Édito
L’AFRIQUE NUMÉRIQUE : NOUVEL ELDORADO DES GAFAM?
Ce mois-ci la Lettre du DPO a eu l’honneur et le privilège d’interroger M. Roger Félix Adom, (Ministre de l’Economie Numérique, des Télécommunications et de l’Innovation de la République de Côte d’Ivoire), ainsi que M. Franck Kié (Expert en gestion des risques cyber, fondateur du « CYBER AFRICA FORUM »). Ils livrent à la Lettre du DPO leur témoignage et retours d'expérience sur les enjeux et les défis de l’économie numérique, la protection des données et la cybersécurité en Afrique.
L’essor du commerce électronique en Afrique. La Société financière internationale (SFI) indique, dans un récent rapport, que le nombre d’acheteurs en ligne en Afrique a progressé de 18 % par an depuis 2014. Selon la SFI, en 2020, la taille du marché africain du commerce électronique est estimée à 20 milliards $ et la valeur de ce marché pourrait accroître de 15 milliards $ entre 2025 et 2030. Une grande majorité des Etats africains a pris conscience que le développement économique du continent était étroitement lié au numérique. Cependant, dans certains pays, l’accélération du développement de l’économie numérique est freinée par un cadre règlementaire inadapté, des infrastructures réseaux embryonnaires ainsi qu’un manque de financement.
Les GAFAM à la conquête de l’Afrique. Le temps où les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) évoluaient en Europe, dans un environnement échappant à toute réglementation, sera bientôt révolu. Ces derniers sont donc en quête de nouveaux marchés pour y établir leur puissance numérique. L’Afrique, continent dans lequel il reste beaucoup à construire et qui, pour le moment, n’impose que peu de contraintes, se présente comme un marché cible (Microsoft équipe une grande partie des gouvernements, Google collabore avec de plus en plus de start-up, travaille à la baisse les coûts d’accès à Internet pour les populations défavorisées et a ouvert un centre de recherches d’excellence en IA à Accra, au Ghana). S'il existe bien une volonté politique d’aller vers une plus grande souveraineté numérique, on constate néanmoins le développement de tout un écosystème étranger reposant sur la collecte et le traitement massifs des données personnelles. L'Afrique pourrait ainsi devenir un laboratoire pour des technologies produites ailleurs, sans que le continent ait une réelle visibilité sur ces éventuels effets sur son futur.
Vers un nouveau cadre législatif et réglementaire régional devant régir l’économie numérique en Afrique de l’Ouest. Ayant constaté que les textes communautaires actuels n’étaient plus adaptés pour gouverner le cadre de l’économie numérique, au vu des progrès technologiques actuels en Afrique de l’Ouest, les commissions de l’Union Economique et Monétaire Ouest Africaine (UEMOA) et de la Communauté économique des états d'Afrique de l'Ouest (CEDEAO) ont décidé de conduire conjointement une étude relative à l’élaboration d’un nouveau cadre législatif et réglementaire du secteur de l’économie numérique en Afrique de l’Ouest. Ce nouveau cadre permettra ainsi d’actualiser les textes communautaires existants et de prendre en considération les avancées technologiques ainsi que les nouveaux comportements et besoins des utilisateurs. Ainsi, les décisions prises aujourd’hui détermineront la place qu’occupera l’Afrique dans l’économie numérique mondiale dans laquelle la maîtrise des données est cruciale. Bonne lecture !
Matthieu Bourgeois et Laurent Badiane, associés en charge du département Immatériel & Numérique
Témoignage
INTERVIEW DU MINISTRE DE L’ÉCONOMIE NUMÉRIQUE, DES TÉLÉCOMMUNICATIONS ET DE L’INNOVATION À LA LETTRE DU DPO
Ministre de l’Economie Numérique, des Télécommunications et de l’Innovation de la République de Côte d’Ivoire, Roger Félix ADOM, a accepté d’éclairer La Lettre du DPO sur le processus d’accélération de la transformation digitale de la Côte d’Ivoire et les mesures prises pour garantir la protection des données à caractère personnel.
Témoignage
INTERVIEW DU MINISTRE DE L’ÉCONOMIE NUMÉRIQUE, DES TÉLÉCOMMUNICATIONS ET DE L’INNOVATION À LA LETTRE DU DPO «En Côte d’Ivoire (…), le gouvernement entend faire de l’économie numérique, un nouveau moteur pour la transformation structurelle de son économie».
1/- Pouvez-vous nous rappeler votre parcours et comment êtes-vous venu à vous intéresser à l’économie numérique et à la protection des données ?
Ayant suivi une formation de spécialiste en Management des Organisations (notamment dans le domaine des Télécommunications et des nouvelles technologies de l’information et de la communication), j’ai démarré ma carrière en 1990 à Paris, au sein du groupe Cap Gemini, en qualité de Consultant puis Directeur des projets. En 1997, j’ai intégré le Cabinet Ernst & Young à Paris puis celui de la ville d’Abidjan, en tant que Directeur Afrique francophone chargé de développer l'activité conseil. En 2003, j’ai été recruté par la multinationale Orange pour en assumer les fonctions de Directeur des Systèmes d'Information avant d’être promu Directeur Général Adjoint de Orange Côte d'Ivoire. En 2010, j’ai été muté au siège du groupe Orange basé à Paris, en tant que Directeur des systèmes d'information de la zone Afrique, Moyen-Orient, et Asie. En 2017, j’ai rejoint la Banque Africaine de Développement (BAD) à Abidjan, en tant que Directeur des Technologies de l’Information. En mars 2020, j’ai été appelé à assurer la Direction générale de Vivendi Afrique. Et cette même année, en mai 2020, Son Excellence Monsieur Alassane OUATTARA m’a fait l’honneur de me nommer Ministre de la Modernisation de l’Administration et de l’Innovation du Service Public. Enfin, en 2021, le Président de la République m’a renouvelé sa confiance en me confiant les rênes du Ministère de l’Economie Numérique, des Télécommunications et de l’Innovation avec pour principale mission l’élaboration et le pilotage de la stratégie numérique de la Côte d’Ivoire.
2/- Pouvez-vous nous rappeler le cadre légal de la protection des données personnelles en RCI ?
Protéger les données à caractère personnel c’est protéger l’intimité, la dignité et les droits fondamentaux d’une personne comme le droit au respect de la vie privée, le droit à l’image, le droit à l’honneur, d’où l’obligation pour chaque Etat ou institution de prendre les mesures nécessaires. En Côte d’Ivoire, le gouvernement a pris des textes pour la sécurité des données en vue de créer la confiance numérique et protéger le cyber espace. Il s’agit essentiellement de (i)l’ordonnance n° 2012-293 du 21 mars 2012 relative aux télécommunications et aux TIC (titre IX, chapitre 3), (ii) la loi n°2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel, (iii) la loi n° 2013-546 du 30 juillet 2013 relative aux transactions électroniques. Mon rôle est de veiller à l’application stricte de ces lois et de renforcer les compétences numériques des acteurs impliqués dans la gestion, l’exploitation et l’utilisation des données à caractère personnel, gage d’un cyberespace protégé. Cela va créer un environnement des affaires assaini source de confiance numérique et d’attractivité des investissements.
3/- Quels sont selon vous les principaux enjeux en matière de protection des données et d’économie numérique en RCI et en Afrique?
La Côte d’Ivoire et les autres pays africains ne comptent pas être en marge de cette 4ème révolution industrielle. Nous voulons accélérer la transformation digitale. En Côte d’ivoire particulièrement, le gouvernement entend faire de l’économie numérique, un nouveau moteur pour la transformation structurelle de son économie. Cette volonté est clairement affichée dans le Plan Stratégique Côte d’Ivoire 2030. L’économie numérique, c’est en 2021, 12% du PIB. Nous espérons monter à 18% d’ici 2024. Sur la base de la vision Côte d’Ivoire 2030, le gouvernement ivoirien a bâti sa stratégie numérique autour de plusieurs piliers que sont: (i) les infrastructures numériques; (ii) les services numériques; (iii) les services financiers numériques; (iv) les compétences numériques; (v) l’environnement des affaires; (vi) la cybersécurité; (vii) l’innovation. Récemment, ce document de stratégie numérique a été validé par l’ensemble des acteurs de l’écosystème avec un focus sur la stratégie de cybersécurité et la stratégie de l’innovation. Je reste convaincu que les enjeux de développement numériques qui sont communs aux pays africains vont constituer pour chaque Etat, des points d’attention et de décision
Éclairage pratique FAVORISER L’ÉMERGENCE D’UN ÉCOSYSTÈME DE LA CYBERSÉCURITÉ EN AFRIQUE : L’INITIATIVE DU «CYBER AFRICA FORUM»
Convaincu que la marche vers le développement économique et technologique, dans laquelle se sont engagés de nombreux Etats africains, n’aboutira que si ces derniers font de la lutte contre les risques numériques l’une de leurs priorités, Franck Kié a fondé, en novembre 2019, l’association CIBEROBS (rebaptisée «CIBEROBS-MAKE AFRICA SAFE»), dédiée à la sensibilisation aux enjeux de la cybersécurité en Afrique, et qui a créé le « CYBER AFRICA FORUM», salon professionnel rassemblant les décideurs en matière de cybersécurité, à l’image du FIC («Forum International de la Cybersécurité», se tenant chaque année à Lille) dont elle est le pendant et le représentant en Afrique. Après une première partie de carrière passée sur ce continent (Côte d’Ivoire et Afrique du Sud) ainsi qu’au Moyen-Orient (Dubaï), Franck Kié travaille aujourd’hui, au sein d’un grand cabinet de conseil à Paris, comme expert en gestion des risques cyber. Il livre à La Lettre du DPO sa vision et son éclairage pratique sur le sujet.
Le défi actuel des États africains : mettre en place des infrastructures nationales, former des talents et se doter d’outils souverains.
«Être souverain, c’est être capable de décider inconditionnellement de ses destinées. Cela nécessite, pour un État, de disposer d’une puissance, qui jusqu’à présent s’exprimait sur le terrain militaire, économique et culturel, et qui dorénavant s’exprime aussi sur l’espace numérique (cyber). À ce sujet, les Etats africains manquent d’unités nationales en matière de sécurité et de défense des systèmes d’information,d’infrastructures, tant matérielles (réseaux, data centers, etc.) que logicielles, qui soient sous leur contrôle, puisque ces infrastructures dépendent aujourd’hui encore trop souvent d’opérateurs étrangers qui ont à défendre leurs propres intérêts. Ensuite, cette puissance numérique exige que les Etats africains puissent former et fidéliser des talents parmi leur population, ce qui nécessite de disposer de centres de formation de premier plan : récemment, un institut de la cybersécurité a été créé à Kinshasa (en République Démocratique du Congo). Il y a là une réelle opportunité pour créer de l’emploi en Afrique, à l’heure où, face aux 10 000 professionnels de la sécurité (seulement !) dont dispose ce continent, les besoins sont immenses et vont aller croissant».
Le préalable nécessaire : définir une stratégie de cyber souveraineté africaine.
. «Les Etats africains doivent définir une stratégie cyber, c’est-à-dire se fixer des objectifs à atteindre, les moyens pour y parvenir, tant sur le plan défensif qu’offensif car l’espace numérique est un théâtre de conflictualité, où la surveillance, le vol d’informations et les opérations de déstabilisation ont cours. L’Afrique n’y fait pas exception, subissant depuis quelques années des cyberattaques de plus en plus sophistiquées qui occasionnent des dégâts et pertes financières sévères. C’est donc une vraie prise de conscience qu’il faut provoquer auprès des entreprises et Etats africains, préalable indispensable à leur souveraineté sur les réseaux. Il est donc clé de sensibiliser et former les décideurs sur ce sujet, et c’est la raison pour laquelle le CYBER AFRICA FORUM intègre de nombreuses tables rondes, master classes et hacking challenges, qui sont autant d’occasions d’échanges pour leur ouvrir les yeux et partager de bonnes pratiques en la matière».
Tendance Entrée en vigueur des lois de protection des données du Rwanda et du Botswana.
En 2021, 34 pays africains sur 54 ont déjà promulgué une loi relative à la protection des données et 19 d’entre eux disposent d’une autorité de contrôle. Depuis octobre 2021, deux nouveaux pays rejoignent le rang! D’une part, le Rwanda avec la Loi n°058/2021 relative à la protection des données et à la vie privée entrée en vigueur le 15 octobre 2021. Cette loi s’applique au responsable de traitement, au sous-traitant ou à un tiers (i) établi ou installé au Rwanda traitant des données personnelles au Rwanda ou (ii) qui n’y est pas établi mais traite les données des personnes concernées situées au Rwanda. La loi, sur le modèle du RGPD, reprend les grands principes relatifs au traitement de données: bases légales de traitement, droits des personnes concernées, transfert de données, etc. D’autre part, le Botswana dont la loi de protection des données (Act n°32 de 2018) est aussi entrée en vigueur le 15 octobre 2021. Cette loi s’applique au responsable de traitement de données (i) établi au Botswana ou (ii) qui n’y est pas établi au Botswana s’il utilise un moyen de traitement de données situé au Botswana. Bien que de nombreuses dispositions soient similaires au RGPD, les personnes concernées ne bénéficient pas d’un droit à la portabilité.
BRÈVE N°1
Sanction des opérations du réseau «bus» de la RATP
Le 29 octobre 2021, la formation restreinte de la CNIL a sanctionné la RATP à hauteur de 400000 euros, pour avoir, notamment, renseigné le nombre de jours de grève exercés par des agents dans des fichiers d’évaluations, servant notamment de documents supports aux avancements de carrière. Elle rappelle que seules les données strictement nécessaires à l’évaluation desdits agents, à savoir les jours d’absence, auraient dû figurer dans ces fichiers, en application du principe de minimisation. La CNIL sanctionne également l’EPIC pour manquement au principe de limitation de la durée de conservation de ces fichiers d’évaluations, considérant excessive une conservation de trois ans à compter de la commission d’avancement et lui préfère une durée n’excédant pas dix-huit mois. Enfin, elle relève une violation de sécurité, constatant des mesures inefficaces permettant de garantir la confidentialité des données en raison d’une politique d’habilitation trop peu détaillée, qui permettait à tous les responsables d’équipe de ligne d’accéder aux données de l’ensemble des conducteurs du centre de bus concerné.
BRÈVE N°2
Traitements transfrontaliers: mise en place d’un accord entre le Maroc et le Burkina-Faso
La commission nationale de contrôle de la protection des données (CNDP) du Maroc et la commission de l’informatique et des libertés (CIL) du Burkina-Faso ont signé, l’été dernier, un protocole de coopération portant sur la mise en place d’un dispositif bilatéral de collaboration. L’accord contient notamment (i) des dispositions relatives aux actions habituelles que les deux autorités mènent sur le terrain (information, sensibilisation et gestion des plaintes des victimes des actes de cybercriminalité), ainsi qu’aux missions de contrôle des responsables de traitement et des sanctions applicables le cas échéant, mais également (ii) des clauses prospectives afin de prendre en considération l’évolution rapide du domaine de la protection des données dans ces pays.
Le département Immatériel et Numérique de klein • wenner
Forte d’avocats expérimentés, experts en droit du numérique et du RGPD, l’équipe Immatériel & Numérique de klein • wenner a développé une pratique transversale inédite en droit de la donnée.
En lien avec d’autres experts (cybersécurité, SI/gouvernance des données), elle propose une approche globale permettant de traiter l’ensemble des questions liées aux données (privacy, propriété intellectuelle, cybersécurité, et open data* – *avec l’équipe Droit public du cabinet).
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.