Le casse-tête de la protection des données personnelles pour les start-up africaines
L’essor des start-up tech, moteur des économies continentales, pousse les États à se doter de législations protégeant les données personnelles. Une pratique pour laquelle le rôle des avocats se révèle crucial.
En Afrique subsaharienne, le taux d’utilisation d’internet est passé de 5% de la population en 2005 à 31 % en 2021, selon la Banque mondiale.
C’est un fait, l’écosystème tech africain se porte bien. Il s’est même développé plus rapidement que tous les autres marchés mondiaux en 2022, révèle un rapport de Partech Africa, le principal fonds de capital-risque consacré aux start-up technologiques du continent. Mieux, le seuil symbolique de 5 milliards de dollars levés en 2022 devrait être dépassé cette année. Pour continuer sur cette lancée et sécuriser les investissements existants, les États africains n’ont plus d’autre choix que d’encadrer juridiquement l’usage des données personnelles (lire l’encadré ci-dessous).
Cela ouvre un vaste champ d’action aux avocats qui travaillent sur le continent. Dans le domaine de la tech, leur accompagnement est multiforme. « Les avocats conseillent les géants du numérique dans leurs relations avec les incubateurs, puis avec les start-up », explique Danielle Moukouri Djengue, managing partner au cabinet D. Moukouri & Partners, avocate aux barreaux du Cameroun et du Nigeria. Un exemple, parmi d’autres : le groupe Orange, présent dans seize pays d’Afrique francophone, a lancé des Orange Digital Centers, liés à des incubateurs de start-up.
Mais les conseils sont aussi en première ligne, aux côtés des jeunes pousses, pour les aider à structurer leur capital, à se positionner sur le marché et, bien évidemment, à se mettre en conformité avec la législation, en particulier celle qui porte sur la protection des données personnelles. « Le pendant de la protection des données est la cybersécurité. L’investissement dans l’innovation ne peut se faire sans un cadre sécurisant », rappelle Lina Fassi-Fihri, avocate au barreau de Casablanca, associée du cabinet LPA-CGR.
Convention de Malabo
Lorsque le secteur est régulé, les juristes veillent à ce que les start-up appliquent correctement les normes. La filiale d’Alibaba au Rwanda, par exemple, a investi dans des solutions d’e-paiement. Or il n’existait pas de législation propre à la protection des données personnelles. Il y avait, en revanche, des dispositions disséminées dans trois lois distinctes. De quoi s’y perdre. La création d’une entreprise locale pour vendre cette solution de e-paiement sans transférer les données à l’étranger était, notamment, imposée.
Précurseur, l’Union africaine (UA) a promulgué, le 27 juin 2014, la Convention de Malabo sur la cybersécurité et la protection des données personnelles, un instrument continental de coopération que seuls les États membres de l’UA peuvent ratifier. Neuf ans plus tard, treize d’entre eux l’ont fait : l’Angola, le Cap-Vert, le Ghana, la Guinée, Maurice, le Mozambique, la Namibie, le Niger, le Rwanda, la RDC, le Sénégal, le Togo et la Zambie.
Huit autres (le Bénin, les Comores, la Guinée-Bissau, la Mauritanie, la Sierra Leone, São Tomé-et-Príncipe, le Tchad et la Tunisie) l’ont signée mais pas encore ratifiée. En dépit de ce faible taux de ratification, la majorité des États s’organise pour doter le continent d’un cadre légal sur les données personnelles. « La protection des données est devenue un enjeu mondial. Un pays qui n’a pas de réglementation spécifique peut être moins attrayant pour les investisseurs étrangers dont le modèle économique repose sur l’exploitation des données », constate Danielle Moukouri Djengue.
Pourtant, constate Alexandra Neri, associée au cabinet Herbert Smith Freehills, depuis quelques années, plusieurs fonds et des acteurs mondiaux du numérique se sont tournés vers le continent. « Le développement de la technologie en Afrique doit beaucoup aux investisseurs étrangers, confirme l’avocate.
Le règlement européen de protection des données personnelles (RGPD) est une source d’inspiration pour les États africains et rassure les investisseurs étrangers, déjà familiers de ses mécanismes. Même les pays anglophones ont dû s’y mettre. « Chez eux, l’innovation dans les produits financiers est plus dynamique que dans les pays francophones, mais ils ont été rattrapés par le besoin de régulation des données personnelles », indique Lina Fassi-Fihri.
Absence de cadre légal
Lorsque aucun cadre légal n’existe, tout l’écosystème est à construire. C’est ce qu’il s’est passé au Cameroun, où le financement participatif s’est largement démocratisé à partir de 2019. La start-up Leelou Baby Food a, par exemple, bénéficié d’un crowdfunding de 100 millions de francs CFA (environ 153 000 euros). Or, à cette époque, ce système de financement n’était pas réglementé.
« Lorsqu’il y avait un vide juridique, le régulateur avait du mal à sanctionner objectivement les plateformes de crowdfunding« , explique Danielle Moukouri Djengue. Finalement, en juin 2023, la Commission de surveillance du marché financier de l’Afrique centrale (Cosumaf) a émis une série de recommandations à l’intention des acteurs du secteur.
« L’innovation a débouché sur l’adoption d’une réglementation spécifique portant sur les conditions d’exercice, en zone Cemac, de la profession de conseiller en financement participatif », se réjouit l’avocate, spécialiste de data. Le dynamisme de la tech pousse le secteur à se réguler dans un cadre plus sécurisant, un processus au sein duquel les avocats ont toute leur place.
Quand le monde francophone ouvre la voie
En matière de protection des données personnelles, les pays d’Afrique francophone ont pris de l’avance sur les pays anglophones. Le Maroc, par exemple, s’est doté d’une loi dès 2009. Les entreprises qui souhaitent transférer des données hors du royaume doivent le déclarer, et y être autorisées.
Les acteurs économiques ont mis un peu de temps à se mettre en conformité avec cette loi. Résultat, les premières sanctions commencent à tomber. Pour des raisons de transparence, et afin de créer un climat de confiance numérique, la Commission nationale de protection des données personnelles a mis en place, le 31 mars dernier, un registre destiné au suivi des plaintes et des contrôles.
Au Nigeria, la National Information Technology Development Agency (NITDA) a publié, le 4 octobre 2022, une loi sur la protection des données personnelles, qui décrit les principes et les bases légales de leur traitement. À cela s’ajoutent l’Analyse d’impact relative à la protection des données (AIPD) et la nomination d’un délégué à la protection des données (DPO) dans les entreprises.
Le Botswana est l’un des rares pays à avoir traité le sujet du transfert des données. Après la loi 32 de 2018 portant sur leur protection, le ministère des Affaires présidentielles, de la Gouvernance et de l’Administration publique a publié une ordonnance sur leur transfert (en pratique, du Botswana vers 45 pays).
Toujours dans le monde anglophone, le Parlement tanzanien a adopté une loi sur la protection des renseignements personnels. La Namibie a lancé un appel à contribution sur un projet de loi relatif à la protection des données à caractère personnel. Au Zimbabwe, les autorités ont promulgué, en 2021, la loi n°05/2021 relative à la protection des données, puis, en 2022, elles ont publié un règlement sur la cybersécurité et la protection des données. Au total, 21 pays d’Afrique disposent d’au moins une loi sur la protection des données.
