Mandira Bagwandeen : « La domination des entreprises étrangères dans le paysage numérique africain pourrait avoir un impact sur la souveraineté numérique d'un pays »

Mandira Bagwandeen est chercheuse à la Nelson Mandela School of Public Governance de l'Université du Cap (UCT) en Afrique du Sud. Elle enseigne également dans plusieurs universités sud-africaines sur les relations internationales et l'économie politique des relations Afrique-Chine.

Cette interview est disponible en anglais.

Quels sont les défis communs et spécifiques posés à la souveraineté par la gouvernance des données et la transformation numérique en Afrique ?

La souveraineté des données et la transformation numérique posent divers défis à la souveraineté, en particulier à la souveraineté des États. Les deux principaux défis mondiaux concernent la confidentialité et la protection des données à caractère personnel, ainsi que les menaces de cybersécurité et le cyber-espionnage.

À l'ère du big data et du capitalisme de surveillance, protéger la confidentialité des données personnelles et s'assurer qu'elles sont gérées de manière éthique et sécurisée est un défi de taille. Comme de nombreux pays dans le monde, les États africains en sont à divers stades d'élaboration de réglementations et de cadres de protection des données. En février 2023, 36 des 54 pays africains avaient adopté des lois sur la protection des données. S'inspirant des meilleures pratiques, nombre de ces lois ont été influencées par le Règlement général sur la protection des données (RGPD) de l'Union européenne (UE). L'impulsion donnée à l'adoption de lois sur les données de type RGPD découle de la nécessité de développer un cadre législatif qui facilite la protection des données ainsi que la croissance économique, l'innovation et le commerce entre les pays africains et leurs partenaires commerciaux occidentaux, notamment l'UE, le plus grand partenaire commercial du continent. Le Code numérique du Bénin approuvé en 2017, s'inspire si manifestement du RGDP qu'il a été décrit comme ayant « promulgué la législation la plus proche du RGPD en dehors de l'UE. »

Comme de nombreux pays, les États africains doivent faire face à des menaces de cybersécurité telles que le piratage, l'hameçonnage et les logiciels malveillants, qui peuvent endommager un système ou un réseau informatique, compromettre des données ou perturber des activités numériques. En outre, plusieurs incidents de cyberespionnage ont été signalés ces dernières années. Par exemple, l’un de ces incidents qui a fait la une de l’actualité était en 2018 où des rapports ont révélé que la Chine avait espionné les serveurs du siège de l'Union africane (UA) construit par la Chine pendant plus de cinq ans, accédant ainsi à des informations confidentielles. Ensuite, en décembre 2020, un groupe de pirates chinois surnommé « Bronze President » aurait « piégé un groupe de serveurs dans le sous-sol d'une annexe administrative pour siphonner discrètement des vidéos de surveillance provenant de l'ensemble du campus tentaculaire de l'UA ». Et en mai 2023, des allégations ont été rapportées selon lesquelles un groupe de pirates informatiques lié à l'État chinois et se dénommant Backdoor Diplomacy a mené pendant trois ans une campagne de cyberespionnage visant le gouvernement kenyan afin d'obtenir des informations sensibles sur la dette de ce dernier envers la Chine.

Trois autres défis spécifiques au continent africain méritent d'être soulignés. Il s'agit du déficit infrastructurel du continent et de la dépendance qui en résulte à l'égard des fournisseurs de technologie étrangers, des problèmes liés à la localisation des données et du manque d'harmonisation réglementaire.

De nombreux pays africains ne disposent pas de l'infrastructure nécessaire en matière de TIC, notamment d'un approvisionnement fiable en électricité, de l'internet à large bande et de centres de données. La pénurie de compétences technologiques sur le marché du travail et le manque de ressources financières et matérielles pour développer l'infrastructure des TIC à l'intérieur du pays constituent un autre défi. Ainsi, de nombreux pays africains dépendent des technologies et des services numériques étrangers. Les entreprises étrangères qui dominent le paysage numérique de l'Afrique peuvent avoir un impact sur la souveraineté numérique d'un pays. Par exemple, les fournisseurs étrangers pourraient influencer les pratiques de gouvernance numérique ou menacer la sécurité nationale.

Le déficit infrastructurel a également un impact sur toute aspiration à la localisation des données. Bien que la localisation des données soit considérée comme un moyen de garantir la souveraineté des données, elle est difficile à réaliser, principalement en raison des ressources financières et des capacités techniques requises pour développer l'infrastructure des centres de données. Néanmoins, de nombreux commentateurs considèrent qu'il est essentiel que les États africains construisent des centres de données pour garantir la souveraineté numérique. Actuellement, la plupart des données consommées en Afrique sont hébergées en dehors de la région, et le marché est très mal desservi. Avec la digitalisation croissante de l'Afrique et la question de plus en plus importante de la souveraineté numérique, plusieurs pays africains ont construit ou sont en train de construire des centres de données avec l'aide d'investissements et d'entreprises étrangères. Jusqu'à présent, les entreprises chinoises, en particulier Huawei, un géant chinois des télécommunications, ont fait des percées significatives dans le secteur des TIC et sur le marché des centres de données en Afrique.

En outre, il est très difficile de parvenir à une harmonisation réglementaire et juridique des lois et règlements sur la cybercriminalité au niveau régional et continental en Afrique, en raison de la diversité des cadres juridiques, des formes de gouvernance et des différences linguistiques. Par exemple, la Convention de Malabo de l'Union africaine n'a reçu qu'un soutien mitigé ; il a fallu neuf ans pour que la convention obtienne 15 ratifications, pour finalement entrer en vigueur en juin 2023.

Comment évaluez-vous les différentes politiques mises en place par divers pays africains pour poursuivre la "souveraineté numérique" ? Quelles sont les variations que vous observez ?

Les pays africains ont élaboré un certain nombre de politiques pour atteindre la souveraineté numérique, un concept qui peut être comprise simplement comme un État exerçant un contrôle sur l'infrastructure numérique, les données et la technologie pour protéger les intérêts nationaux. Parmi ces politiques, on peut citer (sans s'y limiter) les lois sur la localisation et la protection des données, l'établissement de points d'échange Internet nationaux, la réglementation du contenu et la censure sur Internet, les plateformes numériques nationales et la dématérialisation de l'administration publique. Si de nombreuses politiques, en particulier les lois sur la localisation et la protection des données, s'inspirent des meilleures pratiques mondiales, certaines législations, comme la loi nigériane sur la protection des données (Data Protection Act, 2023), comportent des dispositions uniques. Elle comprend une nouvelle classification des contrôleurs de données et des processeurs dîtes « d'importance majeure » et des obligations spécifiques qui leur sont attachées, ainsi que des protections plus larges pour les activités de traitement exemptées.

Comment les acteurs étrangers tels que la Chine, les pays européens, les États-Unis et les acteurs privés comprennent-ils et traitent-ils le discours sur la propriété des données locales ?

La Chine adopte une approche étatique ou autoritaire de la souveraineté des données, soulignant l'importance de la propriété locale des données. Le gouvernement chinois exige que toutes les données générées dans le pays soient stockées localement et soumises aux lois et réglementations chinoises, ce qui lui permet d'exercer un contrôle considérable sur l'accès aux données et leur utilisation.

Comme le prescrit le règlement général sur la protection des données (RGPD) de l'Union européenne, les pays européens mettent davantage l'accent sur les droits individuels en matière de données et sur la protection de la vie privée. Le RGPD limite les flux de données transfrontaliers et exige que les données personnelles soient traitées conformément à des mesures strictes de confidentialité et de sécurité. Cela permet aux utilisateurs de mieux contrôler leurs données. Comme les pays européens se préoccupent de la protection des données, ils exigent souvent des entreprises qu'elles obtiennent le consentement de l'utilisateur pour le traitement des données.

Les États-Unis adoptent une approche de la propriété des données davantage axée sur le marché. La propriété des données est souvent laissée à la discrétion des individus ou des entreprises, et l'accent est moins mis sur la propriété locale des données. Toutefois, ces dernières années, les milieux politiques américains se sont montrés de plus en plus préoccupés par le potentiel des grandes entreprises technologiques (telles qu'Amazon, Apple, Google, Meta et Microsoft) à saper les valeurs et les institutions démocratiques, ce qui a entraîné une augmentation des appels au gouvernement américain pour qu'il mette en œuvre des réglementations numériques. Certains affirment que la domination de quelques grandes entreprises technologiques leur donne trop de pouvoir dans le cyberespace et constitue un défi direct à l'autorité de l'État.

Les entités privées, en particulier les entreprises technologiques multinationales, doivent souvent trouver un équilibre entre le respect des exigences en matière de localisation des données des différentes juridictions et la garantie d'une utilisation et d'une analyse efficaces des données.

Comment les organisations régionales et internationales peuvent-elles mieux soutenir une vision commune de la gouvernance et de la réglementation des données en Afrique ?

Le développement d'une vision commune de la gouvernance et de la réglementation des données en Afrique exige que les organisations régionales et internationales, les gouvernements, les parties prenantes et les communautés collaborent sincèrement - il doit y avoir une coopération et une synergie soutenues pour parvenir à une harmonisation des politiques et des réglementations. Bien que plusieurs domaines nécessitent des efforts de coopération, je pense que quatre initiatives sont essentielles pour faire progresser l'établissement d'une vision africaine commune de la gouvernance des données.

D’abord, il est nécessaire de renforcer les capacités et d'élaborer des politiques. Les organisations régionales et internationales peuvent contribuer à fournir des programmes ou des cours de formation et de renforcement des capacités pour aider les gouvernements africains et les départements nationaux à améliorer leur expertise en matière de gouvernance des données, ce qui leur permettra d'élaborer des politiques mieux informées et plus solides. Les organisations peuvent également mettre leur personnel à la disposition des gouvernements africains pour les aider à élaborer des politiques de gouvernance des données afin de s'assurer que la législation s'aligne sur les meilleures pratiques mondiales tout en reflétant les contextes et priorités locaux uniques.

Ensuite, l'assistance financière et technique est cruciale. Par le biais de subventions, de partenariats et de programmes de financement, les organisations peuvent apporter un soutien financier pour aider les gouvernements africains à mettre en œuvre leurs politiques de gouvernance des données. L'assistance technique peut être fournie par le biais de services de conseil et d'initiatives de transfert technologique.

Il faut aussi développer la recherche collaborative ainsi que le suivi et l'évaluation à travers le continent. Pour mieux comprendre les défis et les opportunités de la gouvernance des données en Afrique, des efforts de collaboration devraient être mis en place entre les organisations africaines et internationales pour produire des recherches qui peuvent informer le développement de politiques globales. Les organisations régionales et internationales peuvent également collaborer à la mise en place de mécanismes de suivi et d'évaluation afin d'évaluer l'efficacité des politiques de gouvernance des données. Un suivi et une évaluation réguliers peuvent fournir des informations précieuses pour ajuster ou améliorer les politiques et les réglementations.

Enfin, les organisations régionales et internationales peuvent s'associer aux départements TIC africains pour promouvoir et établir des engagements multipartites avec les gouvernements, la société civile, le secteur privé et le monde universitaire afin de garantir que les politiques de gouvernance des données qui sont élaborées reflètent les divers intérêts des citoyens africains.

Cet entretien fait partie de la série d'entretiens intitulée "Negotiating Africa's digital partnerships" (Négocier les partenariats numériques de l'Afrique), menée par le Dr Folashade Soule auprès de hauts responsables politiques, de ministres et d'acteurs privés et civiques africains afin de mettre en lumière la manière dont les acteurs africains construisent, négocient et gèrent des partenariats stratégiques dans le secteur numérique, dans un contexte de rivalité géopolitique. Cette série fait partie du projet de recherche sur les politiques de négociation des partenariats numériques de l'Afrique, hébergé par le programme de gouvernance économique mondiale (Université d'Oxford) et soutenu par le Centre pour l'innovation dans la gouvernance internationale (CIGI).