Le Nigeria, comme beaucoup de pays africains, s’est saisi des enjeux importants liés à la gouvernance de la donnée. Dans la mise en œuvre de sa stratégie visant à sécuriser son espace numérique et asseoir sa souveraineté digitale sur les 213,4 millions de nigérians, la Loi nigériane sur la protection des données de 2023 (Nigeria Data Protection Act, 2023) est entrée en vigueur le 12 juin 2023. Le texte garantit un cadre juridique formel pour la protection des données et informations personnelles des citoyens, et la pratique de la protection des données dans le pays.
La nouvelle loi établit la Commission nigériane de protection des données (NDPC) qui vient remplacer le Bureau nigérian de protection des données (NDPB). Cette nouvelle entité a pour mission, entre autres, de réglementer et promouvoir le déploiement de mesures technologiques et organisationnelles pour améliorer la protection des données personnelles ; imposer des sanctions pour toute violation des dispositions de la loi ou de la législation subsidiaire qui en découlent ; accréditer, agréer et enregistrer des personnes aptes à fournir des services de conformité en matière de protection des données.
Dans le cadre des directives d’application de cette loi, la commission a émis une notice d’information à destination des responsables de traitement et des sous-traitants pour leur rappeler l’échéance imminente de certaines obligations de conformité.
L’obligation de mettre en place un rapport annuel de conformité
Conformément au Nigeria Data Protection Act (NDP Act) et son texte d’application (General Application and Implementation Directive (GAID)), les responsables de traitement ainsi que les sous-traitants sont soumis à l’obligation de remplir et déposer auprès de l’autorité un rapport annuel d’audit de conformité en matière de protection des données (data protection compliance audit returns (CAR)). Ce rapport est la matérialisation du principe d’accountability, principe fondamental de la loi garantissant une démarche de conformité effective de la part des organismes concernés dans le secteur public comme privé.
Lorsqu’un responsable de traitement atteint le seuil légal de traitement de données de mille (1 000) personnes concernées dans un délai de six (6) mois et deux mille (2 000) personnes concernées dans un délai de douze (12) mois, il est tenu de déposer son rapport d’audit auprès de la commission, conformément à l’article 4.1, paragraphes 6 et 7 de la loi Nigériane. Le délai de dépôt dudit rapport est fixé au 15 Mars 2024 . Le processus de dépôt est facilité par des organismes agréés de conformité à la protection des données (DPCO). Ces organismes sont enregistrés sur une liste tenue par la commission et œuvrent pour leurs clients afin de les accompagner dans leur processus de mise en conformité.
Autres points de vigilance
Formation initiale des délégués à la protection des données (DPO)
Tous les délégués à la protection des données désignés doivent participer à une formation d’initiation qui sera organisée par la Commission en janvier 2024. Cette formation abordera spécifiquement les droits des personnes concernées, ainsi que les diverses obligations de conformité pertinentes pour les responsables de traitement et les sous-traitants, en vertu de la loi et de son décret d’application.
La formation prévue est gratuite et concerne spécifiquement les DPO désignés. Le format n’étant pas précisé, la commission se garde le droit de préciser ces modalités ultérieurement.
La liste blanche de la commission
La commission tient une liste blanche sur laquelle les responsables de traitement et les sous-traitants ayant démontré leur conformité seront inscrits, après réception des audits annuels de conformité.
La liste blanche est un outil de responsabilisation, car elle contient des informations fonctionnelles des responsables du traitement et des sous-traitants. C’est une présomption réfutable qu’un responsable du traitement, ou un sous-traitant figurant sur la liste, s’engage à prendre des mesures techniques et organisationnelles adéquates pour sauvegarder les droits des personnes concernées.
La présence d’un organisme sur cette liste n’emporte donc aucun engagement, certification ou labélisation quelconque de la part de la commission. C’est à l’organisme inscrit que revient l’obligation de mettre en œuvre des mesures de sécurité adéquate, les maintenir et en assurer l’amélioration continue.
Les sanctions de non-conformité
La notice de la commission prévoit également un ensemble de sanctions spécifiques en cas de non-respect des obligations mentionnées, notamment le dépôt du CAR, sur le fondement de la loi nationale de protection des données NDP Act. Les sanctions prévues sont de deux catégories : financières et procédurales ou réputationnelles. Le responsable de traitement ou le sous-traitant devra ainsi :
• Remédier à la violation ;
• Verser une indemnisation à la personne concernée qui a subi un préjudice, une perte ou un préjudice à la suite d’une violation ;
• Rendre compte des bénéfices réalisés grâce à la violation ;
• Payer une pénalité ou des frais de réparation.
Les responsables de traitement et les sous-traitants doivent donc impérativement tenir compte de ces exigences afin de se mettre en conformité et protéger efficacement les données à caractère personnel des citoyens nigérians.
Par Patrick NGUETCHOUESSI, Doctorant en droit de l’IA – DPO.