Dixon, Directrice Exécutive et Fondatrice, World Privacy Forum
TABLE RONDE DES AUTORITÉS AFRICAINES DE PROTECTION DES DONNÉES
Situation et réaction aux risques d’atteinte à la vie privée dans les systèmes d’identité
LES PROCEDURES DE L’ATELIER
I. INTRODUCTION ET CONTEXTE
La Table ronde des autorités africaines de protection des données (RADPA) s’est tenue le 18 Juin 2019 à Johannesburg, en Afrique du Sud, une première réunion historique des autorités africaines chargées de la protection des données et de la vie privée afin d’aborder les risques systémiques de protection de la vie privée et des données dans les systèmes d’identité. La réunion a été convoquée par ID4Africa, elle-même présidée par le Dr Joseph Atick. L’atelier était animé par Teki Akuetteh Falconer, fondatrice et directrice exécutive d’Africa Digital Rights Hub (Centre Africain des droits numériques) et s’est déroulé selon les règles de Chatham House afin de faciliter un échange ouvert. Pam Dixon, fondatrice et directrice du World Privacy Forum (Forum mondial sur la protection de la vie privée) était le rapporteur de la réunion. Des observateurs invités ont également assisté à l’événement.
La RADPA a réuni les Autorités de Protection des Données et des experts locaux pour discuter des risques, des défis et des mesures potentielles à prendre pour faire face aux risques d’atteinte à la vie privée dans les systèmes d’identité. Pour se faire, l’atelier a examiné les principaux défis relatifs à la vie privée, à la protection des données, aux systèmes d’identité et aux données en Afrique, et a exploré les approches utilisées par les pays africains représentés pour résoudre les problèmes dans leurs différents contextes. Des conférenciers invités de 10 pays africains - autorités de protection des données ou autres experts nationaux - ont présenté des études de cas spécifiques sur la vie privée et l’identité dans leur contexte juridictionnel.
Les APD invités et les experts gouvernementaux ont étudié et comparé leurs expériences concernant les types de défis qu’ils rencontraient ainsi que les possibilités d’harmoniser leurs efforts sur les différences des mandats statutaires et de la composition structurelle du APD. Les experts invités ont échangé leurs Photo (de gauche à droite): Teki Falconer; African Digital Rights’ Hub, Dr Joseph J. Atick; ID4Africa, Pam Dixon; World Privacy Forum points de vue sur une application adéquate de la loi, la communication avec le public et la collaboration avec les représentants de gouvernements pour promouvoir la protection de la vie privée dans les systèmes d’identité. Les participants ont conclu la réunion en échangeant des idées sur la voie à suivre pour les prochaines étapes.
Les tâches de l’atelier
La RADPA a pour objectif de faciliter le dialogue entre les APD et leurs alliés sur la protection de la vie privée et des données, de définir les utilisations appropriées des systèmes et des données d’identité en Afrique, et de permettre aux autorités de réseauter et de coordonner leurs positions sur cet important sujet.
II. PRÉSENTATIONS AU NIVEAU DES PAYS
Faits saillants des présentations des Autorités de Protection des Données et des intervenants de chaque pays
Au cours des 20 dernières années, les pays africains ont adopté des lois sur la protection des données à un rythme de plus en plus rapide.
Les juridictions africaines sont de plus en plus sensibilisées sur les questions de protection de la vie privée. Par exemple, les APD notent une augmentation de 20 à 30 % du nombre de plaintes concernant la protection de la vie privée au cours des dernières années.
Bien que les pays africains aient des approches différentes de la structure des autorités chargées de la protection des données, la plupart des structures donnent la priorité à l’indépendance et permettent une variété de mécanismes d’application.
De nombreuses APD ont travaillé en étroite collaboration sur les systèmes d’identité dans leur pays et ont, soit créé des registres nationaux, soit été chargées de veiller au respect de la vie privée de ces systèmes. Les intervenants ont échangé sur les grands risques associés aux données d’identité sensibles, et discuté du rôle de la biométrie dans les systèmes d’identité et la nécessité des ressources pour gérer adéquatement les données biométriques. Certains intervenants se sont dits préoccupés par la vente d’informations dans les systèmes d’identité.
Les intervenants ont échangé sur la nécessité d’harmoniser les principes de protection de la vie privée dans toutes les juridictions africaines ainsi qu’à l’échelle internationale. Le GDPR de l’Europe a été considéré comme un élan majeur pour encourager l’harmonisation des lois sur la protection des données au niveau des pays africains tout en gardant les principes de l’UE.
La réunion a commencé par des exposés d’experts nationaux. Les intervenants d’Afrique du Sud, du Burkina Faso, du Cap Vert, de Côte d’Ivoire, du Ghana, du Kenya, de l’Ile Maurice, du Maroc, de l’Ouganda, et du Sénégal devraient fournir un résumé concis des principaux défis et expériences de leur pays qui pourraient contribuer à faire progresser les connaissances collectives sur la protection des données en Afrique, en particulier en ce qui concerne les systèmes identitaires. Il a été requis d’inclure les expériences, les préoccupations, les priorités, les buts, les objectifs, les obstacles, les possibilités et bien d’autres questions d’importance majeure dans les résumés de chaque pays.
Les études de cas ont révélé des approches juridictionnelles très variées en matière de protection des données, mais la sensibilité des systèmes d’identité a suscité une préoccupation commune.
Au cours du débat, les experts ont noté un large éventail de dates de mise en œuvre de la législation nationale sur la protection des données. La première loi sur la protection des données promulguée parmi les lois actuelles remonte à 1993, alors que la dernière a été promulguée en 2019. Les textes adoptés en 2001, 2008, 2010 et 2016 sont des exemples de la tendance accrue observée pour l’adoption de lois sur la protection des données dans les pays africains au cours des deux dernières décennies, avec une nette augmentation lors des dix dernières années.
La structure de la mise en œuvre de l’Autorité de Protection des Données au sein du gouvernement varie considérablement d’un pays à l’autre. Si la plupart des APD disposent d’un pouvoir indépendant, certaines ont un double mandat ou font partie d’une autre agence. Les études de cas ont fait ressortir quelques modèles de base dont le plus récurrent était celui de la commission. On en dénombre actuellement entre 3 et 11 commissions dans les juridictions africaines. Certaines ont des compétences sur les secteurs public et privé, mais on note des points de divergences sur ce point. Certains pays d’Afrique, pas tous, ont nommé des autorités chargées de la protection des données, même s’il existe une législation sur la protection des données, car certaines juridictions ne l’exigent pas alors que quelques autres juridictions prévoient le droit constitutionnel à la vie privée.
L’un des thèmes des cas étudiés portait sur la sensibilisation de leurs groupes d’intérêt à la protection des données et à la vie privée, et sur l’importance de répondre aux préoccupations des jeunes. Plusieurs intervenants ont fait remarquer que la majorité des personnes travaillant dans le domaine de la protection des données savaient qu’il était difficile de trouver l’expertise en matière de protection de la vie privée auprès de la population de façon générale, et plus particulièrement parmi les plus jeunes. On s’est accordé pour reconnaitre que la communication avec les jeunes au sujet des risques et des droits en matière de protection de la vie privée est un domaine hautement prioritaire. L’augmentation de 20 à 30 % du nombre de plaintes concernant la protection de la vie privée était un thème connexe à toutes les juridictions. Au fur et à mesure que la sensibilisation à la protection de la vie privée s’est accrue, les plaintes se sont multipliées.
En ce qui concerne les systèmes d’identité, certaines autorités de protection des données sont spécifiquement chargées de protéger les données d’identité dans le cadre de leurs fonctions. D’autres APD ont le pouvoir général de protéger les données sensibles et d’autres types de données, y compris celles d’ordre identitaire. Les études de cas les plus fréquemment mentionnées concernaient les registres nationaux ; de multiples autorités de protection des données ont œuvré pour la mise en œuvre d’un registre national d’identité et se sont employées à améliorer les pratiques et la gestion en matière de collecte, de sécurité, d’utilisation, de conservation et de divulgation des données sur l’identité. Les données biométriques font partie des données que de multiples autorités de protection des données ont tenté de protéger.
L’application des lois sur la protection des données a été l’un des thèmes récurrents des études de cas. Les bases de données biométriques et d’autres types de bases de données sur les systèmes d’identité (comme les bases de données sur les électeurs et/ou les bases de données qui comprennent des données biométriques comme les empreintes digitales ou d’autres données biométriques) ont été mentionnées comme particulièrement sensibles. Il y a eu une discussion sur les lois de protection des données qui interdisent la vente de certains types de bases de données contenant des informations sensibles sur l’identité. La protection de ces données varie d’un pays à l’autre, et l’on craignait que certains pays d’Afrique ne disposent d’aucune protection contre la vente de données sur les systèmes d’identité.
Les intervenants ont décrit une série de pouvoirs d’application de la loi et la plupart ont souligné qu’il était essentiel de travailler avec de nombreux organismes et d’autres secteurs du gouvernement de la façon la plus coopérative possible. Dans le cas des autorités responsables de l’identité, les intervenants ont souligné qu’il était essentiel d’établir des collaborations positives mais indépendantes afin de fournir des renseignements essentiels et d’aider les autorités, qui peuvent ne pas réaliser les risques liés aux données. Souvent, les intervenants devaient acquérir une nouvelle expertise dans des domaines comme la biométrie afin de bien comprendre les flux de données et d’évaluer les répercussions sur la vie privée.
Un thème fort - la coopération nationale et internationale - est ressorti de presque toutes les présentations. Nous avons beaucoup discuté de la nécessité de principes communs et d’une vision commune pour l’Afrique, malgré les différences dans la taille de la population, les structures gouvernementales et bien d’autres domaines de différences. Les experts ont mentionné à plusieurs reprises que le règlement général européen sur la protection des données (GDPR), qui est entré en vigueur en Mai 2018, avait un impact prononcé sur la nécessité d’harmoniser les lois nationales avec le GDPR de l’UE. Certains pays ont adhéré à la Convention 108 du Conseil de l’Europe sur la protection des données (Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE n° 108 du 28.01.1981). Il s’agit d’un traité ouvert à l’adhésion des États membres et mêmes des États non membres. Les APD ont noté que l’un des moteurs de l’harmonisation internationale provient également des entreprises qui souhaitaient être en mesure de se conformer aux normes de l’UE en matière de respect de la vie privée.
III. DISCUSSION : DÉFIS ET POINTS CLÉS CONCERNANT LES SYSTÈMES D’IDENTITÉ ET LA PROTECTION DE LA VIE PRIVÉE
Faits saillants du débat modéré sur les défis en matière de protection de la vie privée et les enjeux clés des systèmes d’identification
Le principal défi auquel les APD étaient confrontées était le manque de consultation et de coopération de la part des responsables gouvernementaux en ce qui concerne les systèmes d’identité.
Les APD ont convenu que les efforts visant à former les fonctionnaires et à sensibiliser le public à la protection des données et à la vie privée étaient essentiels en raison du manque de sensibilisation générale de la population à la protection de la vie privée.
Les APD ont noté un manque de ressources en matière d’expertise et d’information sur les systèmes biométriques et les systèmes d’identification, et ont exprimé le souhait d’en savoir plus sur ces systèmes.
De nombreuses autorités de protection de la vie privée ont indiqué que l’absence de directives pratiques pour aider les entreprises et les gouvernements à mettre en œuvre les lois sur la protection de la vie privée constituait un défi de taille. Les APD ont parlé de la difficulté de rédiger de telles directives à partir de zéro.
Une partie du débat modéré du workshop était axé sur l’exploration approfondie des thèmes abordés dans les études de cas initiales, en mettant l’accent sur les principaux défis et enjeux concernant les systèmes de protection de la vie privée et de l’identité. Les participants avaient beaucoup d’expériences et de défis à partager, et la conversation a été riche en échanges d’idées et de stratégies. La conversation a principalement porté sur les défis des systèmes d’identification, avec une autre discussion sur le rôle de l’orientation pratique et le rôle des entreprises.
Dans l’ensemble, la discussion modérée sur les défis des systèmes d’identité a été la plus longue et la plus importante de la table ronde. Les APD avaient de multiples points de vue convergents sur les défis spécifiques auxquels elles étaient confrontées au niveau national.
Manque de consultation et de coopération
Le plus important défi soulevé par les participants à la table ronde était de ne pas avoir été suffisamment consultés sur les décisions, la conception et la mise en œuvre du système d’identité. Il s’agit d’une expérience extrêmement courante parmi les Autorités chargées de la Protection des Données, qui a pris de nombreuses formes différentes selon les juridictions. Toutefois, la consultation était absente même avec l’existence des lois qui l’exigeait. Cette partie des discussions de la table ronde a permis de recueillir les opinions et les idées de presque tous les participants.
Un participant a évoqué le manque d’attention que les autorités chargées des systèmes d’identité accordent aux APD en général. Il y a eu un certain manque de consultations dans la juridiction de cette APD ; il y a eu des exemples de systèmes électoraux où les autorités gouvernementales ont pris des décisions concernant ces systèmes d’identité sans aucun consentement ou consultation avec les Autorités chargées de la Protection des Données, même lorsque la loi l’exige.
Un autre participant a parlé de leurs efforts particuliers pour sensibiliser les administrateurs chargés de la gestion des systèmes d’identité. Bien qu’une loi sur la protection des données obligeant le gouvernement à obtenir le consentement de l’APD avant de mettre en œuvre toute décision, le gouvernement ne s’y est pas toujours conformé. L’APD a dû expliquer, conseiller et pousser le gouvernement à les consulter régulièrement.
De nombreuses APD ont exprimé le besoin de sensibiliser leurs autorités et leurs gouvernements sur les idées générales de protection des données et de les former tout en leurs expliquant son importance. Les APD ont noté que, trop souvent, la protection des données est considérée comme un obstacle plutôt que comme une opportunité. En outre, la protection des données est également considérée comme une charge financière par les gouvernements et les entreprises. Toutefois, les Autorités de Protection des Données pensent communément que la perte de confiance dans le gouvernement ou l’entreprise en raison d’un mauvais traitement des données d’identité sensibles représente en fin de compte un coût beaucoup plus élevé que ce qui aurait été payé pour se conformer aux lois de protection des données.
Certaines APD ont considéré les limites de la coopération volontaire, notant que des mesures d’exécution sont nécessaires en cas d’échec de la coopération volontaire. Différents pays prévoient différents niveaux d’application à cet égard et certains d’entre eux prévoient des mesures d’application assez rigoureuses. Certaines APD ont intenté des actions en justice concernant des mesures d’application du système d’identification, notamment les bases de données biométriques et le traitement et le stockage des données biométriques.
L’une des APD avait un cas particulier concernant un système d’identité pour lequel elle était en mesure d’intervenir avec succès au sujet des changements proposés à un système d’identité électorale qui auraient été nuisibles. Dans le cas qui nous occupe, l’APD entretenait de bonnes relations de travail avec l’autorité responsable de l’identité.
Les APD ont convenu que la coopération volontaire et l’éducation étaient un outil extrêmement important pour faire respecter les systèmes d’identité. Mais elles ont également convenu que, particulièrement dans les systèmes d’identité, les administrateurs gouvernementaux peuvent être portés à simplement ignorer les lois sur la protection des données dans le désir de mettre en place un système et de le faire fonctionner. Dans ces situations, des mesures d’application de la loi peuvent s’avérer nécessaires, pourvu que des outils d’application de la loi soient disponibles.
Manque de compréhension sur la signification de la protection des données (gouvernement, communauté)
Une discussion sur la sensibilisation des gouvernements et des collectivités aux avantages de la protection des données a révélé des défis très semblables d’une administration à l’autre. Les APD ont discuté de la nécessité d’expliquer les principes de base de la protection des données et de la vie privée et de persuader continuellement les administrateurs gouvernementaux et les membres de la communauté au sens large, des avantages de la réglementation sur la protection des données et de la vie privée. Les autorités chargées de la protection de la vie privée ont fait remarquer de façon générale que la compréhension de la protection de la vie privée était minime dans leurs juridictions et qu’il leur incombait d’aider à remédier au manque de compréhension à ce sujet.
L’une des APD a souligné la nécessité d’une sensibilisation à la protection des données en notant qu’il y’a 10 à 15 ans, les protections de sécurité étaient également considérées comme un fardeau. La sécurité informatique était considérée coûteuse et comme un obstacle jusqu’à ce qu’il devienne clair à long terme, qu’une sécurité défaillante était plus coûteuse que le fait de payer pour une bonne sécurité en premier lieu. L’APD a comparé les défis actuels en matière de protection de la vie privée à ce qu’étaient les arguments de sécurité de l’informatique il y a 10 ans.
Personnel spécialisé dans les systèmes d’identité, y compris la biométrie
Les APD ont échangé sur les besoins de ressources informationnelles et d’expertise concernant les systèmes d’identité, notant que les experts des systèmes d’identité étaient très difficiles à trouver dans leur juridiction. L’expertise en matière de protection de la vie privée et la connaissance des systèmes d’identité étaient des compétences très rares et très sollicitées.
L’une des ressources spécifique mentionnée par les APD était le besoin d’experts en biométrie qui travaillent dans le domaine de la protection de la vie privée ou qui pourraient être consultés à ce sujet. Les APD ont noté qu’elles apprécieraient une plus grande disponibilité de ressources techniques supplémentaires, d’informations et de formations sur la biométrie, particulièrement en raison de l’utilisation de la biométrie dans les systèmes d’identification.
Experts des villes intelligentes
Les villes intelligentes et d’autres modes émergents de systèmes d’identité sont un autre domaine pour lequel les APD ont exprimé le besoin de ressources d’information et de formation supplémentaires. Plusieurs APD se sont invitées à évaluer les villes intelligentes et d’autres types émergents de systèmes complexes dans lesquels l’identité joue un rôle central. Le système comporte de nombreuses composantes et questions techniques à analyser afin d’évaluer les répercussions sur la vie privée, et les autorités chargées de la protection des renseignements personnels aimeraient avoir plus d’information disponible pour prendre des décisions éclairées.
Il a été convenu que plusieurs systèmes intelligents utilisant des facteurs d’identité étaient en train de voir le jour, et qu’une préparation s’avère importante.
Rôle des entreprises
Plusieurs APD et experts nationaux ont débattu sur le rôle des entreprises en matière d’identité et de protection des données. De l’avis général, les multinationales dont le siège social se trouve en grande partie à l’extérieur de l’Union Africaine ont créé un dilemme pour les APD. D’une part, les entreprises qui ne sont pas originaires de pays africains veulent beaucoup de données sur l’identité des Africains. D’autre part, les APD n’avaient pas la possibilité d’exercer un grand contrôle sur la façon dont la collecte des données se faisait. Un expert a cité l’exemple troublant de la vente d’une grande base de données d’identité d’un pays africain donné à une société de biométrie commerciale en dehors de l’Union africaine, et comment cela ne devrait pas se reproduire.
Les APD ont largement reconnu qu’il serait positif de discuter de la protection des données et de la vie privée avec les entreprises, de comprendre leurs attentes et d’entamer un dialogue sur les meilleures pratiques et les lignes directrices. Une APD a exprimé la question comme étant une question de “souveraineté du contrôle des données”.
Rôle des meilleures pratiques et des lignes directrices
Les APD ont convenu qu’il n’existait pas d’orientations pratiques pour la mise en œuvre des lois nationales sur la protection des données. Elles ont exprimé le besoin d’élaborer des orientations pratiques pour la mise en œuvre des lois nationales sur la protection des données dans tous les pays. L’une des APD a dit : “Nous avons des lois, mais pas de politiques sur la protection des données.” Elles ont aussi discuté de la nécessité d’harmoniser les pratiques en matière d’application de la loi et d’utilisation des informations relatives à l’identité, et de créer des lignes directrices sur les meilleures pratiques dans ce domaine.
Plusieurs APD ont parlé de projets visant à élaborer des modèles et à créer d’autres outils automatisés pour aider les gouvernements et les entreprises à appliquer les lois nationales sur la protection des données. Certaines APD étaient favorables à la facilitation de l’autorégulation. Toutes les APD ont indiqué qu’elles devaient inventer et concrètement mettre en œuvre leur législation en matière de protection des données. Les APD ont également pensé à la manière d’aider les entreprises de leur pays à comprendre et à respecter le GDPR de l’UE.
IV. CADRES ET HARMONISATION
Points saillants de la discussion modérée sur les cadres de protection de la vie privée
Les APD sont bien d’accord que les pays africains veulent des principes harmonisés en matière de protection de la vie privée, aussi bien entre les juridictions africaines qu’à l’échelle internationale.
L’un des principaux moteurs de l’harmonisation est le règlement général sur la protection des données (GDPR) de l’Europe, qui incite au changement en renforçant les lois africaines sur la protection des données.
Certains pays africains cherchent à obtenir le statut d’adéquation de l’UE, ce qui renforce également la protection de la vie privée dans ces juridictions.
Des lois plus rigoureuses en matière de protection de la vie privée peuvent créer des protections de base plus solides dans les systèmes d’identité.
Le sujet des cadres de protection de la vie privée et de l’harmonisation a constitué un fil conducteur tout au long des études de cas et des discussions animées. Il y avait plusieurs aspects clés à la conversation. Ainsi, le règlement général européen sur la protection des données (GDPR) a eu une influence considérable sur la protection des données et de la vie privée en Afrique, et ce, de plusieurs manières fondamentales.
Tout d’abord, il y a eu un large consensus parmi les participants sur le fait que l’Afrique avait besoin d’avoir une vision unifiée de la vie privée et des principes unifiés autour de la vie privée, tout en étant développés par les Africains et adaptés aux besoins de leurs pays. Il a été largement reconnu que le GDPR a établi une nouvelle base de référence pour la protection de la vie privée et des données, et que les lois sur la vie privée jugées plus faibles que le GDPR entraveraient la croissance et le développement sur le long terme. Les participants ont longuement réfléchi à l’impact du GDPR sur le continent africain, et la discussion a été quelque peu nuancée.
De l’avis général, l’approche la plus productive pour l’harmonisation serait d’avoir des principes unifiés conformes au GDPR au lieu de tenter d’unifier des cadres législatifs plus vastes et plus détaillés avec le GDPR. Mais un point clé s’est soulevé : les participants voulaient que les principes unifiés émanent des APD et des experts en protection de la vie privée pour répondre aux besoins des pays africains.
Deuxièmement, en ce qui concerne la protection de la vie privée dans les systèmes d’identité, aucun cadre particulier n’a été proposé par les participants comme solution spécifique pour protéger les systèmes d’identité ; toutefois, il a été convenu que des lois globales plus strictes en matière de protection des données, prévoyant l’indépendance et des autorités efficaces en matière de protection des données avec de bons outils de contrôle, aideraient à assurer une meilleure protection aux systèmes d’identité. Les APD ont convenu qu’elles pourraient bénéficier d’une coopération accrue en matière de systèmes d’identité de la part des autorités chargées de la mise en œuvre des registres et systèmes d’identité.
Troisièmement, les participants ont noté le chevauchement des lois sur la protection des données en Afrique. Il existe des lois nationales sur la protection des données dans de nombreux pays africains (mais pas tous), des cadres régionaux de protection des données, des cadres fédéraux de protection des données, et il y a un cadre international qui a été fréquemment mentionné.
Les participants ont débattu sur l’ensemble de la législation relative à la protection des données au niveau national, ainsi que des cadres régionaux et des accords fédéraux et internationaux. Certains participants ont noté que leurs assemblées législatives avaient mis à jour les lois nationales pour les renforcer. Les participants ont également discuté en passant des cadres régionaux en Afrique, y compris ECOWAS, qui est l’Acte additionnel A/SA.1/01/10 sur la protection des données personnelles pour la Communauté économique des États de l’Afrique de l’Ouest. La SADC est un autre cadre opérationnel sur le continent africain, il provient de la Loi type 2012 sur la protection des données pour la Communauté de développement de l’Afrique australe (SADC). Dans les États de la Communauté de l’Afrique de l’Est, le Cadre juridique de la CAE pour la cyber législation 2008 (Phase I) a été adopté en 2010. Ces cadres sont toujours en place dans de nombreuses administrations, mais ils coexistent avec des règlements nationaux exhaustifs sur la protection de la vie privée et des données ainsi qu’avec les conventions fédérales.
La Convention de l’Union africaine sur la cyber sécurité et la protection des données personnelles, adoptée le 27 juin 2014, un cadre fédéral particulier a fait l’objet de nombreuses discussions parmi les participants. La Convention de l’UA couvre les transactions électroniques, la protection des données personnelles et la cybercriminalité. La Convention de l’UA, en raison de la date à laquelle elle a été rédigée à l’origine, est similaire à la Directive de l’UE sur la protection des données personnelles 95/46/CE, qui a depuis été remplacée par le GDPR. La directive originale de l’UE sur la protection des données personnelles présente de nombreuses similitudes avec le GDPR. La Convention de l’UA demeure un cadre et une influence importants en Afrique. La Convention de l’UA est toujours ouverte à l’adhésion, la signature la plus récente datant de Juin 2019.
Les participants ont longuement débattu de la Convention 108 du Conseil de l’Europe sur la protection des données (Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE n° 108, 28.01.1981). La Convention 108 du Conseil de l’Europe est un traité ouvert à l’adhésion des pays africains, et un certain nombre de participants venaient de pays qui avaient adhéré à la Convention.
Une quatrième et dernière remarque à propos de la discussion sur les cadres : au moins un pays a demandé à recevoir un avis d’adéquation de la part de l’UE. Il s’agit d’une étape très importante ; en demandant l’adéquation, l’autorité de protection des données doit s’assurer que le pays africain offre un niveau adéquat de protection des données comparable à celui que le GDPR fournit aux Européens. L’impact d’une décision d’adéquation est profond ; une telle décision permettrait aux données de circuler de l’UE vers le pays ayant le statut d’adéquation de l’UE sans garanties supplémentaires.
V. LA VOIE À SUIVRE ET LES PROCHAINES ÉTAPES
Points saillants de la voie à suivre et des prochaines étapes
Les autorités chargées de la protection des données ont convenu qu’elles souhaiteraient créer des lignes directrices spécifiques aux systèmes d’identité.
Il y avait un désir unanime de se réunir de nouveau l’an prochain afin de poursuivre les travaux sur la façon d’améliorer la protection de la vie privée dans les systèmes d’identité. • Les autorités de protection des données aimeraient rencontrer les autorités d’identité pour discuter à huis clos de la conformité.
Les autorités chargées de la protection des données souhaiteraient discuter des meilleures pratiques avec l’industrie et recueillir des informations en retour.
La discussion sur la voie à suivre et les prochaines étapes s’est concentrée sur trois points clés : la création de lignes directrices pour les systèmes d’identité, la décision de se réunir à nouveau l’année prochaine et les points spécifiques à traiter lors de la prochaine réunion.
Le premier domaine sur lequel les APD se sont mises d’accord quant à la voie à suivre a été la décision d’élaborer des orientations spécifiques aux systèmes d’identité. Il y a eu beaucoup de discussions au sujet de la logistique de cet effort. Il a été décidé que les APD tiendraient une réunion pour discuter de la logistique entre eux et en arriver à une décision.
Une deuxième décision unanime- des APD était de se réunir de nouveau l’année prochaine pour poursuivre les discussions et les travaux sur la protection de la vie privée dans les systèmes d’identité. Les APD ont formulé plusieurs suggestions, dont deux en particulier qui ont fait l’objet d’un consensus :
Les APD ont exprimé le souhait de tenir une réunion à huis clos avec les autorités de l’identité pour les entendre discuter de la manière dont elles se conforment aux lois nationales en matière de protection des données.
Les DPA ont également exprimé le désir de rencontrer un groupe de représentants de l’industrie pour discuter des meilleures pratiques et comparer leurs idées et expériences.
Il y a eu une réitération des thèmes exprimés plus tôt au cours de la réunion selon lesquels ID4Africa pourrait être utile, en particulier en fournissant une expertise dans les aspects techniques des systèmes d’identité, que ce soit en facilitant la formation ou au moyen d’autres matériels éducatifs.
VI. CONCLUSION
L’Afrique est en pleine transformation en ce qui concerne la protection des données, la vie privée et les systèmes d’identité. Au niveau national, des régimes complets de protection des données sont en cours de mise en place dans les juridictions à travers le continent, la dernière décennie ayant été marquée par une augmentation de l’adoption et de la sensibilisation à la protection de la vie privée. Pour leur part, les Autorités Africaines de Protection des Données ont de plus en plus d’expérience dans la mise en œuvre et l’application de leurs lois nationales sur la protection des données, ainsi que dans le renforcement des liens et de la coopération entre elles et avec leurs pairs internationaux.
Cet ensemble riche et croissant de lois, de connaissances et d’expériences commence à produire des résultats dans les systèmes d’identité, vu que les Autorités de Protection des Données cherchent à coopérer avec les autorités d’identité et à fournir des conseils en matière de protection de la vie privée et des données aux autorités d’identité et autres personnes travaillant sur les données d’identité.
Bien qu’il reste encore de nombreux défis à relever en ce qui concerne les systèmes d’identité et la protection de la vie privée dans les pays africains, des progrès ont été réalisés. Les cinq prochaines années seront cruciales pour renforcer les lois existantes en matière de protection des données et s’assurer que les Autorités de Protection des Données disposent de tous les outils et de l’aide dont elles ont besoin pour protéger les données et la vie privée dans les systèmes d’identité et les données des pays africains.
Les pays africains élaborent et promulguent rapidement des lois exhaustives sur la protection des données et de la vie privée. La sensibilisation et l’importance des lois, normes et accords internationaux en matière de protection des données sont également en hausse.
Les APD ont une grande expérience des registres et des systèmes d’identité, y compris ceux qui utilisent la biométrie. Les autorités de protection des données se préoccupent constamment des risques d’entrave à la vie privée associés aux systèmes d’identité.
L’un des principaux défis auxquels les APD sont confrontées est la nécessité d’accroître considérablement la coopération et la communication significatives et continues avec les secteurs du gouvernement qui travaillent avec des systèmes d’identité et des systèmes contenant des données d’identité. Trop souvent, les autorités chargées de l’identité et les autres services gouvernementaux ne sont pas au courant des lois sur la protection des données ou de la nécessité de coopérer avec les autorités chargées de la protection des données. Dans certains cas, les autorités gouvernementales qui appliquent des systèmes d’identité ont ignoré les règlements sur la protection de la vie privée et les autorités de protection des données.
Le public est de plus en plus sensibilisé à la protection de la vie privée et des données, et les Autorités Africaines de Protection des Données ont vu les plaintes relatives à la protection de la vie privée augmenter de 20 à 30% au cours des dernières années.
L’une des principales tâches des Autorités Africaines de Protection des Données consistera à l’avenir à élaborer leurs propres principes, harmonisés entre les pays africains et harmonisés avec les normes internationales en matière de protection de la vie privée et des données, en particulier celles énoncées dans le GDPR de l’UE.
Une ressource clé nécessaire pour les Autorités Africaines de Protection des Données sera l’accès à l’expertise et à la formation concernant les nouvelles technologies des systèmes d’identité, y compris celles utilisées dans de nouveaux contextes tels que les villes intelligentes.
Comentários