LA PROTECTION DES DONNEES PERSONNELLES EN AFRIQUE : CADRE NORMATIF ET INSTITUTIONNEL

Le développement des technologies de l’information et de la communication et leur diffusion rapide à travers le monde ont révolutionné le quotidien de l’homme dans tous les secteurs d’activités.

L’accès à ces technologies, le recours aux services multiformes qu’elles offrent pose toutefois aujourd’hui avec acuité le problème de la protection des droits des personnes et, plus précisément, de leur vie privée. Les Etats sont de plus en plus confrontés aux abus de toute sorte liés à l’utilisation des données personnelles, ce qui fait de la lutte contre la cybercriminalité une préoccupation mondiale.

Si la volonté de faire face à ces défis est unanimement partagée, il n’en demeure pas moins que les disparités existant entre les Etats en matière de progrès techniques, de ressources humaines et budgétaires ne permettent pas toujours d’atteindre les résultats escomptés partout dans le monde. C’est notamment le cas de l’Afrique.

L’on se souvient encore du scandale « Cambridge Analytica » qui occasionna la fuite et l’exploitation à des fins politiques, de données personnelles de plus de 87 millions d’utilisateurs du réseau social Facebook^[1]. Alors que le Congrès Américain et les parlements britannique, canadien, argentin, australien et irlandais avaient convoqué Mark Zuckerberg le fondateur de Facebook, afin qu’il s’explique sur la façon dont le réseau social pouvait être utilisé à des fins d’ingérence électorale^[2], les pays africains sont restés silencieux^[3]. Réaction assez surprenante au regard du fait qu’aujourd’hui, les données personnelles sont considérées comme le nouvel or noir^[4] de l’économie numérique. Celles-ci sont incontestablement appelées à en être le carburant, dont la valeur repose plus dans la circulation et le traitement que dans le stockage. Elles ne sont pas qu’un patrimoine à faire fructifier, elles sont les objets mêmes des échanges. Les données sont au cœur de tous les modèles d’affaires de l’économie numérique^[5]. Or, la définition des modalités qui vont présider à cet échange a un impact total sur l’économie et les formes relationnelles qui seront possibles demain.

C’est ainsi qu’on assiste de plus en plus à une course frénétique pour la mise en place de lois et de directives relatives à la protection des données personnelles et de la vie privée. C’est le cas du législateur Chinois qui a récemment adopté la loi sur la cybersécurité chinoise^[6], ou encore du législateur Européen qui a adopté le Règlement Général sur la Protection des Données (« RGPD »).

Cette inflation législative outre-mer invite à interroger l’état des lieux de la protection des données personnelles en Afrique. Quels sont les moyens déployés par le législateur Africain pour assurer la protection des données personnelles ?

L’analyse des initiatives internationales^[7], régionales^[8], sous-régionales^[9] et nationales existantes révèle la présence d’un cadre normatif (1) et institutionnel (2) de la protection des données en Afrique.

Notre étude du cadre normatif et institutionnel de la protection des données personnelles sera essentiellement basée sur une des principales sources de la protection des données personnelles en Afrique, la Convention de l’Union Africaine sur la cyber-sécurité et la protection des données personnelles (la « Convention »), adoptée le 27 juin 2014 au sommet de l’Union Africaine (l’« UA ») à Malabo en Guinée Equatoriale, cette Convention ayant une vocation plus large que les autres textes de lois y relatifs. En effet, la Convention vise à créer un système harmonisé de traitement de données et à déterminer un ensemble de règles communes devant régir le transfert transfrontalier des données personnelles, afin d’éviter des approches réglementaires divergentes entre les États membres de l’UA.

1. LE CADRE NORMATIF DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL

L’étude du cadre normatif de la protection des données à caractère personnel ne peut s’effectuer (1.1) qu’au travers de l’analyse des obligations relatives aux conditions de traitement de données et (1.2) des droits conférés à la personne dont les données font l’objet d’un traitement.

• 1. les obligations relatives aux conditions de traitement de données à caractère personnel

Le traitement des données à caractère personnel s’entend comme étant toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés ou non, et appliquées à des données, telles que la collecte, l’exploitation, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par la transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction des données à caractère personnel^[10].

L’article 13 de la Convention définit six principes de base devant gouverner le traitement des données :

• le principe de consentement et de légitimité ;
• le principe de licéité et de loyauté ;
• le principe de finalité, de pertinence et de conservation ;
• le principe d’exactitude ;
• le principe de transparence ; et
• le principe de confidentialité et de sécurité.

Ceux-ci mettent à la charge du responsable du traitement un ensemble d’obligations notamment :

1.1.1 Une obligation de confidentialité

Le traitement des données à caractère personnel doit être confidentiel, et effectué exclusivement par des personnes qui agissent sous l’autorité du responsable du traitement^[11].

1.1.2 Une obligation de sécurité

Le responsable du traitement est tenu de prendre toute précaution utile au regard de la nature des données et, notamment, pour empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès^[12].

1.1.3 Une obligation de conservation

Les données à caractère personnel ne doivent pas être conservées au-delà de la période requise pour les fins en vue desquelles elles ont été recueillies et traitées^[13].

1.1.4 Une obligation de pérennité

Le responsable du traitement est tenu de prendre toutes les mesures utiles pour assurer que les données à caractère personnel traitées pourront être exploitées quel que soit le support technique utilisé.

A cet effet, il doit s’assurer que l’évolution de la technologie ne sera pas un obstacle à cette exploitation^[14].

Ces différentes obligations à la charge du responsable du traitement visent à garantir que tout traitement, sous quelque forme que ce soit, respecte les libertés et droits fondamentaux des personnes dont les données font l’objet d’un traitement.

• 1. Droits des personnes dont les données font l’objet d’un traitement

Les personnes dont les informations sont traitées ont des droits sur leurs données notamment : un droit d’information, d’accès, d’opposition, de rectification et de suppression.

1.2.1 Le droit à l’information

Le responsable du traitement doit fournir à la personne physique dont les données font l’objet d’un traitement, au plus tard, lors de la collecte et quels que soient les moyens et supports employés, les informations relatives :

• à son identité ou celle de son représentant ;
• à la finalité du fichier ;
• aux catégories des données concernées;
• aux destinataires auxquels les données sont susceptibles d’être communiquées ;
• au fait de pouvoir demander à ne plus figurer sur le fichier ;
• à l’existence d’un droit d’accès aux données la concernant et de rectification de ces données ;
• à la durée de conservation des données ; et
• à l’éventualité de tout transfert de données à destination des pays tiers^[15].

1.2.2 Le droit d’accès

Toute personne physique dont les données à caractère personnel font l’objet d’un traitement peut demander au responsable de ce traitement sous forme de questions :

• les informations permettant de connaitre et de contester le traitement ;
• la confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de traitement ;
• la communication des données à caractère personnel qui la concernent disponible quant à l’origine de celles-ci ; et
• des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquelles les données sont communiquées^[16].

1.2.3 Le droit d’opposition

Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Elle a le droit, d’une part, d’être informée avant que les données la concernant ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection et, d’autre part, de se voir expressément offrir le droit de s’opposer, gratuitement, à ladite communication ou utilisation^[17].

1.2.4 Le droit de rectification et de suppression

Toute personne physique peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour et verrouillées ou supprimées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite^[18].

Le respect de ces droits s’impose aux responsables de traitement, qui doivent fournir aux personnes concernées une information claire, simple et facilement accessible. Les personnes quant à elles doivent, sauf exceptions, donner leur consentement au traitement de leurs données ou pouvoir le retirer à tout moment. Le consentement doit être donné de façon « éclairée et univoque ».

A travers ce cadre normatif, la Convention entend donner une vision commune et homogène de la protection des données personnelles en Afrique. Pour ce faire, chaque Etat partie de l’Union Africaine doit mettre en place un cadre juridique ayant pour objet de renforcer les droits fondamentaux et les libertés publiques, notamment la protection des données physiques et de réprimer toute infraction relative à toute atteinte à la vie privée sans préjudice du principe de la liberté de circulation des données à caractère personnel^[19].

A ce propos, seuls 23 états sur 55 ont adopté des mesures juridiques relatives à la protection des données personnelles^[20]. La convention quant à elle, adoptée le 27 juin 2014 à Malabo, en Guinée Equatoriale, tarde toujours à entrer pleinement en vigueur. Au terme de l’échéance des signatures fixée au 14 mars 2018, seuls 10 pays sur 55 l’ont signé^[21]. Tandis que deux nations seulement^[22] l’ont ratifié pour une entrée en vigueur sur leur territoire.

Certains pays, tels que l’Algérie, les Comores ou la République Centrafricaine, ne disposent en réalité d’aucun texte légal spécifiquement dédié à la protection des données à caractère personnel^[23].

Dans la majorité des cas, les dispositifs réglementaires récemment adoptés (par exemple au Burundi, au Cameroun, au Congo ou au Rwanda) ne traitent que de la sécurité et la confidentialité des données de communications électroniques, à l’exclusion de toutes les autres catégories de données à caractère personnel^[24]. En outre, lorsque lesdites dispositions existent, leur effectivité n’est pas toujours garantie faute d’autorité en charge de leur respect. Ces failles constituent un réel handicap en matière de protection des données personnelles en Afrique.

En effet, la sécurité des informations ne peut être une réalité que si les règles de protection sont strictement respectées. C’est pourquoi il est institué par la Convention, un organisme qui, en conformité avec le système juridique interne à chaque pays, est chargé de contrôler le respect des dispositions législatives et règlementaires en la matière.

2. CADRE INSTITUTIONNEL DE LA PROTECTION DES DONNEES

L’article 11 de la Convention prévoit la mise en place par chaque État partie, d’une autorité chargée de la protection des données à caractère personnel (ci-après l’« Autorité nationale »).

Ladite Autorité nationale s’assure que les technologies de l’information et de la communication ne comportent pas de menace au regard des libertés publiques et de la vie privée des citoyens. Elle doit en outre garantir que tout traitement, sous quelque forme que ce soit, respecte les libertés et droits fondamentaux des personnes physiques, tout en prenant en compte les prérogatives de l’Etat, des collectivités locales ainsi que des personnes morales de droit public ou de droit privée. A ce titre, (2.1) elle remplit plusieurs missions et (2.2) dispose d’un pouvoir de contrôle et de sanction.

2.1. Missions de l’Autorité nationale

Chaque Autorité nationale a pour mission de :

• répondre à toute demande d’avis portant sur un traitement de données à caractère personnel ;
• informer les personnes concernées et les responsables de traitement de leurs droits et obligations ;
• autoriser les traitements de fichiers dans un certain nombre de cas, notamment les fichiers sensibles ;
• recevoir les formalités préalables à la création de traitements des données à caractère personnel ;
• recevoir les réclamations, les pétitions et les plaintes relatives à la mise en œuvre des traitements des données à caractère personnel et informer leurs auteurs des suites données à celles-ci ;
• d’informer sans délai l’autorité judiciaire pour certains types d’infractions dont elles ont connaissance ;
• procéder, par le biais de son personnel ou autre expert requis, a des vérifications portant sur tout traitement des données à caractère personnel ;
• prononcer des sanctions, administratives et pécuniaires, à l’égard des responsables de traitement ;
• mettre à jour un répertoire des traitements des données à caractère personnel et à la disposition du public ;
• conseiller les personnes et organismes qui font les traitements des données ou qui procèdent à des essais ou expériences de nature à aboutir à de tels traitements ;
• autoriser les transferts transfrontaliers de données à caractère personnel ;
• faire des suggestions susceptibles de simplifier et d’améliorer le cadre législatif et réglementaire à l’égard du traitement des données ;
• mettre en place des mécanismes de coopération avec les autorités de protection des données à caractère personnel de pays tiers ;
• participer aux négociations internationales en matière de protection des données à caractère personnel ; et
• établir, selon une périodicité bien définie, un rapport d’activités remis aux autorités compétentes de l’Etat partie^[25].

Les Etats parties s’engagent à doter les Autorités nationales de protection, des moyens humains, techniques et financiers nécessaires à l’accomplissement de leur mission^[26]. A cet effet, l’Autorité nationale est investie de certains pouvoirs.

2.2. Pouvoirs

L’Autorité nationale de protection peut prononcer les mesures suivantes :

• un avertissement à l’égard du responsable du traitement ne respectant pas les obligations relatives au traitement des données ;
• une mise en demeure de faire cesser les manquements concernés dans le délai qu’elle fixe^[27].

Si le responsable du traitement ne se conforme pas la mise en demeure qui lui a été adressée. L’Autorité nationale peut prononcer à son encontre, après une procédure contradictoire, les sanctions suivantes :

• un retrait provisoire de l’autorisation accordée ;
• le retrait définitif de l’autorisation ; ou une
• amende pécuniaire^[28].

En cas d’urgence, lorsque la mise en œuvre d’un traitement ou l’exploitation de données à caractère personnel entraine une violation de droits et libertés fondamentaux, l’Autorité nationale de procédure peut décider :

• l’interruption de la mise en œuvre du traitement ;
• le verrouillage de certaines données à caractère personnel traitées ; ou
• l’interdiction temporaire ou définitive d’un traitement contraire aux dispositions de la Convention^[29].

Au regard de ses attributions, l’Autorité nationale est un organe essentiel du cadre juridique et institutionnel pour construire la confiance en ligne et garantir la protection des données personnelles dans les Etats parties. Mais comme relevé plus haut, il existe des cas où certains pays disposent de mesures juridiques relatives à la protection des données, mais pas d’autorité en charge de leur respect.

En effet, sur les 23 pays ayant adopté des mesures juridiques sur la protection des données personnelles, 9 à peine se sont dotés d’une autorité chargée de faire respecter les textes^[30]. Ce qui constitue un véritable frein à la mise en œuvre de la protection des données personnelles en Afrique : une loi sans force nécessaire à son application est un droit doux, parce que dépourvu de dimension contraignante.

Cette faiblesse juridique du continent risque de porter préjudice à ses intérêts économiques et sécuritaires à long terme si elle n’est pas résolue^[31]. A l’heure du Big Data, les données africaines (médicales, bancaires, religieuses, sexuelles, etc…) aisément collectées et analysées pourraient faire l’objet d’une exploitation par de nombreuses entreprises d’intelligence économique pour établir des schémas de consommation ou des stratégies d’influence politique^[32].

Une déficience dans la protection des données personnelles en Afrique pourrait également impacter négativement les relations économiques et les échanges commerciaux entre l’Europe et l’Afrique avec le nouveau règlement général sur la protection des données, qui empêche les GAFA^[33] et les autres entreprises de continuer à recueillir, sans leur consentement les données personnelles des résidents de l’UE. Ce texte affecte le transfert transfrontalier de données personnelles, en particulier entre les multinationales ayant une empreinte mondiale. En clair, une entreprise européenne ne pourra plus transmettre des données (bancaires ou commerciales, par exemple) à un fournisseur ou un partenaire d’affaires situé sur le continent africain que si, et seulement si, ce fournisseur ou ce partenaire d’affaires peut apporter la preuve qu’il sécurise ses informations à un niveau au minimum égal à ce qu’exige la réglementation européenne.

Les économies africaines doivent donc s’adapter pour permettre à leurs entreprises de continuer à faire des affaires avec celles situées en Europe. A défaut, elles se retrouveront en difficulté. Pour toute entreprise européenne qui serait tenté de passer outre les exigences de RGPD, l’article 83 du RGPD a prévu des mesures dissuasives. Une amende de 20 000 000 euros ou correspondant à 4% du chiffre d’affaire annuel.

Au-delà de l’aspect économique, la faiblesse de l’Afrique à protéger efficacement les données personnelles de ses populations laisse planer sur le continent un risque sécuritaire.

L’Afrique présente d’importantes fragilités réglementaires et institutionnelles en matière de protection des données à caractère personnel. Ces fragilités sont liées, d’une part, à l’absence de dispositions y relatives dans la majorité des pays africains. D’autre part, lorsque lesdites dispositions existent, leur effectivité n’est pas toujours garantie faute d’autorité en charge de leur respect ou de moyens à la disposition desdites autorités pour exercer le contrôle des activités de collecte et de traitements des données à caractère personnel.

Au regard de ces différentes insuffisances, il convient donc de souligner que la collecte et le traitement des données à caractère personnel méritent une attention particulière. A l’ère de l’économie numérique et à l’heure où l’Union Européenne porte une attention particulière sur la question avec l’entrée en vigueur du RGPD, il conviendrait que la Convention africaine sur la cyber sécurité et la protection des données à caractère personnel puisse être mise en œuvre de manière effective.

En outre, sous l’égide de l’Union Africaine, il serait opportun que les Etats africains mènent une réflexion sur les valeurs et la philosophie communes qu’ils souhaitent porter en la matière. Il serait également primordial, en raison des fragilités socio-économiques, d’introduire dans ledit cadre réglementaire l’approche du « Privacy by Design ». Cela implique pour les entreprises que le recours à chaque nouvelle technologie traitant des données personnelles ou permettant d’en traiter garantisse dès sa conception et lors de chaque utilisation le plus haut niveau possible de protection des données même si cela n’est pas prévu à l’origine.

A l’heure où les algorithmes rythment de plus en plus les activités économiques, sociales et politiques, il conviendrait en définitive d’alerter sur les risques liés à un laisser-aller en la matière qui amplifierait le mouvement déjà en cours d’appropriation desdites données par différents acteurs non seulement publics mais aussi privés (GAFA) au détriment non seulement des libertés et des droits fondamentaux des populations mais aussi des opportunités économiques stratégiques que peuvent constituer les données à caractère personnel pour le développement de l’Afrique.

Auteurs :

Sarada NYA, Avocate aux Barreaux du Cameroun et de Paris.

Khadidja Benazir MOUSSA, Juriste.

1. Ivan Manokha, « Le scandale Cambridge Analytica contextualisé : le capital de plateforme, la surveillance et les données comme nouvelle « marchandise fictive » », Cultures & Conflits, 109 | printemps 2018, [En ligne], URL : http://journals.openedition.org/conflits/19779 ; DOI : 10.4000/conflits.19779, consulté le 18 août 2019. Le 17 mars 2018, l’Observer de Londres et le New York Times ont révélé que Cambridge Analytica, société de conseil en stratégie basée à Londres, avait recueilli des données personnelles issues des profils Facebook de plus de cinquante millions d’utilisateurs sans leur consentement, le chiffre ayant ensuite été réévalué à quatre-vingt-sept millions. La collecte de données a été effectuée via une application de quiz « thisisyourdigitallife », créée pour Facebook par Aleksandr Kogan. Ce psychologue de l’université de Cambridge a eu accès aux données personnelles de deux cent soixante-dix mille membres de Facebook qui avaient accepté de se soumettre à un test de personnalité pour lequel ils ont été rémunérés par son entreprise, Global Science Research. ↑

2. Le Monde, « Facebook : Mark Zuckerberg décline l’invitation conjointe de cinq parlements », mis à jour le 13 novembre 2018 [En ligne], https://www.lemonde.fr/pixels/article/2018/11/13/facebook-mark-zuckerberg-decline-l-invitation-conjointe-de-cinq-parlements_5382981_4408996.html, consulté le 20 août 2019. ↑

3. Le scandale Facebook-Cambridge Analytica n’a pas épargné l’Afrique. En effet, le Kenya pour ses élections de 2013 et 2017, ainsi que le Nigéria pour son processus électoral de 2015 sont cités. Au Kenya, la firme anglaise de communication stratégique à travers sa filiale SCL Elections, aurait mené de bout en bout la campagne électorale du candidat déclaré vainqueur, l’actuel président Uhuru Kenyatta. Au Nigéria, la société anglaise aurait influencé la présidentielle de 2007 et les élections générales de 2015 en faveur du Parti au pouvoir, le parti démocratique populaire (PDP). ↑

4. Voir notamment : http://www.henriverdier.com/2013/03/non-les-donnees-ne-sont-pas-du-petrole.html et https://donneesouvertes.info/2013/10/04/la-donnee-une-matiere-premiere-bien-etrange/, consulté le 21/08/19. ↑

5. Rapport dit Colin et Collin, “Mission d’expertise sur la fiscalité des données numériques”, 2013 :
   http://www.economie.gouv.fr/files/rapport-fiscalite-du-numerique_2013.pdf ↑

6. Loi sur la cybersécurité de la République Populaire de Chine (中华人民共和国网络安全法) adoptée le 07 novembre 2016 et entrée en vigueur le 01^er juin 2017. ↑

7. Au niveau des instruments internationaux, l’on peut recenser : La Déclaration universelle des droits de l’homme ; Le Pacte international relatif aux droits civils et politiques, qui ne mentionne certes pas expressément la protection des données, mais protège la vie privée ; la convention 108 du 28 janvier 1981 pour la protection des données à l’égard du traitement automatisé à caractère personnel ; et le Règlement n° 2016/679, dit règlement général sur la protection des données. Ce règlement de l’Union européenne constitue le texte de référence en matière de protection des données à caractère personnel. Il présente des enjeux importants à l’égard des pays africains, dans la mesure où son application ne se limite pas à l’UE, mais à tout responsable de traitement ou sous-traitant qui, tout en étant établi hors de l’UE, traite des données personnelles de personnes concernées situés au sein de l’UE. ↑

8. S’agissant des instruments régionaux, l’on peut relever : la Convention de l’Union Africaine sur la cyber-sécurité et la protection des données personnelles qui vise à « renforcer et harmoniser les législations actuelles des Etats membres et des Communautés Economiques Régionales (CER) en matière de TIC », dans le respect des libertés fondamentales et des droits de l’Homme et des Peuples. Elle vise également à créer « un cadre normatif approprié correspondant à l’environnement juridique, culturel, économique et social africain » et souligne que la protection des données personnelles et de la vie privée est un « enjeu majeur de la société de l’information ». ↑

9. L’on dénombre principalement les dispositions prévues par les Communautés Economiques Régionales. Il s’agit de : l’Acte additionnel A/SA.1/01/10 du 16 février 2010 relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO ; la Directive n°04/2006/CM/UEMOA du 17 mars 2006 relative au service universel et aux obligations de performance du réseau (la « Directive UEMOA ») ; la Directive n°07/08-UEAC-133-CM-18 du 19 décembre 2008 fixant le cadre juridique de la protection des droits des utilisateurs des réseaux et des services de communications électroniques au sein de la Communauté Economique et Monétaire de l’Afrique Centrale. ↑

10. Article 1, Convention. ↑

11. Article 20, Convention. ↑

12. Article 21, Convention. ↑

13. Article 22, Convention. ↑

14. Article 23, Convention. ↑

15. Article 16, Convention. ↑

16. Article 17, Convention. ↑

17. Article 18, Convention. ↑

18. Article 19, Convention. ↑

19. Article 8, Convention. ↑

20. Jeune Afrique, « De l’urgence de protéger les données personnelles des Africains », mis à jour le 16 août 2018 [En ligne], https://www.jeuneafrique.com/mag/614440/economie/tribune-de-lurgence-de-proteger-les-donnees-personnelles-des-africains/, consulté le 13 août 2019. ↑

21. Bénin, Tchad, Comores, Congo, Ghana, Guinée-Bissau, Mauritanie, Sierra Leone, Sao Tomé et Principe, Zambie. ↑

22. Sénégal et île Maurice. ↑

23. Bird&Bird, « Protection des données personnelles en Afrique : état des lieux à l’approche de l’entrée en vigueur du RGPD » [en ligne], https://www.twobirds.com/fr/news/articles/2017/global/africa-newsletter-june/protection-des-donnees-personnelles-en-afrique-meig, consulté le 18 août 2019. ↑

24. Ibidem. ↑

25. Article 12 (2), Convention. ↑

26. Article 11 (8), Convention. ↑

27. Article 12 (3), Convention. ↑

28. Article 12 (4), Convention. ↑

29. Article 12 (4), Convention. ↑

30. Jeune Afrique, « De l’urgence de protéger les données personnelles des Africains », mis à jour le 16 août 2018 [En ligne], https://www.jeuneafrique.com/mag/614440/economie/tribune-de-lurgence-de-proteger-les-donnees-personnelles-des-africains/, consulté le 13 août 2019. ↑

31. Bird&Bird, « Protection des données personnelles en Afrique : état des lieux à l’approche de l’entrée en vigueur du RGPD » [en ligne], https://www.twobirds.com/fr/news/articles/2017/global/africa-newsletter-june/protection-des-donnees-personnelles-en-afrique-meig, consulté le 18 août 2019. ↑

32. Cas de l’Affaire Cambridge Analytica. ↑

33. Google, Apple, Facebook et Amazon. ↑