La Convention de Malabo sur la cybersécurité et la protection des données (ci-après « la convention ») est entrée en vigueur en juin 2023, soit neuf ans après son adoption par l’Union africaine en 2014. Bien que cet énorme retard dans l’entrée en vigueur de la convention mériterait une interrogation particulière, l’objet de notre propos se limite à la pertinence d’un tel instrument dans le paysage africain actuel de la protection des données personnelles.
Une simple déclaration de principes
L’article 8 de la convention, dédié à son objet, précise clairement qu’il s’agit d’un engagement pour les États ayant ratifié la convention — actuellement une quinzaine parmi cinquante-quatre — d’introduire un cadre légal national spécifique à la protection des données à caractère personnel, visant à protéger certains droits fondamentaux tels que la liberté d’expression et le droit à la vie privée. Cependant, la convention ne fournit pas de garanties tangibles contre la violation de ces droits, et laisse aux Etats membres le soin de mettre en place un cadre juridique et de confier son contrôle à une autorité nationale.
Ainsi, l’objectif de la convention n’est pas de conférer un droit direct aux citoyens de l’Union. Pour rappel, sauf mention contraire, le contenu des conventions et traités internationaux doit être incorporé dans la législation nationale des États membres, pour devenir directement applicable aux citoyens et ainsi leur permettre de s’en prévaloir auprès des juridictions ou autorités compétentes.
Un cadre général dépassé
La convention regroupe la protection des données, la cybercriminalité, la cybersécurité et le commerce électronique sous un seul cadre juridique. En effet, seulement 12 pages sont dédiées à un sujet si important, omettant des définitions et des processus essentiels en la matière. Cette généralité s’explique sans doute par le fait que la convention constituait il y a neuf ans un appel urgent formulé aux États membres de se saisir de la question de la protection des données à caractère personnel.
Aujourd’hui, les États africains doivent faire face à une évolution et à une démocratisation des technologies de l’information et de la communication qui n’avaient pas été prises en considération lors de l’élaboration de la convention. Il s’agit, entre autres, de l’intelligence artificielle, des objets connectés, et surtout de la disparition des frontières physiques, qui oblige à renforcer l’encadrement du transfert des données personnelles vers de puissantes entreprises établies à l’étranger.
La nécessité d’une mise à jour
L’accent doit être mis sur une actualisation de la convention de Malabo, la mise en place d’un « Malabo + » ou « Malabo 2.0 », à l’instar de la convention 108+ du Conseil de l’Europe, version modernisée de la convention 108, venue proclamer l’importance de droits humains face aux développements technologiques. Les efforts visant à récolter plus de ratifications d’un texte désuet devraient être dirigés vers un travail de fond qui viendrait rectifier les lacunes et les anachronismes de la convention. Un protocole spécifique à la protection des données personnelles, intégrant la question des flux transfrontaliers, de la protection des droits humains en matière d’intelligence artificielle et de surveillance, ou encore la mise en place d’une autorité centrale de contrôle, serait utile.
Pour y parvenir, le législateur africain aurait tout à gagner de mettre à profit l’expérience de certaines autorités nationales de protection des données. La dynamique positive de l’entrée en vigueur récente de la convention offre une opportunité immanquable de sensibilisation des Etats, organismes et citoyens africains à la protection des données personnelles, grâce à l’expertise de certaines associations à but non lucratif telles que Africa Data Protection.
Par Winnie Franck DONGBOU, Juriste en protection des données à caractère personnel
et Wissem SEMMAR-BELGHAZI, Responsable conformité.