Chaque année, les grandes conférences panafricaines sur la protection des données à caractère personnel et la gouvernance numérique réitèrent la même promesse : harmoniser les cadres juridiques africains en matière de protection des données. Pourtant, sur le terrain, les avancées concrètes peinent à suivre ces engagements répétés. Alors que de nombreux pays du continent adoptent, à un rythme soutenu des législations nationales, l’harmonisation régionale demeure inachevée. Ne serait-il pas temps de dépasser ces déclarations d’intention pour engager enfin de véritables actions de coordination stratégique à l’échelle du continent ?
Une prise de conscience réelle, mais fragmentée
Adoptée en 2014, la Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel (dite Convention de Malabo) visait à établir un cadre juridique continental harmonisé, adapté aux réalités juridiques, culturelles, économiques et sociales du continent africain. Pourtant, plus d’une décennie plus tard, seuls 16 États l’ont ratifiée. Nombre de pays continuent d’ignorer cet instrument continental, préférant se concentrer sur leurs législations nationales.
Les organisations sous-régionales, telles que la CEDEAO (Communauté économique des États de l’Afrique de l’Ouest) ou la SADC (Southern African Development Community), ont tenté d’harmoniser les législations et les pratiques de leurs États membres en promouvant des principes directeurs à transposer et en encourageant la mise en place d’autorités de protection des données. Toutefois, ces initiatives se heurtent souvent à un double obstacle : l’insuffisance des moyens pour assurer leur mise en œuvre et leur suivi et les réticences de certains États membres. À titre d’illustration, dans l’espace de la CEDEAO, la Gambie, la Sierra Léone, le Libéria et la Guinée Bissau n’ont toujours pas transposé les normes régionales. Le Nigéria, quant à lui, ne l’a fait que récemment, en 2019 puis surtout en 2023. Résultat : un cadre juridique fragmenté qui freine la coopération transfrontalière, entrave la libre circulation des données et mine la confiance des citoyens dans l’économie numérique. Pourquoi l’harmonisation stagne-t-elle ?
Plusieurs facteurs expliquent le retard dans la construction d’un cadre juridique harmonisé à l’échelle continentale :
- Manque de volonté politique : La protection des données à caractère personnel est encore trop souvent perçue comme un luxe ou une contrainte bureaucratique, plutôt que comme un droit fondamental ou un levier stratégique de développement. Les priorités économiques et sécuritaires prennent le pas sur la protection des données et les libertés individuelles.
- Déficit des capacités techniques et financières : Beaucoup de pays manquent de ressources pour mettre en œuvre les lois existantes ou participer à des projets régionaux ambitieux.
- Absence de leadership continental clair : Ni l’Union africaine ni les organisations sous-régionales n’ont, jusqu’à présent, su imposer une vision partagée ni définir un plan d’action engageant l’ensemble des États-membres.
- Mauvaise appréhension des enjeux collectifs : La protection des données est trop souvent pensée dans une logique strictement nationale. Or, elle touche à des questions transversales : souveraineté numérique, libertés collectives, compétitivité économiques et valeurs culturelles communes. En l’absence de coordination, les initiatives isolées restent inefficaces face aux stratégies globales menées par des entreprises. Une réponse fragmentée expose chaque État à l’évitement des acteurs économiques ; seule une stratégie unifiée des États africains permettrait de bâtir une position forte et cohérente à l’échelle continentale.
De la parole à l’action : quelles pistes concrètes pour une véritable harmonisation ?
Face à cette stagnation, il est urgent de passer d’une logique de déclaration d’intention à une stratégie de coordination opérationnelle. Voici quelques propositions :
- Création d’un organe africain de coordination dédié à la protection des données à caractère personnel doté de pouvoirs de conseil, de suivi et de formulation de recommandations harmonisées à l’échelle continentale.
- Lancement de programmes conjoints de renforcement des capacités, avec financement mutualisé, afin de former des délégués à la protection des données (DPO) et soutenir les autorités de contrôle encore en phase de structuration.
- Développement de projets pilotes de coopération régionale, notamment sur les transferts transfrontaliers de données ou la gestion coordonnée des violations majeures de données.
- Conditionner certains financements de projets numériques panafricains (financés par la Banque africaine de développement ou d’autres bailleurs) au respect des normes communes minimales de protection des données.
- Impliquer plus étroitement la société civile et le secteur privé, dont le dynamisme et l’expertise contribuent déjà de manière significative aux réflexions et aux actions concrètes sur le terrain.
L’Afrique ne peut plus se permettre d’attendre. L’harmonisation des cadres de la protection des données à caractère personnel ne doit pas être un simple souhait. Elle est une condition indispensable à l’émergence d’un marché numérique intégré, compétitif et respectueux des droits fondamentaux. Le moment est venu de transformer les discours en actions concrètes.