[Africa Diligence] Certes, l’Afrique s’est, une nouvelle fois, laissée imposer l’agenda international, mais la protection des données personnelles n’est pas moins sensible sur le continent. Cet article souligne les enjeux en Afrique du Sud, considérée comme étant à la pointe, au sud du Sahara, sur cette question.
Le 28 janvier 2019, la république sud-africaine a célébré la Journée de la confidentialité des données. Objectif : sensibiliser aux questions de confidentialité en ligne et à l’importance de la protection des données des citoyens. La quatrième révolution industrielle tant attendue en Afrique est, en effet, fondée sur l’exploitation des données.
L’une des raisons pour lesquelles tant de sociétés publiques et privées maintiennent le flou sur la question données personnelles en Afrique du Sud, au-delà de ce qui est nécessaire ou approprié, est que le très attendu Régulateur de l’information et de la protection de la vie privée ne semble pas encore totalement opérationnel. Par conséquent, sa loi fondatrice (Loi sur la protection des renseignements personnels), n’est pas pleinement en vigueur. Ce sont des problèmes urgents qu’il faut résoudre.
Mais il est tout aussi urgent de mener une vaste campagne d’éducation du public sur les droits des personnes en matière de données. Une action similaire à celle contre le projet de loi sur la protection des informations de l’État, qui a transformé la liberté d’information issue d’une question mystérieuse et élitiste en une question populaire.
La surveillance gouvernementale des médias sociaux est certes courante. Mais devinez qui vend les données personnelles…
En Afrique du Sud, comme sur l’ensemble du continent, beaucoup de gens ignorent même qu’ils génèrent des données, a fortiori quels sont leurs droits vis-à-vis de ces données. Ces droits et principes sont les suivants :
Le principe de limitation de la collecte : vous avez le droit d’insister pour que les responsables du traitement des données (ou les personnes ayant le contrôle de vos données à caractère personnel) limitent cette collecte à la loi et à votre consentement.
Le principe de qualité des données : vous avez le droit de demander que le traitement de vos données soit aussi complètes et à jour que possible, et serve l’objectif pour lequel elles ont été collectées.
Le principe de spécification de la finalité : vous avez le droit d’insister sur le fait que, lorsque les données sont collectées, les responsables du traitement en indiquent la finalité et se limitent à cette fin.
Le principe de limitation de l’utilisation : vous avez le droit d’insister pour que les données ne soient pas collectées, ou qu’une fois collectées, ne soient pas utilisées à des fins pour lesquelles elles ne sont pas destinées sans votre consentement.
Le principe des garanties de sécurité : vous avez le droit de demander que les responsables du traitement des données protègent vos informations personnelles en utilisant des garanties raisonnables contre la perte, la divulgation, la modification ou la destruction.
Le principe de transparence : vous avez le droit d’insister pour que les responsables du traitement des données soient ouverts sur les politiques et les pratiques qui ont une incidence sur les données personnelles.
Le principe de participation individuelle : vous avez le droit de savoir si des données vous concernant sont conservées dans un délai raisonnable, à un coût abordable, dans un format intelligible ; et tout éventuel refus doit être motivé.
Le principe de redevabilité : le responsable du traitement doit être responsable du respect de ces principes.
Face à ces droits encore largement ignorés, les institutions sud-africaines, publiques et privées sont scandaleusement hors la loi. Lorsqu’elles insistent pour que les personnes communiquent leurs informations personnelles, celles-ci doivent savoir qu’elles peuvent se demander pourquoi leurs informations sont collectées, comment elles vont être stockées et utilisées, qui va y accéder et à quelles fins, et quand est-ce que ça va être détruit. Cela fait partie de l’exercice de la souveraineté sur les données ou du contrôle des données que vous générez. La culture de la transmission d’informations doit sans aucun doute changer. Cela impliquera un grand changement de conscience à la fois pour les citoyens ordinaires et pour les contrôleurs de données.
La police sud-africaine et l’agence de sécurité de l’État pourraient bien affirmer que ces règles ne s’appliquent pas à eux…
Les personnes qui se soucient de leur vie privée devraient prendre le devant de la scène et façonner le programme de l’organisme de réglementation de l’information, de la protection des renseignements personnels. Il y aura probablement des luttes importantes autour des exceptions aux règles de protection des données. La police sud-africaine et l’agence de sécurité de l’État pourraient bien affirmer que ces règles ne s’appliquent pas à eux, alors qu’on en mesure l’importance sur le terrain de la veille concurrentielle et de l’intelligence économique comme le démontre le CAVIE.
La police et les services de renseignement du monde entier tentent de s’exclure des règles de protection des données avec plus ou moins de succès. Ceci en dépit du fait que ces agences risquent de violer la vie privée au-delà de ce qui est nécessaire pour lutter contre la criminalité ou protéger la sécurité nationale, ce qui conduit à des abus.
La rédaction (Avec Jane Duncan, professeur de journalisme à l’Université de Johannesburg)