EuroReg - Etude de conformité des lois-types de la CEEAC avec la Convention de l'UA sur la cybersécurité
1. Etude de conformité
Présentation de M. Jean-François LE BIHAN, Expert CEA
Consultant principal, EuroReg, Luxembourg
Réunion Ad-Hoc des Experts sur l’harmonisation des législations en matière
de TIC en Afrique centrale, Libreville, 25-26 février 2013
2. Un projet de Convention de l’Union africaine
et trois avant-projets de lois-ypes de la CEEAC
Convention de l’Union africaine pour la cybersécurité
• Instrument juridique de droit international public
• Fixe les objectifs politiques au niveau continental
• Fournit des définitions, principes et orientations communs dans les domaines suivants:
• Transactions • Protection des • Lutte contre le
électroniques données personnelles cybercriminalité
Loi-type sur les Loi-type sur la protection Loi-type sur la
transactions des données lutte contre le
électroniques personnelles cybercriminalité
• E-commerce • Vie privée • Droit pénal
• Signature électronique • Libertés fondamentales • Arangemments
institutionnels
• Les lois-types sont des modèles de législation nationale
• Elles reprennent les orientations du projet de Convention et les
complétent par des dispositions pour leur mise en œuvre
3. Un procesus d’harmonisation à deux niveaux
Réunion
Ad-Hoc
Libreville
02/13
Atelier de restitution Atelier de validation
Réunion ministérielle
Libreville 12/11 Douala 07/12
• La réunion ad-hoc des experts de la CEA est une étape
importante à la croisée de deux processus coordonnés
impliquant un grand nombre d’organisations internationales
4. Méthodologie de l’étude
• Transposition
• Les instruments juridiques suprationaux qui servent à l’harmonisation
régionale prennent différentes formes mais la plupart d’entre eux:
• Fixent des objectifs généraux et des régles communes et
• Laissent aux États membres la responsabilité de les mettre en œuvre dans leur législation
• La mise en œuvre en droit national des principes et objectifs harmonisés
est appelée « transposition » en droit communautaire
• La méthodologie pour étudier la conformité des avant-projets de lois-
types avec le projet de Convention est celle utilisée pour la transposition
• La Convention est un instrument juridique supranational
• La loi-type présente les caractéristiques d’un texte législatif de droit national
• Tableau de concordance
• Un tableau de concordance a été établi entre le projet de Convention et
les avant-projets de lois-types mis bout à bout.
• Ce tableau de concordance met en vis-à-vis les dispositions des projets de
Convention et de lois-types qui portent sur les même objets.
5. Chapitre 2 : Champ d'application matériel 0
Article 2 : 0
1. La présente loi-type s'applique au traitement de données à caractère personnel, 2
automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à
caractère personnel contenues ou appelées à figurer dans un fichier.
La présente loi-type s'applique au traitement de données à caractère personnel, automatisé 5 2 1) Toute collecte, tout traitement, toute transmission, tout stockage ou toute utilisation
en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère des données à caractère personnel effectués par une personne physique, par l’Etat, les
personnel contenues ou appelées à figurer dans un fichier. collectivités locales, les personnes morales de droit public ou de droit privé ;
La présente loi-type s'applique au traitement de données à caractère personnel, automatisé 5 2 2) Tout traitement automatisé ou non de données contenues ou appelées à figurer dans
en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère un fichier, à l’exception des traitements mentionnés à l’Article 44 de la présente
personnel contenues ou appelées à figurer dans un fichier. Convention ;
2. La présente loi-type ne s'applique pas au traitement de données à caractère personnel 5 3 1) aux traitements de données mis en œuvre par une personne physique dans le cadre
effectuée par une personne physique pour l'exercice d'activités exclusivement personnelles exclusif de ses activités personnelles ou domestiques, à condition toutefois que les
ou domestiques. données ne soient pas destinées à une communication systématique à des tiers ou à la
diffusion ;
3. La présente loi-type ne peut limiter: 2
a. des modes de production d'informations disponibles en vertu d'une loi pour une partie 2
dans quelque procédure judiciaire qu'il soit;
b. le pouvoir des Cours et tribunaux judiciaires de contraindre un témoin de témoigner ou 2
de contraindre la production de preuves.
Chapitre 3 : Champ d'application territoriale 0
Article 3 : 0
1. La présente loi-type est applicable aux traitements de données à caractère personnel 0
lorsque:
a. le responsable est établi sur le territoire [pays]. Le responsable d’un traitement qui exerce 5 1 3) Tout traitement mis en œuvre sur le territoire d’un pays membre de l’Union Africaine
une activité sur le territoire [pays] dans le cadre d’une installation, quelle que soit sa forme ;
juridique, y est considéré comme établi ;
b. le responsable, sans être établi sur le territoire [pays], recourt à des moyens de traitement
situés sur le territoire [pays], à l’exclusion des traitements qui ne sont utilisés qu’à des fins
de transit sur ce territoire.
2. Pour les traitements mentionnés au paragraphe 1 littera b du présent article, le 2
responsable désigne à l'Autorité de contrôle un représentant; cette désignation ne fait pas
obstacle aux actions qui pourraient être introduites contre lui.
Chapitre 4 : Principes auxquels le traitement doit répondre 0
Section 1 : Qualité des données 0
Article 4 : 0
1. Les données à caractère personnel: 0
a.doivent être collectées pour des finalités déterminées, explicites et légitimes et ne 5 1 1. Les données doivent être collectées pour des finalités déterminées, explicites et
peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités. Est légitimes et ne peuvent pas être traitées ultérieurement de manière incompatible avec
considéré comme compatible la finalité qui répond aux attentes raisonnables de la personne ces finalités.
concernée ou lorsqu'elle est prévue par une loi.
b. doivent être traitées loyalement, licitement et de manière non frauduleuse; 5 1 La collecte, l’enregistrement, le traitement, le stockage et la transmission des données à
caractère personnel doivent se faire de manière licite, loyale et non frauduleuse.
c. doivent être adéquates, pertinentes et non excessives au regard des finalités pour 5 1 2. Elles doivent être adéquates, pertinentes et non excessives au regard des finalités
lesquelles elles sont collectées et traitées ultérieurement. pour lesquelles elles sont collectées et traitées ultérieurement.
6. Chapitre 13 : Système d'alerte professionnelle (whistelblowing) 0
Article 46 : 0
L'Autorité de contrôle, par arrêté ou acte équivalent, doit mettre en place des règles 2
autorisant et régissant les systèmes d'alerte professionnelle.
Ces règles doivent assurer le respect: 2
a. des règles de loyauté, de licéité et de finalité du traitement; 2
b. des règles relatives à la proportionnalité tel que la limitation du champ d'application, 2
d'exactitude et de précision des données à caractère personnel destinées au traitement;
c. du principe de transparence tant au niveau collectif en mettant en place une information 2
adéquate qu'individuel en mettant en place une information individuelle portant sur:
* du champ d'application et des finalités du système d'alerte; 2
* de la procédure d'introduction et de traitement des signalements; 2
0 PARTIE II : LA PROTECTION DES DONNEES A CARACTERE PERSONNEL
0 Titre I : Terminologie
0 Article II-1
8 Au sens de la présente Convention, les expressions ci-dessous sont définies comme suit :
8 5) Données sensibles : visent toutes les données à caractère personnel relatives aux
opinions ou activités religieuse, philosophique, politique, syndicale, à la vie sexuelle ou
raciale, à la santé, aux mesures d’ordre social, aux poursuites, aux sanctions pénales ou
administratives.
8 6) Données dans le domaine de la santé : visent toute information concernant l'état
physique et mental d'une personne concernée, y compris les données génétiques
précitées.
0 Titre II : Le cadre juridique de la protection des données à caractère personnel
0 Chapitre Premier : Les objets de la présente Conventon sur les données à caractère
personnel
0 Article II-2
8 8 Dans l’Union Africaine, chaque Etat membre s’engage à disposer d’un cadre juridique
ayant pour objet de mettre en place un dispositif permettant de lutter contre les
atteintes à la vie privée susceptibles d’être engendrées par la collecte, le traitement, la
transmission, le stockage et l’usage des données à caractère personnel.
8 8 Ce dispositif doit garantir que tout traitement, sous quelque forme que ce soit, respecte
les libertés et droits fondamentaux des personnes physiques tout en prenant en compte
les prérogatives de l’Etat, les droits des collectivités locales et les buts pour lesquels les
entreprises ont été créées.
0 Chapitre Second : Le champ d'application de la Convention
0 Article II-3
0 Sont soumises à la présente Convention :
8 8 4) Tout traitement des données concernant la sécurité publique, la défense, la recherche
et la poursuite d'infractions pénales ou la sûreté de l'Etat, sous réserve des dérogations
définies par des dispositions spécifiques fixées par d’autres textes de loi en vigueur.
0 Article II-4
0 La présente Convention ne s'applique pas :
pas de restriction concernant celles-ci dans les lois types 8 4 2) aux copies temporaires faites dans le cadre des activités techniques de transmission et
de fourniture d'accès à un réseau numérique, en vue du stockage automatique,
intermédiaire et transitoire des données et à seule fin de permettre à d'autres
destinataires du service le meilleur accès possible aux informations transmises.
7. Les étapes de l’analyse comparative
• Catégories de concordance
• Les éléments uniquement présents dans les avant-projets de lois-types,
• Les éléments présents à la fois dans l’avant-projet de loi-type et le projet
de Convention et
• Les éléments uniquement présents dans le projet de Convention
• Niveaux de conformité
• Les éléments de convergence correspondant à une conformité parfaite
entre les avant-projets des lois-types et le projet de Convention.
• Les éléments de variation qui donnent lieu à des questions mais pour
lesquelles les dispositions entre les deux documents sont globalement
conformes.
• Les éléments de différence d’approche qui pourraient être ajustés pour
assurer une meilleure conformité.
• Les éléments de divergence claire entre les documents et nécessitant un
amendement pour assurer la conformité.
8. Catégories de concordance
Dispositions Dispositions
uniquement dans uniquement dans
la Convention les lois-types
15% 56%
Dispositions dans
les lois-types et la
Convention
29%
• Des dispositions uniquement présentes dans les lois-types viennent
généralement développer celles de la Convention sans les contredire
• Certaines dispositions de la Convention reprises dans la loi-type présentent
des variations et dans certains cas de divergence
• Des dispositions du projet de Convention ne sont pas reprises dans l’avant-
projet de loi-type et peuvent dans quelques cas faire défaut
9. Niveau de conformité
Eléments de
divergence: 3%
Eléments de
différence : 2%
Eléments de
variation : 5%
Eléments de
convergence : 90%
Eléments de convergence correspondant à une conformité entre lois-types et Convention
Eléments de variation ou soulevant des questions mais conformes
Eléments présentant une différence dont la conformité peut être améliorée
Eléments présentant une divergence et nécessitant un amendement pour assurer le corformité
• Une approche graduée a été choisie en classant les éléments
analysés en fonction de la nécessité de les amender pour
assurer un meilleur niveau de conformité
10. Résultats
• Un très haut degré de conformité entre les avant-projets de lois-
types et le projet de Constitution
• Collaboration entre l’UA, la CEEAC et la CEMAC
• Collaboration entre la CEA et l’UIT: chacune a assumé le leadership de
l’assistance technique fournie aux organisations régionales
respectivement pour le développement de la Convention de l’UA et les
lois-types de la CEEAC
• Cycle d’ateliers conjoints lancé à Libreville au Gabon en décembre 2011
• Une dizaine de recommandations d’ajustements pour aller au delà
d’un degré de conformité initial estimé à environ 95%
Eléments de Différence Divergence
Transactions électroniques 1 1
Protection des données personnelles 2 3
Lutte contre la cybercriminalité 0 2
Convention 3 6
11. Jean-François LE BIHAN, Consultant principal
Cabinet EuroReg, 59 rue du X Octobre, L-7243 Béreldange
Luxembourg
+352 661 82 40 20
jflebihan@gmail.com
MERCI – GRACIAS – OBRIGADO