Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

i CODE DE BONNES PRATIQUES DE PROTECTION DES DONNEES PERSONNELLES A L’INTENTION

i CODE DE BONNES PRATIQUES DE PROTECTION DES DONNEES PERSONNELLES A L’INTENTION DES SYSTEMES D’IDENTITE NUMERIQUE EN AFRIQUE ii Copyright © 2019 by Africa Digital Rights Hub All rights reserved. No part of this book may be reproduced, stored in a retrieval system, or transmitted in any form by any means electronic, mechanical, recording, photocopying or otherwise without the prior written permission of the author. This book may not be lent, sold or hired out or otherwise by way of trade or whichever way in any form or language or binding or cover without the prior written permission of the author. ISBN: 978 - 9988 - 54 - 743 - 1 For more information, copies, comments and suggestions contact: ADRH on + 233 (0) 302 909 482 Designed & Printed by G-Pak limited + 233 (0) 205 000 565 iii 1. REMERCIEMENTS vii 2. PROTECTION DES DONNEES/ DE LA VIE PRIVEE EN AFRIQUE 1 3. PREFACE IDENTITE NUMERIQUE 4 4. PROBLEMATIQUES SUR LE CONTINENT AFRICAIN 7 PAYSAGE LEGISLATIF 7 CRISE D’IDENTITE 7 LA PARTICIPATION A « L’INDUSTRIE DU FUTUR » 8 NUL NE SOUHAITE RESTER A L’ECART 9 TOUT LE MONDE NE PART PAS DU MEME PIED 9 LEGISLATION ACTUELLE RELATIVE A LA PROTECTION DES DONNEES EN AFRIQUE 10 LES MECANISMES/REGIMES D’IDENTITE AUJOURD’HUI 10 5. SYSTEMES D‘IDENTITE 12 PARTIES PRENANTES 12 LES INDIVIDUS 12 LES GOUVERNEMENTS 12 LE SECTEUR PRIVE 13 ORGANISATIONS INTERNATIONALES ET ONG 13 PARTENAIRES AU DEVELOPPEMENT 14 ETUDE DU CYCLE DES SYSTEMES D’IDENTITE 14 TABLE DES MATIÈRES iv 6. POLEMIQUE RELATIVE AUX SYSTEMES D’IDENTITE NUMERIQUE 17 TYPES DE FOURNISSEURS DE SYSTEMES D’IDENTITE ELECTRONIQUE 17 TYPES DE SYSTEMES D’IDENTITE 17 IMPORTANCE & DANGERS RELATIFS AUX SYSTEMES D’IDENTITE NUMERIQUE 17 INJUSTICE 17 COUTS ELEVES 18 INVASIF ET NON SÉCURISÉS 18 INCLUSION CONTRE EXCLUSION 19 7. LA RESPONSABILITE ORGANISATIONNELLE 20 GESTION DE LA PROTECTION DES DONNEES 20 EXPERTISE EN MATIERE DE PROTECTION DES DONNEES PERSONNELLES 21 PROTECTION DES DONNEES DES LA CONCEPTION 23 LA PROTECTION DES DONNEES PAR DEFAUT 23 L’ANALYSE D’IMPACT SUR LA VIE PRIVEE 24 REGISTRE DES ACTIVITES DE TRAITEMENT 25 AUTORITE DE CONTROLE ET CONSULTATION 28 NOTIFICATION DE VIOLATION 29 GESTION DES PARTIES TIERS 29 CODES DE CONDUITE ET CERTIFICATION 30 QUANTIFIER, SURVEILLER, AUDITER ET AMELIORER 31 8. PRINCIPES DE PROTECTION DES DONNEES 32 BASE LEGALE LEGITIME 33 CATEGORIE PARTICULIERE DE DONNEES PERSONNELLES 34 REGIME OBLIGATOIRE OU FACULTATIF 34 v LIMITATION DES FINALITES 37 FINALITE PRINCIPALE DU TRAITEMENT 38 FINALITE ULTERIEURE DU TRAITEMENT 38 NOUVELLES FINALITES 38 UTILISATION DE TIERS PARTIE / CONNECTIONS 39 LIMITATION DE LA COLLECTE 40 ANONYMISATION 41 PSEUDO-ANONYMISATION 41 MINIMISATION A TRAVES LE CYCLE DE VIE 41 CONCEPTION DES SYSTEMES 42 ADN/DONNEES BIOMETRIQUES 42 TRAITEMENT LOYAL, CHARTES DE CONFIDENTIALITE ET TRANSPARENCE 43 CHARTES DE CONFIDENTIALITES 44 MISE A JOUR DES CHARTES 45 QUALITE DE DONNEES 46 LA CONCEPTION 46 VERIFICATION 46 CHANGEMENTS 46 LIMITATION ET DUREE DE CONSERVATION ET SUPPRESSION 47 DROITS DES INDIVIDUS 48 DROIT A L’ACCES 49 DROIT A EFFACEMENT 49 DROIT A LA RECTIFICATION 49 DROIT A L’OPPOSITION 50 DROIT A LA LIMITATION DU TRAITEMENT 50 DROIT A LA PORTABILITE 50 DECISION FONDEE SUR UN TRAITEMENT AUTOMATIQUE 50 DROIT D’INTRODUIRE UNE RECLAMATION/ DROIT AU RECOURS 51 DROIT AUPRES DE L’AUTORITE DE CONTROLE 51 TRANSFER DE DONNEES INTERNATIONAL 52 vi SECURITE 53 GESTION DES RISQUES 54 MESURES DE CONTROLE 54 NOTIFICATION D’UNE VIOLATION DES DONNEES 55 LA GESTION DES FOURNISSEURS 56 L’ACCES AUX DONNEES 57 9. ASPECTS SUPPLEMENTAIRE A PRENDRE EN CONSIDERATION 59 Changement De Nom Martial Dans Les Deux Sens 59 Marquage De Metadonnees 59 Normes Culturelles 59 Resilience Numerique 60 Fonctionnalite De Recherche 60 Orthographe De Patronymes, Langages Parles Et Identite 61 INDEX OF WORDS 62 APPENDIX – RESEARCH LIST 65 APPENDIX A - LES LIGNES DIRECTRICES DE GARANTIE D’IDENTITE 67 APPENDIX B – LES LOIS DE PROTECTION DES DONNEES A TRAVERS L’AFRIQUE 83 vii Durant la première conférence africaine de la protection des données, qui a eu lieu le 20 novembre 2018 à Balaclava, Île Maurice, les multiples parties prenantes du groupe de réflexion, (composés d’autorités de protection de données, d’intervenants de systèmes d’identification, acteurs du marché, et organismes donateurs) préconisent, entre autre, après étude des ouvrages suivants: « L’agenda de transformation numérique nationale et de protection des données à caractère personnels » « Data Protection and the National Digital Transformation Agenda »; ainsi que « Plaidoyer en faveur de l’identité personnelle et son application » « The Case of Personal Identity and Addressing » le besoin de créer un code de bonnes pratiques à l’intention des systèmes d’identité électronique en Afrique. Le groupe de réflexion a reconnu l’importance croissante d’une identification numérique pour l‘économie numérique africaine et a pris connaissance des risques associés relatifs à tels systèmes et insisté sur le besoin de moyens de sauvegarde adéquats en matière de protection des données et de vie privée. Le groupe de réflexion a cependant constaté, que les défis qui rendent une mise en œuvre une norme de protection des données concrète difficile sont dus, entre autres, à un manque de compétences, de connaissances ainsi que d’expertise. L’Africa Digitial Rights’ Hub ADRH (Centre des droits numériques Africains CDNA) a par conséquent été chargé de développer un code de bonnes pratiques de protection des données à l’intention des systèmes d’identité numérique en Afrique. Ce livre a par conséquent été développé sous la direction, le conseil et l’assistance de divers individus et organisations. L’Africa Digitial Rights’ Hub ADRH a exprimé sa profonde appréciation à tous ceux dont les recherches, les ressources et leurs temps ont 1. REMERCIEMENTS viii rendu ce code de bonnes pratiques possible. Nous souhaitons remercier tout particulièrement : • Omidyar Network ; • Notre Fondatrice et Directeur General - Mrs. Teki Akuetteh Falconer ; • L’équipe ADRH ; • G-Pak Ltd. ; • Ralph T. O’Brien, Principal Consultant, REINBO Consulting; • Marie Penot, Fondatrice et Consultante, EuroDataProtection UG; • Emma Butler, DPD Yoti ; • Sebastian Manhart, COO SimPrints ; et • Groupe de réflexion sur l’identité numérique et systèmes applicatifs en Afrique de la Conférence Africaine 2018 ; 1 Sans aucun doute, l‘Afrique vit actuellement une transformation significative et la technologie joue et continuera de jouer un rôle majeur dans ce procès. Il n’est pas étonnant que les pays africains aient pris des mesures audacieuses, en ce qui concerne l’adoption le développement et l’usage des technologies de l‘informations et des communications (TIC). Conformément à ces changements, ces pays adoptent des mesures et des lois qui visent à faciliter le développement de ces TIC. Les lois de protection des données et de vie privée sont parties intégrantes de ces lois protectrices que ces différents pays sont en train de développer. Les technologies de données ont évolué depuis plus d’un siècle et leurs besoins en matière de protection des données ont évolué parallèlement à ces technologies. Les étapes principales de ce domaine incluent : le premier traitement automatique de données commerciales pendant le recensement américain de 1890, la fin de la seconde guerre mondiale, la déclaration universelle des droits de l’homme en 1948, la création des « lignes directrices régissant la protection de la vie privée de l’organisation de coopération et de développement économique » (OCDE) en 1980 et la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (mieux connu sous le nom de Convention 108) introduit par les membres du Conseil de l’Europe à Strasbourg, France, en 1981. De plus, les technologies continuent à être un élément déclencheur dans le monde du traitement des données commerciales. Le cadre juridique ainsi que les lois sur la protection des données ont principalement été institué pour répondre à une avancée technologique dont la collecte, la conservation, ou la diffusion de données à caractère personnel ainsi que la surveillance augmente de plus en plus. 2. PROTECTION DES DONNÉES/ DE LA VIE PRIVÉE EN AFRIQUE 2 Influencé par l’approche uniforme européenne qui utilise cette loi omnibus s’étendant à tous les secteurs et reconnaissant la protection des données/ la protection de la vie privée en tant que droit fondamental, le milieu de protection des données africain, n’a cessé de croître durant ces dix (10) dernières années. Cependant, l’écosystème du continent révèle un état des lieux sous-développé et disparate bien qu’un certain dynamisme et des cadres et lois progressistes apparaissent. Au point de vue de l’Afrique en général, ainsi que sur le plan régional, il existe la convention de l’Union Africaine sur la cyber- sécurité et la protection des données (2014), la loi type de Communauté de développement d’Afrique australe – CDAA sur la protection des données (2010), l’acte additionnel A/SA 1/01/10 relatif à la protection des données à caractère personnel dans l’espace de la CEDEAO (2010) et le cadre juridique pour une cyber- législation de la communauté d’Afrique de l’Est (2008). A juillet 2019, vingt-quatre (24) pays sur cinquante-cinq (55) possèdent une loi sur la protection des données, parmi lesquelles neuf (9) ont des projets de loi en de différentes étapes d’adoption (voir tableau ci-dessous). La majorité des pays reconnaissent le droit à la vie privée uploads/Geographie/ data-protection-code-of-practicefrench-soft.pdf