Nouvelles lois
Eswatini
Le 4 mars 2022, le premier texte législatif du Royaume d'Eswatini sur la protection des données a été publié au Journal officiel (« Loi d'Eswatini »). La Loi d’Eswatini s'applique aux responsables du traitement et aux sous-traitants, qu'ils soient ou non domiciliés ou qu'ils aient ou non leur établissement principal en Eswatini, et qu’ils utilisent ou non des moyens automatisés en Eswatini pour transmettre des données à caractère personnel.
La Loi d’Eswatini énonce des principes généraux que l’on retrouve dans le RGPD et dans les lois sur la protection des données de la plupart des pays africains, y compris notamment, la limitation des finalités, la minimisation des données, l'exactitude, la limitation de la conservation, l'intégrité et la confidentialité des données. Elle énumère également les bases légales du traitement des données personnelles comme suit : (i) le consentement explicite, dont la définition est « tout consentement volontaire, spécifique et éclairé, communiqué expressément par oral ou par écrit, aux termes duquel une personne concernée accepte le traitement d'informations personnelles la concernant », (ii) la nécessité pour la conclusion ou l'exécution d'un contrat auquel la personne concernée est partie, (iii) le respect d'une obligation légale à laquelle le responsable du traitement est soumis, (iv) la nécessité de protéger les intérêts légitimes de la personne concernée, (v) la nécessité d’exécuter une obligation de droit public par un organisme public, (vi) la poursuite des intérêts légitimes du responsable du traitement ou d'un tiers à qui les informations sont fournies. Eswatini suit la tendance est-africaine qui est de reconnaître l'intérêt légitime du responsable du traitement comme base légale de traitement des données personnelles.
En vertu de la Loi d’Eswatini, les données sensibles comprennent, entre autres, les données relatives aux enfants ainsi que les données biométriques et elles peuvent être traitées dans des circonstances limitées.
Toute violation de données ou atteinte à la sécurité doit être signalée à l'autorité de protection des données et à la personne concernée dès que raisonnablement possible après la découverte de ladite violation. La loi n’indique pas de délais d’exécution en heures ou en jours.
Selon la Loi d’Eswatini, les personnes concernées jouissent du droit à l'information et à l'accès à leurs données, du droit de s'opposer au traitement de leurs données et du droit à la rectification et à l'effacement de leurs données personnelles.
Il n'est pas obligatoire de désigner un délégué à la protection des données.
L'Eswatini fait partie des quelques Etats africains qui ont étendu les pouvoirs d’autorités déjà existantes de manière à ce qu’elles couvrent la protection des données. Dans le cas présent, l'autorité en charge de la protection des données est la Commission des communications d'Eswatini, établie en vertu de la loi de 2013 sur la Commission des communications d'Eswatini. Les autres pays qui ont adopté une approche institutionnelle similaire sont la Côte d'Ivoire, le Tchad, le Zimbabwe, le Rwanda et, jusqu'en 2022, le Nigeria.
Les responsables du traitement sont tenus de s’inscrire et de notifier leurs activités de traitement auprès de la Commission des communications. Les flux transfrontaliers de données sont soumis à des conditions assouplies lorsque la juridiction importatrice est un État membre de la Communauté de développement de l'Afrique australe, autrement appelée la SADC.
Les sanctions prévues en cas de non-respect de la Loi d’Eswatini comprennent une amende pouvant aller jusqu'à 100 000 000 Emalangeni (environ 5 507 000 USD), 5 % du chiffre d'affaires annuel du responsable du traitement et/ou 10 ans d'emprisonnement à purger par le responsable dirigeant si le contrevenant est une personne morale.
Tanzanie
La loi n° 11-2022 sur la protection des données personnelles de 2022 (« Loi tanzanienne ») a été adoptée et signée par la présidente de Tanzanie en novembre 2022. Cette année a également vu la promulgation d'un amendement à la loi sur les transactions électroniques et d'une loi sur les communications électroniques et postales.
La loi de 2022 sur les transactions électroniques couvre la prospection directe et prévoit un mécanisme de consentement soft opt-in dès lors que (i) les coordonnées et autres données personnelles du destinataire ont été collectées par l’expéditeur dans le cadre d'une vente ou de négociations en vue d'une vente, (ii) les messages envoyés portent sur des biens ou des services similaires, (iii) l’expéditeur avait donné au destinataire la possibilité de se désinscrire et le destinataire ne l’a pas fait et (iv) lors de l’envoi de chaque nouveau message, le destinataire a la possibilité de se désabonner. La sanction en cas de non-respect des dispositions relatives à la prospection directe est un minimum d'un an d'emprisonnement et/ou une amende minimale de 10 000 000 shillings (environ 2 277 USD).
La Loi tanzanienne entrera en vigueur à une date qui sera précisée dans le journal officiel. Les principes généraux de traitement figurent dans le RGPD et ils comprennent la légalité, la loyauté, la transparence, la limitation des finalités, la minimisation des données, l'exactitude, la limitation de la conservation, l'intégrité et la confidentialité des données personnelles.
La Loi tanzanienne prévoit les droits suivants pour les personnes concernées : le droit d'accès aux données personnelles, le droit de s'opposer au traitement effectué à des fins de publicité commerciale, le droit, selon les circonstances, de ne pas faire l’objet d’une prise de décision automatique, le droit à la rectification, au blocage et à l’effacement des données personnelles. L'obligation de transparence n'est pas aussi étendue que celle qui est prévue dans les lois de la plupart des autres pays africains dotés d'un cadre réglementaire en matière de protection des données.
L'autorité instituée en vertu de la Loi tanzanienne est la Commission de protection des informations personnelles (« Commission »). Les responsables du traitement et les sous-traitants sont tenus de s'enregistrer auprès de la Commission. Le récépissé d'enregistrement délivré par la Commission est valable pour une durée de cinq ans, renouvelable sur demande.
Les sanctions prévues en cas de non-respect de la Loi tanzanienne comprennent une amende administrative pouvant aller jusqu'à 100 000 000 de shillings (environ 42 743 USD). En outre, la Commission peut ordonner le versement de dommages et intérêts aux personnes concernées lésées.
Modification des lois existantes
Ouganda
Le 14 octobre 2022, le président ougandais, Yoweri Museveni, a signé une loi modifiée sur l'utilisation abusive des ordinateurs. La loi modifiée interdit le partage de données relatives à un enfant par le biais d'un ordinateur sans l'autorisation des personnes exerçant l’autorité parentale. La peine encourue en cas de non-respect de cette restriction est une amende pouvant aller jusqu'à 750 points et/ou 7 ans d'emprisonnement. La loi interdit également l'envoi d'informations non sollicitées, qui sont définies comme « des informations transmises à une personne utilisant l'internet sans son consentement, mais n'incluent pas les communications commerciales non sollicitées ». On peut en conclure que la prospection directe n'entre pas dans le champ de cette définition.
Reglements et orientations
Algérie
L'Algérie a légiféré en matière de protection des données avec la loi n° 18-07 du 25 Ramadhan 1439, correspondant au 10 juin 2018 relative à la protection des personnes physiques dans le traitement des données à caractère personnel (« Loi algérienne »). Presque quatre ans plus tard, le président et les membres de l'Autorité nationale de protection des données à caractère personnel (« Autorité nationale ») ont été nommés en vertu du décret présidentiel n° 22-187 du 17 Chaoual 1443, correspondant au 18 mai 2022. L'Autorité nationale est désormais opérationnelle.
Bien que la Loi algérienne soit entrée en vigueur en 2018, elle prévoit une période de transition fixée à un an à compter de l'installation de l'Autorité nationale. A l’issue de cette période de transition, des sanctions pourront être appliquées pour non respect de la loi.
Parmi les obligations à respecter d'ici la fin de la transition figure l'obligation pour les responsables du traitement de se déclarer auprès de l'Autorité nationale.
Botswana
Suite à l'entrée en vigueur, en 2021, de la loi botswanaise de 2018 sur la protection des données, le gouvernement a adopté, en juillet 2022, un décret sur le transfert des données personnelles. En vertu de ce décret, le ministre déclare que les données à caractère personnel peuvent être transférées vers les juridictions suivantes : les 27 États membres de l'Union européenne (« UE »), les 3 États non membres de l'UE qui sont membres de l'Espace économique européen, à savoir la Norvège, l'Islande et le Liechtenstein, et les États non membres de l'UE qui sont jugés adéquats par la Commission européenne, à savoir Andorre, l'Argentine, les îles Féroé, Guernesey, Israël, Jersey, la Nouvelle-Zélande, la Corée du Sud, la Suisse, le Royaume-Uni, l'Uruguay, et deux pays africains à savoir le Kenya et l'Afrique du Sud.
Kenya
En vertu de son mandat, qui consiste à faciliter la conciliation, la médiation et la négociation des litiges liés à la législation sur la protection des données, le Bureau de la commissaire à la protection des données (« ODPC ») a récemment publié un document intitulé Alternative Dispute Resolution Framework & Guidelines (Cadre et lignes directrices pour le règlement extrajudiciaire des conflits), qui servira de guide pour le règlement extrajudiciaire des conflits relatifs à la protection des données, et ce dans le but de désengorger l'ODPC en réduisant le nombre de plaintes qu'il reçoit. Les lignes directrices couvrent, entre autres, les conseillers juridiques et autres professionnels dans le domaine du règlement extrajudiciaire des conflits, les facilitateurs, la conduite des parties, la gestion et les procédures de règlement des conflits, les preuves d'expertise et les procédures de règlement et d'approbation.
Mali
L'Autorité malienne de protection des données à caractère personnel (« APDP ») a publié des délibérations de portée générale sur (i) les conditions de mise en œuvre de la vidéosurveillance dans les propriétés privées et sur le lieu de travail, (ii) les conditions de traitement des données lorsqu'elles sont mises en œuvre par des organismes publics et privés ainsi que par des particuliers dans le cadre de litiges et de décisions rendues et (iii) le traitement des données de géolocalisation dans les véhicules mis à la disposition des employés.
Niger
L'autorité nigérienne de protection des données (« HAPDP »), devenue opérationnelle en 2021, a récemment publié un certain nombre de délibérations de portée générale et d'arrêtés, notamment (i) le guide de procédure de sanction en cas de non-respect de la législation sur la protection des données à caractère personnel, (ii) la délibération portant exonération de l’obligation de déclaration préalable pour les systèmes de vidéosurveillance installés dans un domicile privé, (iii) la délibération portant règles d’installation et d’exploitation d’un système de vidéosurveillance, (iv) l’arrêté général relatif aux conditions de mise en place de la vidéosurveillance, (v) l’arrêté fixant les frais perçus à l’occasion des déclarations de mise en œuvre d’un système de vidéosurveillance et (vi) l’arrêté déterminant les caractéristiques et les frais d’acquisition du pictogramme de signalisation de système de vidéosurveillance, (vii) l’arrêté fixant les frais de dépôt de déclaration ou de délivrance des autorisations annuelles pour les catégories de responsables du traitement du secteur de l’enseignement général et technique du privé (viii) arrêté fixant les redevances dues à la HAPDP pour la délivrance des autorisations annuelles pour les catégories de responsables du traitement exerçant une activité indépendante, et (ix) l’arrêté fixant les frais de dépôt de déclaration ou de délivrance des autorisations annuelles pour les catégories de responsables du traitement œuvrant dans le domaine de la santé.
Rwanda
L'autorité nationale rwandaise de cybersécurité (« NCSA »), a publié un certain nombre de lignes directrices sur son site internet, après la promulgation de la loi n° 058/2021 du 13/10/2021 relative à la protection des données à caractère personnel et de la vie privée. Parmi les lignes directrices figurent les suivantes : (i) l'enregistrement d'un délégué à la protection des données, (ii) les politiques de confidentialité, (iii) le droit d'opposition au traitement, (iv) le droit à la portabilité des données, à la rectification et à l'effacement des données, (v) la protection des données relatives aux enfants, (vi) les principes-clés du traitement des données personnelles, (vii) l'identification du responsable du traitement et du sous-traitant et (viii) une foire aux questions (FAQ).
Dernièrement, en décembre 2022, la Commission de protection des données a publié une délibération de portée générale relative aux traitements mis en œuvre à des fins de prospection politique.
Afrique du Sud
Le 7 octobre 2022, l’autorité de protection des données d’Afrique du Sud (« Autorité sudafricaine ») a publié ses premiers codes de conduite, l'un pour la Credit Bureau Association et l'autre pour la Banking Association of South Africa. Les deux associations avaient fait la demande de ces codes auprès de l’Autorité sudafricaine. Les codes sont entrés en vigueur le 5 novembre 2022.
L’Autorité sudafricaine a également publié des lignes directrices sur la notification des atteintes à la sécurité. Selon ces lignes directrices, le responsable du traitement doit notifier à l’Autorité sudafricaine toute atteinte à la sécurité dès que possible après sa survenance en utilisant un formulaire, au format PDF, disponible sur le site internet de l’Autorité sudafricaine.
Ouganda
Le Bureau ougandais de protection des données personnelles (« PDPO ») a publié une note d'orientation pour la déclaration préalable et son renouvellement en vertu du décret d’application de la loi sur la protection des données adopté en 2021. Le PDPO a mis à la disposition des personnes concernées les formulaires suivants sur son site web : (i) avis d'opposition à la collecte et au traitement de données personnelles, (ii) demande d'enregistrement et de renouvellement d'enregistrement, (iii) Engagement à ne pas traiter ou stocker des données personnelles, (iv) le récépissé de déclaration, (v) demande de copie certifiée conforme d'extrait d'inscription au registre, (vi) plainte concernant le traitement de données à caractère personnel sans mesures de sécurité appropriées, (vii) notification d'une atteinte à la sécurité de données, (viii) demande de confirmation de la possession de données à caractère personnel, (ix) plainte concernant des données à caractère personnel inexactes, et (x) plainte concernant une infraction ou une violation de la loi.
Zimbabwe
Le régulateur a publié des projets de règlement pour la loi de 2021 sur la cybersécurité et la protection des données. Le projet de règlement couvre les sujets suivants : (i) l'autorisation et l'enregistrement des responsables du traitement, (ii) les délégués à la protection des données, (iii) le traitement pour des intérêts légitimes, (iv) le traitement des données de santé, (v) les codes de conduite, (vi) la sécurité des données et (vii) la notification des violations. Le projet de règlement comprend également des documents pro forma à remplir et à soumettre à l'autorité de contrôle.
Autorites de protection des donnees
Algérie
L'Algérie a légiféré en matière de protection des données avec la loi n° 18-07 du 25 Ramadhan 1439, correspondant au 10 juin 2018 (« Loi algérienne» ), relative à la protection des personnes physiques dans le traitement des données à caractère personnel. Près de quatre ans plus tard, le président et les membres de l'Autorité nationale de protection des données personnelles (« Autorité nationale ») ont été nommés en vertu du décret présidentiel n° 22-187 du 17 Chaoual 1443, correspondant au 18 mai 2022. L'Autorité nationale est désormais opérationnelle.
Botswana
Suite à la promulgation de la loi sur la protection des données de 2018, qui prévoyait la création de la Commission de la protection des données, des mesures ont été prises, en 2022, en vue de la mise en place de cette institution avec la nomination de Mme Kepaletswe Somolekae au poste de commissaire. L'autorité n'est pas encore opérationnelle, mais on peut s'attendre à ce qu'elle le soit d'ici la fin de 2023.
Mauritanie
Cinq ans après la promulgation de la loi sur la protection des données à caractère personnel (loi n° 2017-020 du 22 juillet 2017), le gouvernement mauritanien a adopté le décret du 18 février 2022 relatif à la composition, l’organisation et le fonctionnement de l’Autorité de protection des données à caractère personnel. Quelques mois plus tard, les membres de l'Autorité de protection des données ont prêté serment, dont son président, Monsieur Mohamed Lemine Sidi. L'autorité n'est pas encore opérationnelle mais devrait l’être en 2023.
Nigeria
Jusqu'en 2022, l'autorité nigériane chargée des TIC, l'Agence nationale de développement des technologies de l'information (« NITDA »), était en charge de la protection des données, comme le prévoit le règlement sur la protection des données du Nigeria de 2019 (« NDPR »).
En février 2022, le président nigérian, Muhammadu Buhari, a approuvé la création du Bureau nigérian de protection des données (« NDPB »). Le rôle du NDPB est de se concentrer principalement sur la protection des données, notamment en consolidant les acquis du NDPR et en soutenant le processus d'élaboration et d'adoption du premier texte législatif régissant la protection des données, car l'autorité du NDPR a été contestée, le principal argument étant qu'il a été émis par un régulateur, le NITDA au lieu d’être voté par le pouvoir législatif. Le NDPB est devenu opérationnel plus tard dans l'année et fait désormais office d'autorité de protection des données. Il est prévu que le statut du NDPB en tant qu'autorité soit confirmé par une loi sur la protection des données attendue en 2023.
Rwanda
Au Rwanda, la loi n° 058/2021 du 13 octobre 2021 relative à la protection des données personnelles et de la vie privée a confié le secteur de la protection des données à l'Autorité nationale de cybersécurité (« NCSA »). D’autres autorités (telles que l'Autorité rwandaise de régulation des services d’utilité publique) peuvent, conjointement avec la NCSA, mettre en place des normes régissant la protection des données personnelles dans leur secteur.
Le 31 mars 2022, la NCSA a inauguré son Bureau de la protection des données. Les missions de cette dernière sont, en autre, (i) d'assurer la protection des données personnelles et de garantir la vie privée des individus, (ii) de répondre à toute demande légitime d'avis concernant le traitement des données personnelles, (iii) d'informer la personne concernée, le responsable du traitement, le sous-traitant et les tiers de leurs droits et obligations, (iv) de mettre en place un registre des responsables du traitement et des sous-traitants, (v) d'enquêter sur les plaintes relatives au traitement des données personnelles, (vi) de recevoir et d'examiner les recours des personnes concernées, (vii) d’apporter des conseils sur les questions relatives à la protection des données personnelles, et (viii) de coopérer avec les autorités, les organisations ou les entités opérant dans le domaine de la protection des données.
Controle, poursuites et sanctions
Ghana
La Commission ghanéenne de protection des données a exhorté les responsables du traitement à déclarer leurs activités de traitement auprès d'elle, comme l'exige la loi de 2012 sur la protection des données. La directrice exécutive de l'autorité a exprimé son intention de contrôler les organisations déjà déclarées. Elle a indiqué que l'autorité s’était rapprochée d’un procureur spécialisé en la matière et qu’elle avait demandé une procédure judiciaire accélérée pour faciliter les poursuites, notamment à l'encontre des responsables du traitements non déclarés. Elle a souligné le fait que les dirigeants d'entreprise avaient la responsabilité de former adéquatement leur personnel à la gestion des données.
Kenya
Le Bureau de la commissaire à la protection des données (« ODPC »), récemment mis en place a, à plusieurs reprises, exprimé l'importance de la conformité ainsi que son intention de vigoureusement faire respecter le droit de la protection des données. L'ODPC a exhorté les responsables du traitement et les sous-traitants à se conformer à leurs obligations de déclaration préalable en vertu de la loi sur la protection des données de 2019. D’ailleurs, le chef d'État du Kenya, le président William Ruto, a lui-même fait écho à ce message lors du lancement du système d'enregistrement de la protection des données.
En ce qui concerne les investigations, l'ODPC a ouvert des enquêtes sur quarante fournisseurs de crédit en ligne suite à des dépôts de plaintes pour utilisation abusive de données personnelles.
En outre, l'ODPC a rendu une décision dans une affaire de fuite de données et, le 3 novembre 2022, il a adressé une mise en demeure à l'encontre d'Oppo Kenya pour traitement de données personnelles à des fins de prospection commerciale sans le consentement préalable de la personne concernée et pour non-respect de l’obligation de coopération avec l'ODPC.
Avant cela, en octobre 2022, l'hôpital Aga Khan avait reçu une mise en demeure à laquelle il a donné effet.
Mali
L'APDP a mené des audits auprès d'Alpha Telecom, de la Compagnie malienne pour le développement des textiles et de l'Institut national de prévoyance sociale (INPS) et l’autorité a adressé une mise en demeure à chacune de ces organisations pour non-respect de la loi sur la protection des données de 2013.
Nigeria
Les efforts de contrôle du respect de la règlementation sur la protection des données se sont accrus grâce à un partenariat et une collaboration entre le Bureau de protection des données du Nigéria (« NDPB ») et d'autres agences gouvernementales. Par exemple, le NDPB a collaboré avec la Commission fédérale de la concurrence et de la protection des consommateurs (« FCCPC ») pour assurer la protection des données des consommateurs. Cela a conduit le NDPB et la FCCPC à créer un bureau commun.
Le NDPB a retiré la licence d'exploitation de dix-neuf organisations de conformité à la protection des données (« DPCO »). Les DPCO sont des organisations, telles que des sociétés de conseil, des cabinets d'audit, des cabinets d'avocats, etc., qui demandent à l'autorité une licence pour fournir des services de formation, d'audit et de conseil dans tout le pays. Les DPCO sont censés vérifier les audits déclaratifs des responsables du traitement avant de les soumettre à l'autorité. Les dix-neuf licences ont été retirées après que le NDPB a établi que les DPCO en question n'avaient pas fait preuve du professionnalisme et de la compétence attendus pour accomplir les tâches qui leur étaient confiées.
En outre, le NDPB a annoncé qu'il menait une enquête sur plus de cent dix entreprises, dont des institutions financières, une société de télécommunications et des sociétés de conseil. L'autorité de protection des données s'est associée à des agences gouvernementales et à des régulateurs pour enquêter sur plusieurs plateformes de crédits en ligne en raison de leur violation présumée de la confidentialité des données des clients. En juin 2022, le NDPB a commencé à enquêter sur des rapports de violation de la confidentialité des données impliquant deux grands responsables du traitement des données au Nigeria, à savoir la Wema Bank PLC et KC Gaming Networks (Bet Naija).
Sénégal
La Commission de protection des données (« CDP ») a appelé à plus de vingt-trois organisations à procéder à la déclaration de leurs activités de traitement. Ces organisations comprennent, entre autres, Air Sénégal, Freedocteur, l'Administration fiscale, la Croix-Rouge, et plus de dix sociétés de transport utilisant des véhicules avec des caméras embarquées.
En moins d'un an, la CDP a reçu au moins 35 plaintes, notamment contre la Sonatel (l'entreprise publique de télécommunications) et Brioche Dorée, et a effectué 13 audits sur place.
La CDP a adressé une mise en demeure à l'encontre de Sonatel pour non-respect des règles relatives à la prospection directe et non-respect de l'obligation de déclarer les activités de traitement, et il a émis une mise en demeure à l'encontre de SETER, la société de train express de la région de Dakar, pour ne pas avoir déclaré ses systèmes de géolocalisation et ne pas avoir respecté l'obligation de transparence.
Afrique du Sud
L’Autorité sudafricaine a repris et poursuit ses investigations sur des géants du net. Elle a également lancé une enquête sur des fonctionnaires de police et sur l'agence d'évaluation de crédit TransUnion. Les pouvoirs de l'autorité sont renforcés par la création du Comité d'application des lois, mis en place en juillet 2022. Le rôle du comité consiste notamment à examiner toutes les questions qui lui sont soumises par la présidente de l’autorité et à formuler des recommandations sur les mesures à prendre.
Ouganda
Moins de deux ans après la mise en place du Bureau national de protection des données, l'autorité a reçu plus de cent plaintes, dont vingt-sept sont en cours de traitement. La plupart des plaintes concernaient des mécanismes de désinscription à la prospection directe.
Perspectives pour 2023
Botswana
Un projet de loi modifiant la loi sur la protection des données de 2018 est susceptible d'être adopté. La commissaire à la protection des données a indiqué que quelques lacunes dans la loi devaient être comblées. On peut également s'attendre à ce que la Commission de protection des données soit opérationnelle en 2023.
République démocratique du Congo (RDC)
Le premier Code du numérique de la RDC, qui couvre la protection des données, a été approuvé sous forme de projet par le Gouvernement et l'Assemblée nationale (la chambre basse du Parlement). Il doit encore être voté par le Parlement. Le Code du numérique devrait être promulgué en 2023. A ce jour, seul le Bénin a légiféré sur la protection des données dans le cadre d'un code du numérique.
Djibouti
Le projet de code du numérique, couvrant la protection des données, doit être adopté par le Gouvernement dans un premier temps. Le projet approuvé devrait être disponible en 2023.
Égypte
L’adoption du décret d’application de la loi de 2020 sur la protection des données, qui devait être publié dans les six mois suivant la publication de la loi au Journal officiel, a été repoussée à 2023.
Éthipie
Une proclamation sur la protection des données a été rédigée en 2020. Des développements sont attendus en 2023.
Gambie
Le projet de loi gambien sur la protection des données a été rédigé en 2020 et devait être voté fin 2021. On peut s'attendre à ce que la loi voie le jour en 2023.
Madagascar
Six ans après la promulgation de la loi sur la protection des données qui prévoit la création d'une autorité, la CMIL, des discussions et des consultations ont été engagées pour mettre en place cette autorité.
Malawi
Un projet de loi sur la protection des données a été soumis à consultation publique en février 2021. Le processus législatif devrait s'accélérer en 2023.
Mauritanie
Le gouvernement mauritanien a adopté un projet de loi autorisant la ratification de la convention de Malabo de 2014. À ce jour, treize pays l'ont ratifiée. Deux ratifications supplémentaires sont nécessaires pour que le traité entre en vigueur.
Namibie
Le ministère des technologies de l'information et de la communication a publié un projet de loi sur la protection des données qui était ouvert à la consultation publique. Sa promulgation est prévue au cours du second semestre 2023.
Niger
Le gouvernement du Niger a adopté un projet de loi visant à modifier la loi sur la protection des données de 2017. Les principaux objectifs de la réforme législative comprennent les objectifs annoncés (i) de s'adapter aux derniers développements technologiques, en tenant compte de l'impact de l'évolution des technologies de l'information et de la communication sur la protection des données (ii) de s'aligner sur les meilleures pratiques internationales (iii) de renforcer le cadre juridique de la cybersécurité en matière de protection des données dans la fourniture de services électroniques publics et privés et (iv) de promouvoir la coopération internationale.
Nigeria
Le Nigeria est sur le point de légiférer pour la première fois en matière de la protection des données. L'actuel Règlement nigérian sur la protection des données (le NDPR) a été adopté par l'autorité chargée des TIC, (la NITDA) qui, jusqu'à la création du Bureau nigérian de la protection des données (le NDPB), faisait office d'unique autorité de protection des données.
Sénégal
Un projet de loi, qui doit être approuvé, dans un premier temps, par le pouvoir exécutif, a été rédigé pour remplacer la loi de sur la protection des données, promulguée il y a plus de 16 ans. Une fois validé, le projet passera devant le Parlement.
Sud-Soudan
Un projet de loi sur la protection des données a été rédigé en 2021 et il est possible qu'il soit adopté en 2023.
Zimbabwe
L'autorité de régulation de la télécommunication postale du Zimbabwe a soumis à une consultation publique son projet de décret sur la protection des données 2022. La version finale du décret devrait être adoptée en 2023.
