La Data Protection Office (DPO), l’autorité mauricienne de protection des données est l’une des premières sur le continent africain . Créée en 2009 et renforcée par la Data protection act de 2017, elle a plusieurs missions et l’obligation de présenter un rapport annuel au parlement . Riche de 44 pages, son dernier rapport, le 14ème depuis sa création en 2009, couvre l’ensemble de ses activités au cours de l’année écoulée, allant des aspects basiques relatifs au budget de l’autorité et à ses ressources humaines à l’instruction des plaintes et la coopération internationale, sans oublier ses activités prolifiques de sensibilisation.
Les points saillants des activités de la DPO en 2022
La mise en place d’une plateforme dématérialisée pour les responsables de traitement et le public : En 2022, la DPO a finalisé et mis à disposition des responsables de traitement et du public une plateforme baptisée e-DPO. Cet outil permet aux usagers de porter plainte en ligne, de notifier les violations de données, d’accéder au registre des responsables de traitement ou des sous-traitants, d’obtenir des certificats d’enregistrement etc. Il est opérationnel depuis le 7 décembre 2022.
Instruction des plaintes, avis consultatif et violation des données : La DPO a reçu 71 nouvelles plaintes en 2022. Ces plaintes portaient essentiellement sur des usages non-autorisés de la vidéosurveillance (66 cas au total, soit 93% des plaintes), des obstacles au droit d’accès et des traitements illégaux de données. Elle en a traité 36 dont 5 à l’amiable. Elle a également reçu 167 requêtes en interprétation de la loi sur la protection des données et 57 notifications de violations des données personnelles. Sur les violations de données, il est intéressant de noter que la plupart proviennent d’erreurs humaines (envoi de données par mail à un mauvais destinataire) et de divulgations illégales. Seules 6% des violations proviennent réellement de cyberattaques (rançongiciel et hameçonnage compris).
La sensibilisation : La DPO a fait une importante activité de sensibilisation en 2022. Celle-ci passe par des communiqués de presse, des campagnes de sensibilisation vidéo à l’attention des jeunes, la formation des officiers de police, la distribution de CD (en tout 3016 ont été remis à des responsables de traitements pour les aider dans leur mise en conformité), la participation à des activités liées aux données personnelles dans les entreprises, et enfin des interventions dans des universités (The Centre for Human Rights, University of Pretoria).
La coopération internationale : La DPO a été très active sur le plan international. Membre de plusieurs réseaux de protection des données personnelles ou de la vie privée plus généralement, elle a participé à des conférences et sommets organisés sur des thématiques l’intéressant. La participation à ces activités internationales a été une opportunité pour la DPO d’échanger avec ses pairs, de partager de bonnes pratiques et de contribuer à l’évolution du droit. Au niveau régional, elle a ainsi travaillé pour la révision de la loi type de la Communauté de développement de l’Afrique australe (SADC) sur la protection des données. Au niveau international, la DPO a contribué aux réponses de Maurice aux questions du rapporteur spécial des Nations-Unies sur le droit à la vie privée. Il est important de préciser que le rôle du rapporteur spécial est de promouvoir et protéger la vie en examinant, entre autres moyens, les politiques et les lois nationales sur l’interception des communications numériques et la collecte des données personnelles. Dans le dernier rapport de la Rapporteuse spéciale Ana Brian Nougrères, Maurice est ainsi cité parmi les 18 Etats contributeurs . Les travaux entrepris avec la Commission européenne pour une décision d’adéquation de Maurice au RGPD restent cependant l’activité la plus intéressante à bien des égards.
Haro sur le processus de demande d’adéquation avec la Commission européenne
La DPO a établi un rapport pour faciliter l’évaluation de l’adéquation de Maurice au RGPD par la Commission européenne. L’objectif du rapport est de fournir une vue d’ensemble fidèle du système mauricien afin que la Commission européenne puisse procéder à une évaluation objective. L’adéquation est l’une des conditions pour le transfert des données personnelles de l’Union européenne vers un Etat tiers. Conformément au RGPD, les données ne peuvent être transférées hors UE qu’à trois conditions non cumulatives :
- soit le transfert intervient sur la base d’une décision d’adéquation accordée par l’UE (article 45 du RGPD) ;
- soit le transfert intervient sur la base de garanties appropriées telles que les clauses contractuelles (article 46 du RGPD) ou les règles d’entreprise contraignantes (article 47 du RGPD) etc;
- soit le transfert intervient à titre dérogatoire pour des situations particulières (article 49 du RGPD).
Le feuilleton des décisions d’adéquation pour les transferts vers les Etats-Unis met l’accent sur la complexité de ce régime juridique . Au moment où ces lignes sont écrites, seuls 15 Etats sont considérés par la Commission européenne comme adéquats. Si l’Île Maurice est admise comme Etat adéquat, elle serait le premier Etat africain à accéder à ce statut, et elle possède les arguments pour. Ce petit Etat de l’Afrique australe fait partie des rares Etats africains à avoir signé la convention de Budapest sur la cybercriminalité, actuel et unique instrument international contraignant sur les questions de cybercriminalité et de protection des données. Depuis plusieurs années, elle est classée comme le 1er Etat africain en matière de cybersécurité et occupe le 17ème rang mondial dans le dernier rapport Global Cybersecurity Index . Elle dispose d’une loi sur la protection des données personnelles, une autorité proactive sur la question et des voies de recours juridictionnels effectives.
En Afrique, l’Ile Maurice se positionne comme un modèle en matière de protection des données personnelles et son admission comme Etat adéquat serait une belle récompense pour les efforts déployés. Ce ne serait que justice !
Par Justin Yao KOUMAKO, Doctorant/Délégué à la protection des données.