Par Élimane sembène
Fin septembre 2018, 50 millions de comptes Facebook ont été piratés, poussant le réseau social à déconnecter de force 90 millions de comptes. Mi-octobre, Google+ annonce sa fermeture après le piratage des données personnelles de 500 000 utilisateurs. Un peu plus tôt dans l’année, lors du premier trimestre 2018, la société britannique Cambridge Analytica est accusée d’avoir collecté et exploité, sans leur consentement, les données personnelles de près de 90 millions d’utilisateurs de Facebook pour réaliser des publicités politiques ciblées durant la campagne électorale américaine de 2016 et le référendum britannique sur le Brexit.
Ces trois scandales ont mis à nu la vulnérabilité de ces deux grands mastodontes du social network et remis au goût du jour l’impérieuse nécessité de la protection des données personnelles.
Au moment où sous d’autres cieux l’heure est à la mise en place de législations pour protéger les e-citoyens contre de pareilles dérives, à l’image du Règlement général sur la protection des données personnelles (RGDP) en Europe, l’Afrique reste toujours à la traîne et semble de plus en plus déconnectée de cette priorité. Sur les 54 pays, seuls dix disposent d’un cadre et d’une instance chargée de les appliquer, notamment le Sénégal, la Côte d’Ivoire, le Bénin, le Burkina Faso, le Gabon, le Mali, le Maroc et la Tunisie.
La situation est quasi-identique au sein des institutions régionales. Pas d’avancées majeures. L’Union africaine (UA) avait lancé en 2014 la Convention de Malabo sur la cybersécurité et la protection des données personnelles, mais à la date du 14 mars 2018, échéance de la signature, seuls deux parmi eux, le Sénégal et l’île Maurice, l’avaient ratifiée. Quatre ans plus tôt, en février 2010, la Communauté économique des États d’Afrique de l’Ouest (Cedeao) avait mis en place un acte additionnel sur la protection des données à caractère personnel. Huit ans plus tard, son impact reste à prouver. Autre limite et non des moindres, la marge de manœuvre souvent très limitée des instances de contrôle. La plupart des textes législatifs se focalisent uniquement sur la confidentialité des données lors des communications électroniques, oubliant les Big Data collectées et analysées dans l’ombre.
Il est heureux de constater le lancement du « Personal Data Protection Guidelines for Africa » par l’ONG Internet Society et la Commission de l’UA en mai 2018, lors du Sommet africain d’Internet à Dakar. Ce référentiel sur la protection des données personnelles sur le continent est salutaire, mais il urge de passer de la théorie à la pratique, car les défis sont énormes, les risques hors normes.
Le numérique s’est fortement incrusté dans le quotidien des consommateurs africains. On dénombre pas moins de 435 millions d’utilisateurs d’Internet sur le continent dont 191 millions d’internautes sur les réseaux sociaux, d’après le Digital Report 2018 publié par l’agence « We are Social » et la plateforme « Hootsuite ». L’usage des smartphones ne cesse de grimper. Quelque 660 millions en disposeront en 2020 contre 336 millions en 2016, selon une étude du cabinet Deloitte. On imagine donc aisément les milliards de données personnelles générées par cette population numérique… Faute de législation contraignante, cet or massif 4.0 récolté via différents serveurs lors d’achats en ligne, transferts de devises via mobile banking, de publications sur les réseaux sociaux, etc., est soigneusement décanté et exploité, à notre insu, par des multinationales à des fins commerciales ou stratégiques. Cambridge Analytica, en dehors des scandales signalés aux États-Unis (élection de Trump) et au Royaume-Uni (Brexit), aurait récolté des données d’internautes nigérians et kenyans pour influencer les électeurs lors des scrutins respectifs de 2015 et 2017.
Que dire des données recueillies pour la confection de documents biométriques (passeports et carte d’identité, etc.) dont la plupart sont confiées à des entreprises internationales dans plusieurs pays africains…
La protection des données personnelles, outre son aspect confidentiel, représente un enjeu économique de taille pour les entreprises africaines. Le règlement général sur la protection des données personnelles de l’Union européenne, qui est entré en vigueur depuis le 25 mai 2018, impose à une société européenne qui souhaite transférer des données à une entreprise africaine de s’assurer que cette dernière respecte certaines exigences sécuritaires. Le cas échéant, elle risque une amende de 20 millions d’euros ou 4% de son chiffre d’affaires mondial global.
L’Afrique doit donc prendre à bras-le-corps ce problème pour protéger ses citoyens et anticiper les futurs risques pouvant émaner de l’intelligence artificielle et de l’Internet des Objets (IoT). Autrement dit, passer d’un « no man’s land » juridique à la souveraineté numérique.