Le 3 juillet 2023, l’autorité de protection des données à caractère personnel de l’Afrique du Sud, ci-après dénommée « régulateur », en charge de la protection des renseignements personnels, a émis à l’encontre du ministère de la Justice et du Développement constitutionnel une sanction pour manquement au respect de la loi sud-africaine sur la protection des renseignements personnels de 2013 (POPIA).
Cette sanction survient à la suite d’une mise en demeure émise par le régulateur à l’encontre du ministère, le 9 mai 2023, conséquemment à des faits suspectés d’atteinte à la sécurité informatique survenus en septembre 2021. En effet, après les investigations du régulateur, il s’est avéré que l’interruption des services dudit ministère au public en septembre 2021 et les difficultés d’accès des employés aux systèmes d’exploitation du ministère étaient effectivement dues à une compromission du système informatique par des logiciels malveillants, ayant engendré une fuite de plus de 1200 fichiers. Cette fuite de données était la conséquence du non-renouvellement du package de licences de trois antivirus expirés depuis plus d’un an.
Après la constatation de ces manquements graves à la loi nationale sur la protection des renseignements personnels, le régulateur a formulé une série de mesures à mettre en œuvre par le ministère. D’une part, le ministère devait renouveler ou fournir au régulateur la preuve du renouvellement des licences expirées dans un délai de 31 jours ; d’autre part, il devait formuler des sanctions disciplinaires à l’encontre des fonctionnaires responsables du renouvellement de ces licences.
Or, il s’est avéré que le ministère n’avait mis en exécution aucune de ces mesures à l’expiration du délai imparti. Le régulateur a finalement prononcé à son encontre une sanction administrative de 5 millions de rands (soit plus de 250.000€ d’amende) le 3 juillet 2023. Cette sanction était assortie de la possibilité pour le ministère d’interjeter appel de la décision, ce qu’elle n’a pas fait, rendant ainsi la sanction définitive.
Les recommandations du régulateur étaient-elles fondées et réalisables ?
Pour rappel, dans sa mise en demeure, le régulateur demandait au ministère de rapporter la preuve de la mise à jour de son package d’antivirus, soit une preuve actuelle de la robustesse de son système de sécurité informatique, afin d’éviter qu’une violation similaire ne puisse se reproduire. De plus, des mesures disciplinaires devaient être prises à l’encontre des fonctionnaires responsables de la sécurité informatique, précisément ceux qui devaient veiller au renouvellement des licences des antivirus expirés, sans doute pour négligence.
Tout d’abord, pour la légalité et la faisabilité des mesures techniques de sécurité, il s’avère qu’il s’agit d’une obligation prévue par la POPIA. En effet, l’article 19 de ladite loi prévoit que le responsable de traitement a l’obligation de garantir la sécurité, l’intégrité et la confidentialité des données personnelles. Il doit à cet effet mettre tout en œuvre selon l’état de l’art pour se conformer à cette obligation. Or, il est clairement ressorti des investigations du régulateur que trois antivirus chargés de détecter, alerter, mettre à jour afin d’empêcher l’atteinte au système informatique étaient tous défaillants. Ils avaient expiré depuis plus d’un an. Par conséquent, les recommandations techniques étaient bel et bien fondées et réalisables. En conservant son système d’antivirus expirés malgré les recommandations du régulateur, le ministère a persisté dans le manquement à son obligation légale, entrainant ainsi une violation de l’article 103 (1) de la POPIA relatif au non-respect des avis d’exécution.
En ce qui concerne les sanctions, il faut savoir que l’Afrique du Sud dispose d’un système qui se décline en deux modalités. En effet, la sanction peut consister en une peine d’emprisonnement et une peine administrative, ou l’une des deux peines seulement.
La peine d’emprisonnement peut aller de 12 mois à 30 ans, en fonction de la gravité de l’infraction, et elle est prononcée à l’encontre d’une personne physique selon l’article 107 de la POPIA. Dans le cas de la présente décision, ces sanctions auraient pu être dirigées contre les fonctionnaires responsables du renouvellement des licences, mais le régulateur a jugé bon d’inviter le ministère à ne prononcer qu’une sanction disciplinaire. Encore faut-il pour qu’une sanction disciplinaire soit prononcée déterminer si ces fonctionnaires ont commis une faute ou si l’erreur vient de la hiérarchie, comme le prévoient les articles 14 du Public Administration Management Act et l’article 16B du Public Service Act pour les sanctions disciplinaires des fonctionnaires en Afrique du Sud.
La sanction administrative est, quant à elle, dirigée vers le responsable de traitement en tant qu’entité. La loi prévoit qu’elle ne peut excéder 10 millions de Rands selon l’article 109. Ce qui signifie que le régulateur sud-africain a infligé au ministère jusqu’à la moitié du montant maximal pour son manquement à la POPIA.
Il faut tout de même noter la particularité de la démarche du régulateur sud-africain. S’il est commun aux lois en Afrique de prévoir des sanctions pénales en cas de manquement aux dispositions de protection des données personnelles, la démarche de ce régulateur fait partie des premières en la matière sur le continent. En effet, il n’a pas hésité à prendre l’initiative de la proposition d’une sanction disciplinaire envers des fonctionnaires pour des fautes commises dans l’exercice de leurs fonctions, si ces fautes sont bel et bien établies. Il ouvre ainsi la voie à la prononciation d’une sanction individuelle en plus de la sanction principale prononcée contre l’entité responsable de traitement.
Cependant, dans ce cas de figure, il s’agit des employés d’une administration publique. Les recommandations du régulateur auraient-elles été les mêmes s’il s’agissait des employés d’une entité privée ? En tout état de cause, cette cyberattaque n’est pas isolée. En effet, elle s’inscrit dans un contexte marqué par une série de cyberattaques ayant touché plusieurs institutions étatiques et régionales en Afrique. Il n’est pas à exclure qu’une démarche et un raisonnement similaires puissent être adoptés par d’autres autorités de contrôle en cas de manquement aux lois sur la protection des données, surtout en cette période d’éveil des autorités de protection des données en Afrique.
Par Franck ADOPO, doctorant en droit international du numérique et de la protection des données à caractère personnel.