La Convention de MALABO vise la création d'un cadre juridique africain sur la cyber sécurité et la protection des données à caractère personnel et définit les engagements des États membres de l'Union africaine aux niveaux sous régional, régional et international en vue de l'édification de la Société de l’information.

CONTRATS, TRANSACTIONS ET PAIEMENTS ET SECURITE ELECTRONIQUE

Cette convention aborde tout d’abord des aspects de transactions électroniques. Cela implique le Commerce électronique ; la responsabilité contractuelle du fournisseur de biens et services par voie électronique ou encore la publicité par voie électronique. A ce titre, l’article 4 dispose que toute publicité, sous quelque forme que ce soit, accessible par un service de communication en ligne, est clairement identifiée comme telle. Elle indique clairement la personne physique ou morale pour le compte de laquelle elle est réalisée.

La convention fixe les grandes lignes des obligations contractuelles sous forme électronique notamment, sur les contrats électroniques, l’article5 indique que pour ce qui est des contrats électroniques, « les informations qui sont demandées en vue de la conclusion d'un contrat ou celles qui sont adressées au cours de son exécution peuvent être transmises par voie électronique si leurs destinataires ont accepté l'usage de ce moyen. L'utilisation des communications électroniques est présumée recevable sauf si le bénéficiaire a déjà exprimé sa préférence pour un autre moyen de communication. »

Il ressort en outre que sans préjudice des dispositions légales en vigueur dans l'État partie, nul ne peut être contraint de poser un acte juridique par voie électronique. Cependant, la remise d'un écrit sous forme électronique est effective lorsque le destinataire, après en avoir pris connaissance, en accuse réception.

Sur la sécurisation des transactions électroniques, les termes de l’Article 7 disposent que pour assurer la sécurité des transactions électroniques, le fournisseur de biens doit, entre autres, permettre à ses clients d'effectuer des paiements en utilisant un moyen de paiement électronique approuvé par l'État selon la réglementation en vigueur de chaque État Partie.

CADRE JURIDIQUE AFRICAIN DES DONNEES PERSONNELLES

D’entrée de jeu, il faut indiquer que la « donnée à caractère personnel » y est entendue comme toute information relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, mentale, économique, culturelle et sociale. De même, les « Données sensibles » s’y entendent de toutes les données à caractère personnel relatives aux opinions ou activités religieuses, philosophiques, politiques, syndicales, à la vie sexuelle ou raciale, à la santé, aux mesures d'ordre social, aux poursuites, aux sanctions pénales ou administratives.

Aux termes de l’Article 10 – 4, les actions suivantes sont mises en œuvre après autorisation de l'autorité nationale de protection des données, les traitements des données à caractère personnel :

• sur des données génétiques et sur la recherche dans le domaine de la santé ;
• sur des données relatives aux infractions, condamnations ou mesures de sûreté;
• ayant pour objet une interconnexion de fichiers et les traitements portant sur un numéro national d'identification ou tout autre identifiant de la même nature;
• comportant des données biométriques;
• d'intérêt public notamment à des fins historiques, statistiques ou scientifiques.

La Convention fixe aussi les grandes lignes du statut, de la composition et de l’organisation des autorités nationales de protection des données à caractère personnel. L'autorité nationale de protection doit être une autorité administrative indépendante chargée de veiller à ce que les traitements des données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente Convention. De plus, la qualité de membre d'une autorité nationale de protection est incompatible avec la qualité de membre du Gouvernement, l'exercice des fonctions de dirigeants d'entreprise, la détention de participation dans les entreprises du secteur des technologies de l'information et de la communication.

La Convention fixe aussi les obligations relatives aux conditions de traitements de données à caractère personnel et en son article 13, les principes fondamentaux régissant le traitement des données à caractère personnel que sont :

• Le principe de consentement et de légitimité du traitement des données à caractère personnel ;
• Le principe de la légitimité et de légalité du traitement des données à caractère personnel ;
• Le principe de finalité, de la pertinence, de conservation des données â caractère personnel traitées ;
• Le principe d'exactitude des données à caractère personnel ;
• Le principe de transparence des données à caractère personnel ;
• Le principe de confidentialité et de sécurité des traitements de données à caractère personnel.

Les articles 18 et 19 fixe les droits d’opposition et de rectification et suppression. De fait comme de droit, toute personne physique a le droit de s'opposer, pour des motifs légitimes, au traitement des données à caractère personnel la concernant. De même, toute personne physique peut exiger du responsable d'un traitement que soient, selon des cas, rectifiées, complétées, mises à jour, verrouillées ou supprimées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation sont interdites.

ASPECTS JUDICIAIRES

La Convention fixe également le cadre de l’harmonisation, l’entraide judiciaire, l’échange d'informations et des moyens de coopération. Par ailleurs, par cet engagement, les Etats membres de l’UA s’engagent à adopter des normes sanctionnatrices contre certains comportements liés à la cyber sécurité et aux données personnels. Tel est le cas du hacking, de l’introduction frauduleuse de données, de l’absence de test de vulnérabilité, la vente des logiciels de hacking etc… En outre, l’article 30 demande aux Etats de procéder à l'adaptation de certaines infractions aux technologies de l'information et de la communication. Tel est le cas de la violation des biens, à savoir le vol, l'escroquerie, le recel, l'abus de confiance, l'extorsion de fonds, le chantage portant sur les données informatiques.

Enfin, le pouvoir du juge d’instruction est renforcé le juge d'instruction car il doit pouvoir faire injonction à toute personne de conserver et de protéger l'intégrité des données en sa possession ou sous son contrôle, pendant une durée de deux ans maximum, pour la bonne conduite des investigations judiciaires. De même, pour veiller à ce que si les besoins de l'information l'exigent, le juge d'instruction doit pouvoir utiliser les moyens techniques appropriés pour collecter ou enregistrer en temps réel, les données relatives au contenu des communications spécifiques sur son territoire, transmises au moyen d'un système informatique ou obliger un fournisseur de services, dans le cadre de ses capacités techniques à collecter ou à enregistrer, en application de moyens techniques existant sur son territoire ou celui des États parties, ou à fournir aux autorités compétentes son concours et son assistance pour informatisées.