Aujourd’hui, la question de la protection des données personnelles est devenue centrale dans un monde où le numérique semble tout contrôler. En effet, la prolifération des réseaux sociaux, l’utilisation croissante des services numériques et même l’augmentation des échanges en ligne, posent des défis majeurs en matière de confidentialité et de sécurité des informations.

Pierrette COLICO

Les données à caractère personnel sont cruciales pour la prise de décision, l'innovation, la personnalisation des services et la croissance économique. En effet, elles sont très importantes non seulement pour les individus, mais également pour les entreprises (plusieurs secteurs d’activité) et pour les gouvernements. Parlant des individus, les données personnelles permettent de personnaliser l'expérience utilisateur, de bénéficier de services adaptés à leurs besoins et préférences, de gérer leur identité numérique et d'exercer leurs droits en ligne. En ce qui concerne les entreprises, les données personnelles facilitent l'analyse des données de marché, la segmentation des clients, le développement de produits et services innovants, la personnalisation des communications et l'optimisation des processus. Les secteurs d'activité (industrie manufacturière, technologies de l'information, finance, etc.) sont le moteur de la production et de la création d'emplois. Les décisions financières, les stratégies de marketing, la gestion des ressources humaines, et l'innovation sont cruciales pour la performance et la croissance des entreprises. Et elles permettent aux gouvernements de mieux comprendre les besoins de la population, d'optimiser les politiques publiques, de lutter contre la fraude et de renforcer la sécurité nationale à travers les outils numériques, tels que l'intelligence artificielle et les plateformes de données. Ces outils permettent d'analyser des volumes massifs de données, de prédire des tendances et de personnaliser des services pour une meilleure efficacité et un meilleur ciblage.  

Par ailleurs, en Afrique, l’essor du numérique soulève des questions cruciales en ce qui concerne la protection de ces données. Ainsi, l’augmentation rapide de la numérisation et de la connectivité crée de nouvelles opportunités économiques et sociales, mais aussi des défis en matière de cybersécurité et de confidentialité. La protection des données est ainsi un enjeu majeur pour l’avenir du numérique africain, nécessitant une approche holistique impliquant les gouvernements, les entreprises et les individus.

La protection des données personnelles, un enjeu crucial à l'ère du numérique

Les attaques informatiques, telles que l’hameçonnage et les rançongiciels, se multiplient, exploitant des failles de sécurité et des émotions humaines. Face à cette recrudescence des actes de cybermalveillance, il devient essentiel pour les particuliers et les entreprises d'adopter des mesures de protection adaptées. La Journée de la protection des données tenue le 28 janvier 2025, a permis de mettre un accent sur les défis grandissants liés à l’intelligence artificielle (IA) et à la sécurité des données. Cette journée de réflexion interroge notamment les moyens de renforcer la protection des données personnelles à l’ère des nouvelles technologies.

En réalité, les violations de données ont connu une hausse importante en 2024. De son côté, la Commission nationale de l’information et des libertés (CNIL) a enregistré 5629 notifications de violations de données, soit une augmentation de 20% par rapport à l’année 2023. Parmi ces incidents, beaucoup sont liés à des fuites de données personnelles massives, exploitant des vulnérabilités dans les systèmes de sécurité des organisations.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a indiqué que 115 incidents ont été traités en 2024, ayant conduit à des exfiltrations de données.

Avec l’essor du numérique, les cybercriminels en profitent pour agir sur les données personnelles. En effet, à travers l’hameçonnage, des e-mails, des sites web ou des messages text qui ressemblent à des sites légitimes ces derniers trompent les utilisateurs et les inciter à divulguer leurs informations personnelles. Avec le Spear-phishing, ils utilisent des informations précises sur une cible pour créer des attaques plus ciblées, rendant le phishing plus difficile à détecter. 

De même, les cybercriminels peuvent utiliser les informations laissées en ligne (réseaux sociaux, achats en ligne, etc.) pour créer des profils détaillés sur un individu ou une entreprise et mener des attaques ciblées. 

Des entreprises attaquées

En décembre 2024, l’entreprise de télécommunications publique namibienne a été victime d’une attaque par ransomware qui a entraîné la fuite de données sensibles sur ses clients, notamment des informations sur des hauts fonctionnaires du gouvernement. Telecom Namibia a déclaré que les données avaient été divulguées après avoir refusé de collaborer avec un groupe de pirates informatiques connu sous le nom de Hunters International.

Au Japon, le groupe de hackers chinois MirrorFace a été lié à plus de 200 cyberattaques au cours des cinq dernières années, ciblant des ministères, des agences gouvernementales, des entreprises privées et des groupes de réflexion technologiques. Ces attaques visaient principalement à voler des informations sur la technologie avancée et la sécurité nationale du Japon.

En mars 2024, des organisations en Afrique du Sud, en Égypte et au-delà ont été ciblées par un ransomware sophistiqué, utilisant des tactiques de double extorsion. Les données des victimes étaient chiffrées et les attaquants menaçaient de divulguer les informations sensibles si une rançon n’était pas payée.

Aussi, le groupe de hackers « Waste » a infiltré les systèmes de la Banque centrale d’Ouganda, dérobant 62 milliards de shillings ougandais. 

En avril de la même année, la fintech nigériane Flutterwave a subi un piratage entraînant la perte de milliards de nairas. Les fonds détournés ont transité par divers comptes bancaires, exposant des lacunes dans les systèmes de sécurité du secteur financier.

Des mesures prises par les gouvernements ou institutions

La protection des données découle du droit à la vie privée, qui est reconnu dans le monde entier comme un droit de l'homme fondamental inscrit dans les conventions internationales, notamment l'article 12 de la Déclaration universelle des droits de l'homme et l'article 17 du Pacte international relatif aux droits civils et politiques. Dans un monde de plus en plus interconnecté, la protection des données est devenue une priorité stratégique.

À ce jour, sur 54 pays africains, 37 disposent d’une loi nationale sur la protection des données. Il s'agit de : l’Afrique du Sud, Zimbabwé, Algérie, Angola, Bénin, Botswana, Burkina-Faso, Cap-vert, Madagascar, Comores, République démocratique du Congo, République du Congo, Côte d'Ivoire, Guinée équatoriale, Egypte, Eswatini, Gabon, Ghana, Guinée, Kenya, Lesotho, Mali, Maroc, Maurice, Mauritanie, Niger, Nigéria, Ouganda, Rwanda, Sao-Tomé-et-Principe, Sénégal, Seychelles, Tanzanie, Tchad, Togo, Tunisie, Zambie.

En Afrique du Sud, les individus sont protégés par la loi sur la protection des informations personnelles (Protection of Personal Information Act), également appelée POPIA ou loi POPI. C’est la principale loi sud-africaine sur la protection de la vie privée des consommateurs. Il s'agit d'un texte législatif complet qui protège les données personnelles des individus en Afrique du Sud en définissant des exigences et des obligations pour les entités qui collectent, traitent et utilisent ces informations.

La loi 18-07, promulguée en 2018, vise à protéger les données personnelles des individus en Algérie. Cette loi s’applique à tous les organismes publics et privés établis en Algérie ou ciblant directement des résidents algériens. En effet, les données personnelles telles que le nom, le prénom, le numéro de téléphone, l'adresse IP, ainsi que des informations sensibles sur la santé, l'origine sociale ou ethnique, et d'autres caractéristiques similaires sont protégées par cette loi. La loi 18-07 est un texte législatif majeur en Algérie, qui régit la préservation des informations privées. En effet, cette loi s'applique aux organismes publics et privés, qu'ils soient établis en Algérie ou qu'ils ciblent directement des résidents algériens.

Au Bénin, Protection des Données Personnelles du Bénin (APDP-Bénin) a mis en place un canevas appelé politique de gestion des incidents à la portée des responsables de traitements pour leur permettre d’évaluer les risques d’incidents de sécurité susceptibles d’affecter les données personnelles qui sont traitées et d’indiquer les précautions à prendre en cas de survenance d’un incident de cet ordre. 

Reçu par Africa Cybersecurity Mag, M. Luciano HOUNKPONOU, Président de l'APDP-Bénin a offert un aperçu captivant des progrès fulgurants réalisés en matière de Protection des Données Personnelles au Bénin. Ce dernier a indiqué lors de l’entretien que le gouvernement béninois a mis en place plusieurs mesures pour renforcer la résilience de la sécurité des données, en réponse à la montée des cybermenaces et à l'importance croissante de la protection des informations sensibles. Il s’agit notamment de la Loi n° 2017-20 du 20 avril 2018 modifiée par la loi n°2020-35 du 06 janvier 2021 portant code du numérique en république du Bénin ; de la stratégie Nationale de Sécurité Numérique (SNSN) approuvé le 06 mai 2020. Cette stratégie ambitionne de garantir un cyberespace sécurisé pour une économie numérique florissante. L’Agence des Systèmes d’Information et du Numérique (ASIN) a été créée pour la mise en œuvre opérationnelle des programmes et projets entrant dans le cadre des stratégies de développement des services et systèmes d’information sécurisés au Bénin.