Articles

Revue bimestrielle sur la protection des données personnelles en Afrique (Mars-Avril 2025)

TH ADMIN
Tuesday, May 27, 2025

Introduction

Le paysage de la protection des données et de la gouvernance de l'IA a connu quelques progrès au cours des deux derniers mois.  Des avancées ont été enregistrées notamment avec la révision d’une loi et d’un règlement d’application en matière de protection des données, la création officielle de nouvelle autorité et des actions de mise en conformité. En matière de gouvernance de l'IA, plusieurs pays ont poursuivi leurs efforts en lançant leur stratégie nationale, en examinant des projets de réglementation spécifique à l’IA ou encore en menant des évaluations de leur niveau de préparation à l’IA.

Actualités réglementaires

● Le 17 mars 2025, l'Angola a publié un projet de révision de sa loi sur la protection des données personnelles, qui vise à moderniser le cadre juridique existant. La révision proposée introduit de nouvelles obligations pour les responsables de traitement des données et aux sous-traitants, comme l'obligation d’obtenir le consentement parental pour le traitement des données des enfants, une période de notification de 72 heures en cas de violation des données, ainsi qu’un encadrement du traitement des données à caractère personnel dans le cadre de l’utilisation de systèmes d’IA. Le projet prévoit également de nouveaux droits, tels que le droit à la portabilité des données et le droit à la limitation du traitement.

● En Afrique du Sud, le Régulateur de l’’Information (IR) a publié au journal officiel l’amendement au Règlement relatif à la protection des informations personnelles de 2018, le rendant officiellement applicable. Cet amendement vise à clarifier certaines dispositions du règlement et à faciliter sa mise en œuvre. Il permet l'exercice du droit d'opposition, d'effacement et de rectification, en précisant un délai de 30 jours pour le traitement de ces demandes. Il rend obligatoire le consentement préalable pour les actions de marketing direct par communications électroniques non sollicitées, précise la procédure de traitement des plaintes et autorise le paiement des amendes administratives par versements échelonnés.

● De nouvelles autorités de protection des données (APD) ont été officiellement mises en place. Le 28 mars 2025, le Togo a officiellement lancé l’Instance de Protection des Données à Caractère Personnel (IPDCP) en tant qu'autorité de protection des données. De même, la République du Congo a publié au journal officiel la loi portant création de la Commission nationale de protection des données personnelles (CNPD). La loi décrit les missions de la CNDP, sa composition, ses pouvoirs et son fonctionnement.

● La Commission nigériane de protection des données (NDPC) a publié la directive générale d'application et de mise en œuvre de la loi nigériane sur la protection des données (NDP Act-GAID), qui fournit des orientations sur l’application de cette loi. La GAID abroge le Règlement nigérian sur la protection des données (NDPR) et son cadre d’application. Parallèlement, un projet  de loi visant à modifier la loi nigériane sur la protection des données (NDPA) afin d'obliger les plateformes de médias sociaux à établir des bureaux physiques au Nigeria est passée en deuxième lecture au Sénat et a été renvoyée à la commission sénatoriale sur les TIC et la cybersécurité pour un examen plus approfondi.

● Du 23 au 24 avril 2025, le Cap-Vert a organisé une conférence internationale sur l’élaboration de sa première stratégie nationale en matière de données. Cette stratégie vise à établir un cadre permettant de tirer parti des données pour renforcer l’économie, favoriser l’inclusion et garantir une utilisation éthique des données dans le développement de l’IA. Le gouvernement a également annoncé son intention de mettre en place un écosystème de données ouvert et sécurisé, favorisant une gouvernance des données inclusive et intégrant les nouvelles initiatives technologiques, y compris l’IA.

● La Tanzanie a entamé des discussions sur un projet de règlement relatif aux frais liés à la protection des données personnelles.  Ce texte définit la grille tarifaire applicable aux services rendus par la Commission de protection des données à caractère personnel dans le cadre de la loi nationale.

● Le 5 mars 2025, le régulateur de l'information (IR) a organisé une session de concertation avec les parties prenantes pour présenter son Plan de performance annuel 2025-2026. À cette occasion, il a annoncé des actions de sensibilisation, de contrôles de conformité, ainsi que la publication de codes de conduite et de lignes directrices pour renforcer l’application de la loi POPIA.  L'IR a également publié une circulaire demandant à toutes les organisations de notifier toutes les violations de données par le biais de son portail ou son site web, et non plus par e-mail, à compter du 1er avril 2025.

● Au Maroc, la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) a publié une circulaire annonçant son intention d’ouvrir une concertation avec les parties prenantes sur les garanties à mettre en place en matière de protection de la vie privée dans le cadre de la vidéosurveillance. Les conclusions de cette concertation orienteront l’élaboration d’un cadre garantissant à la fois le respect du droit à la vie privée, la poursuite de l’intérêt public légitime et la conformité à la législation en vigueur.

● Plusieurs autorités ont annoncé le lancement de l’enregistrement des responsables de traitement et sous-traitants. En Zambie, le nouveau Bureau du Commissaire à la protection des données (ODPC), désormais opérationnel, a lancé la procédure d’enregistrement et publié les conditions générales et les lignes directrices y afférentes. L’autorité mauricienne a également invité tous les responsables de traitement à procéder à leur enregistrement, conformément à la loi nationale, et a publié un avis sur la procédure. De même, l’autorité malawite a informé les responsables de traitement et sous-traitants d’importance significative (DCPSI) qu’ils disposaient d’un délai de six mois pour s’enregistrer auprès de l’autorité.

Contrôles, sanctions et mises en demeure :

● Au Kenya, le bureau du commissaire à la protection des données (ODPC) a poursuivi ses mesures d'application. Il a infligé une amende à une entreprise pour avoir utilisé l’image d’une personne concernée et celle de son parent à des fins commerciales sans avoir obtenu leur consentement. Une autre entreprise a été sanctionnée pour ne pas avoir donné suite à une demande d’effacement de données. L’ODPC a également sanctionné un prêteur numérique pour l’envoi de messages non sollicités à une personne concernée, dans le cadre d’un processus de recouvrement de créance, sans consentement préalable. Par ailleurs, une société a été condamnée pour avoir utilisé les images d’une personne concernée sans autorisation.

● Au Nigeria, la Haute Cour a rejeté la plainte d’une personne concernée qui reprochait à deux entreprises de ne pas avoir respecté le principe de minimisation des données et d’avoir traité ses données personnelles sans son consentement. La Cour a estimé que les données collectées étaient nécessaires à la réalisation des transactions de la personne concernée. Par ailleurs, lors d’une conférence de presse, le Commissaire national de la NDPC a annoncé l’ouverture d’une enquête visant deux entreprises multinationales soupçonnées de violations en matière de protection de la vie privée.

● En Ouganda, le directeur d’une plateforme de prêt numérique a été incarcéré en raison du non-enregistrement de l’entreprise auprès de l’Autorité de protection des données personnelles et pour avoir traité les données d’une personne concernée sans son consentement.

Gouvernance de l'IA

● Du 3 au 4 avril 2025, les pays africains ont participé au premier Sommet mondial sur l’IA en Afrique, à Kigali (Rwanda). Lors de ce sommet, les représentants africains ont adopté la déclaration africaine sur l’IA, qui vise à tirer parti de l’IA pour stimuler l’innovation et favoriser un déploiement durable et responsable des technologies d’IA sur le continent. Par ailleurs, Smart Africa a tenu la 20e réunion de son Comité directeur et a lancé le Conseil africain sur l’IA.

● Le 27 mars 2025, le Kenya a officiellement lancé sa stratégie nationale en matière d’IA, qui vise à établir un cadre pour l’utilisation et l’adoption de l’IA dans le pays. De même, la Côte d’Ivoire a dévoilé sa Stratégie nationale en matière d’IA et de gouvernance des données. Cette stratégie prévoit la création d’un Comité national pour l’IA et la gouvernance des données, la mise en place d’un pôle IA avec un incubateur de start-up et la labellisation « IA responsable » afin d’assurer un développement éthique de l’IA. Elle vise également à sécuriser et optimiser l’utilisation des données.

● Au Nigeria, la Commission nationale des droits de l’homme (NHRC) a annoncé son intention d’engager un dialogue avec les entreprises technologiques afin de prévenir les atteintes aux droits humains lors de l’utilisation de systèmes d’IA. Cela montre que les autorités existantes peuvent contribuer à encadrer les risques liés à l’IA dans le cadre de leurs mandats actuels, réduisant ainsi le besoin de régulateurs spécifiques à l'IA.

● En avril, le ministère de la Communication, des Technologies numériques et de l’Innovation du Ghana a organisé des consultations sur la stratégie nationale en matière d’IA. Cela fait suite à l’annonce précédente du ministre des TIC concernant la révision prochaine de la stratégie nationale existante. De même, en Afrique du Sud, le ministère des Communications et des Technologies numériques (DCDT) a annoncé le lancement d’une phase de révision des contributions publiques reçues dans le cadre de la stratégie nationale sur l’IA.

● La Commission africaine des droits de l’homme et des peuples (CADHP) de l’Union africaine (UA) a ouvert à consultation publique le projet d’étude sur les droits humains et l’IA, la robotique et les autres technologies émergentes en Afrique. Cette étude vise à évaluer leur impact sur les droits fondamentaux en Afrique.

● Du 3 au 4 avril 2025, le ministère namibien de l’Éducation, de l’Innovation, de la Jeunesse, des Sports, des Arts et de la Culture (MEIYSAC), en partenariat avec la Commission nationale pour l’UNESCO et la Commission nationale pour la recherche, la science et la technologie, a organisé un atelier de validation de l’évaluation de l’état de préparation à l’IA. De même, le ministère zimbabwéen des TIC, en partenariat avec le bureau régional de l'UNESCO pour l'Afrique australe, a organisé un atelier similaire afin de finaliser son propre rapport.

● Lors du Mobile World Congress, le Secrétaire permanent du ministère ougandais des TIC a annoncé que le gouvernement poursuivait ses consultations sur la gouvernance de l’IA. Un cadre de gouvernance est attendu d’ici la fin de l’année 2025.

Partenariats

● En mars et avril 2025, l’ODPC du Kenya a organisé un programme d’échange de connaissances sur la protection des données avec l’Autorité belge de protection des données, avec le soutien de l’Union européenne et de la coopération allemande (GIZ). Ce programme a permis aux deux autorités de partager leurs expériences, de comparer les bonnes pratiques et d’échanger sur les tendances actuelles en matière de mise en œuvre et d’application des lois sur la protection des données.

● Le 23 avril 2025, le Rwanda a signé un protocole d’accord trilatéral avec les Centres pour la quatrième révolution industrielle (C4IR) des Émirats arabes unis et de la Malaisie pour collaborer sur les questions liées à l’IA. Ce partenariat vise à promouvoir le développement de cadres de gouvernance, la montée en compétence et l’innovation technologique sur la base de méthodologies éthiques, inclusives et durables.

● Le 16 avril 2025, des représentants de Smart Africa ont rendu une visite de courtoisie à la Commission de protection des données du Ghana. Cette rencontre visait à renforcer la coopération existante et à envisager des partenariats en matière de révision de la loi nationale, d’exercice du droit à la portabilité des données et de renforcement des capacités.

Conclusion

Dans les mois à venir, des avancées sont attendues concernant les délibérations sur les stratégies nationales d’IA au Ghana et en Tanzanie, l’évolution du cadre politique en Afrique du Sud, ainsi que le lancement officiel de la stratégie nigériane en matière d’IA. L’Angola devrait également finaliser la révision de sa loi sur la protection des données, tandis que la Gambie progressera vers l’adoption de sa propre législation en la matière.

Restez informés sur la gouvernance de l'IA et la protection des données en Afrique. Nous reviendrons bientôt avec votre prochaine mise à jour!

Who we are
About us
Privacy Notice
Contact
Services
Privacy and Data Protection
Startup Advisory
Cybersecurity
Regulatory Intelligence
Research and Public Policy
Resources
Insights
Reports
Training
Tech Hive Advisory Africa

We are a technology policy advisory and research firm focusing on the intersection of law, business, and technology.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Copyright ©2025 Tech Hive Advisory Africa