Les données jouent un rôle primordial dans l’innovation, la compétitivité économique et le développement de l’intelligence artificielle. Toutefois, l’Afrique fait face à des défis importants en matière d’inclusion et de souveraineté numérique. Le panafricanisme, qui vise l’unification et la coopération entre les États africains, est essentiel dans ce contexte.
Les communautés économiques régionales (CER) et l’Union africaine (UA) travaillent à définir des cadres juridiques et politiques propices à la libre circulation des données et à l’harmonisation des règles pour l’IA et le numérique en Afrique. En plus de la régulation, la souveraineté numérique repose aussi sur le stockage local des données, ce qui nécessite un accès équitable et abordable aux outils numériques. La loi de Moore, qui prévoit un doublement de la capacité de traitement des ordinateurs tous les deux ans à moindre coût, facilite l’accès aux technologies et contribue à réduire le fossé numérique. Cependant, l’Afrique continue de faire face à une fracture numérique persistante.
L’approche panafricaine doit prendre en compte les divergences entre les stratégies continentales, régionales et nationales en matière d’IA et de données. Pour avancer, une vision globale s’impose, dirigée par l’UA. Ainsi, comment l’Afrique peut-elle harmoniser ses règles et stratégies pour garantir une souveraineté numérique qui stimule l’inclusion, l’innovation, la résilience et la compétitivité ?
I. Les enjeux de l’inclusion et de la souveraineté numérique en Afrique.
En dépit des avancées en matière d’inclusion liées à la démocratisation des appareils portables, l’Afrique continue de faire face à une fracture numérique causée par l’insuffisance des infrastructures de transmission de données, notamment les câbles sous-marins. Le développement numérique est inégal sur le continent. Des pays comme le Maroc, le Rwanda, le Kenya, le Nigéria, le Ghana et l’Afrique du Sud montrent des progrès notables dans l’accès à Internet et le déploiement de réseaux 4G et 5G. Cependant, près de 14 % de la population reste sans couverture mobile, surtout en milieu rural, et 710 millions d’Africains vivent dans des zones avec haut débit mobile sans y avoir accès en raison de coûts élevés et d’un manque de compétences (The Broadband Commission for Sustainable Connectivity, 2025). L’inclusion numérique réelle nécessite donc une approche globale combinant le développement des infrastructures, des tarifs abordables et des programmes de formation adaptés. Par ailleurs, la connectivité ne garantit pas la souveraineté numérique, mais favorise plutôt la participation aux sociétés numériques.
La transmission des données en Afrique repose sur 64 câbles sous-marins, dont 36 relient le continent à l’Europe et 14 unissent les pays africains. Des projets tels qu’Africa Coast to Europe (ACE), 2Africa et Equiano, soutenus par des entreprises comme Orange, Meta et Google, visent à améliorer la connectivité avec des infrastructures à haute vitesse. Cependant, la présence dominante des GAFAM et des entreprises chinoises pose des risques de dépendance technologique. De plus, des coupures d’Internet et d’électricité dans certains pays entravent l’utilisation des réseaux, ce qui compromet les services numériques.
En plus de la transmission, la souveraineté numérique nécessite surtout le développement de datacenters nationaux pour stocker des données. Toutefois, le cloud computing complique cette tendance. Même s’il favorise la flexibilité et l’accessibilité, le cloud entraîne une dépendance à des infrastructures étrangères, ce qui entrave la souveraineté sur les données. La localisation des données devient donc une sérieuse option, à l’image des exigences de pays tels que la Chine et la Russie, qui imposent que les données soient hébergées localement. Le Grand Firewall de la Chine vise, par exemple, à empêcher leur fuite.
Malgré cet enjeu stratégique de stockage des données, seulement près de 150 datacenters sont opérationnels en Afrique, ce qui est loin derrière les autres régions du monde. L’Afrique du Sud en compte 49, suivie du Maroc (23), du Kenya (18), du Nigeria (16) et de l’Égypte (15). Le Maroc se distingue par la qualité de ses infrastructures, avec 23 datacenters certifiés TIER, le plaçant en tête en matière de conformité avec les normes internationales (Conseil de la Concurrence du Maroc, 2023, p. 5). Néanmoins, le pays doit surmonter des défis, tels que le manque d’infrastructures adaptées pour les PME et une forte dépendance aux services de cloud étrangers, afin de garantir sa souveraineté numérique.
Outre le stockage, la souveraineté numérique en Afrique nécessite des cadres juridiques solides pour protéger les données des Africains et promouvoir leur utilisation éthique. L’externalisation, rendue possible par le cloud computing, pose des défis de souveraineté et de sécurité, car la dépendance à des prestataires étrangers expose les utilisateurs aux lois extraterritoriales, comme le CLOUD Act, qui permet aux autorités américaines de réclamer des données en dehors des États-Unis (U.S. Congress, 2018). Pour y remédier, les législations africaines doivent garantir la conformité des fournisseurs de cloud avec les lois locales. Le développement d’un « cloud souverain » et des investissements dans des datacenters locaux sont également essentiels pour maîtriser les infrastructures numériques et réduire les risques extérieurs.
L’Afrique doit donc relever le défi de l’inclusion numérique et œuvrer pour sa souveraineté numérique. L’Union africaine doit jouer un rôle majeur dans ce processus en développant des instruments juridiques pour faciliter la libre circulation des données et harmoniser les réglementations à l’échelle continentale.
II. Les instruments juridiques de l’Union africaine : vers une harmonisation des règles et la libre circulation des données.
L’Union africaine s’est engagée à construire un espace numérique unifié, essentiel au développement socio-économique du continent, comme le stipule l’Agenda 2063. Ce dernier, en promouvant les technologies émergentes et la cybersécurité, et en intégrant des stratégies sectorielles, ambitionne de moderniser l’agriculture, le commerce et l’éducation. La réalisation de ces objectifs numériques, notamment la modernisation des infrastructures et la création d’un marché numérique intégré dans le cadre de la Zone de libre-échange continentale africaine (ZLECAf), repose en grande partie sur la capacité à orchestrer une circulation des données à l’échelle du continent efficace, sécurisée et équitable. L’UA a élaboré une série d’instruments juridiques et politiques pour guider cette entreprise d’envergure.
La Stratégie de transformation numérique pour l’Afrique 2020-2030 constitue le plan directeur de l’UA en la matière. Elle vise à tirer parti des technologies numériques pour transformer les économies et les sociétés africaines, structurée autour de quatre piliers fondamentaux : l’infrastructure numérique, les compétences numériques, l’innovation numérique et les réglementations (African Union, 2020). Cette stratégie soutient activement la ZLECAf en encourageant le commerce numérique et le partage des données intra-africains, et elle appelle au développement de normes de données ainsi que de cadres d’interopérabilité. La stratégie milite également pour des cadres politiques, juridiques et réglementaires harmonisés, y compris la protection des données conformément à la Convention de Malabo. Elle est pionnière dans la promotion de la libre circulation des données à caractère non personnel.
Le Cadre stratégique de l’UA en matière de données, adopté en 2022, offre une vision globale de la gouvernance des données, englobant les données personnelles et non personnelles. Il définit des principes, des priorités stratégiques et des recommandations pour le développement de systèmes de données nationaux, afin de mieux exploiter les données des citoyens, des entités gouvernementales et des industries. Ce cadre préconise des politiques équilibrées en matière de localisation des données, reconnaissant les avantages du partage des données par rapport à leur simple accumulation. Il encourage les États membres à évaluer les coûts et les avantages de la localisation, en tenant compte des droits de l’homme et des priorités de développement économique. L’objectif est de passer de la localisation à la promotion de flux de données libres et sûrs, tout en protégeant les droits, en garantissant la sécurité et en assurant un accès équitable aux bénéfices (African Union, 2022).
L’interopérabilité des systèmes d’identification numérique est également un axe stratégique. Le Cadre d’interopérabilité des systèmes d’identification numérique de l’UA, introduit en décembre 2023, établit des règles pour assurer l’interopérabilité des systèmes d’identification numérique, afin de permettre aux citoyens de participer pleinement à l’économie numérique et de faciliter les paiements et les services financiers numériques. Il définit des normes et des processus pour un partage fiable et sécurisé des données à caractère personnel (African Union, 2023). Même si son statut d’adoption reste incertain, ce cadre représente une étape importante vers la création d’un écosystème numérique fiable et interopérable.
L’intelligence artificielle est un autre pilier essentiel. La Stratégie continentale de l’UA en matière d’IA 2024 décrit une approche continentale pour construire une économie basée sur l’IA, en mettant l’accent sur les infrastructures, notamment les centres de données, l’informatique en nuage et des données de qualité. Elle recommande aux États membres d’élaborer des politiques et des stratégies en matière de données pour permettre l’accès et le partage de données à caractère non personnel. Elle insiste sur la nécessité de cadres de gouvernance des données avec des normes pour un partage éthique, responsable et sécurisé des données. Elle plaide également en faveur d’une coopération régionale en matière de données ouvertes (open data) et propose un instrument régional pour guider le partage et les transferts de données à l’intérieur du continent (African Union, 2024).
Le Livre blanc de l’AUDA NEPAD pour une IA responsable, intitulé Régulation et adoption responsable de l’IA en Afrique vers la réalisation de l’Agenda 2063 de l’Union africaine, a été publié le 29 février 2024 lors de la conférence « AI Dialogue ». Ce document souligne l’importance de développer des capacités de stockage des données et d’investir dans les infrastructures locales. Il promeut également la souveraineté des données et insiste sur la nécessité d’améliorer le stockage et le transfert des données en Afrique (Auda-Nepad, 2024).
La Convention de l’UA sur la cybersécurité et la protection des données à caractère personnel, dite Convention de Malabo, adoptée en 2014, constitue un instrument juridiquement contraignant qui encadre le commerce électronique, la protection des données personnelles et la cybersécurité. Elle établit des règles pour les transactions électroniques afin de promouvoir le commerce électronique à l’échelle du continent. La Convention de Malabo autorise le transfert conditionnel de données. Elle exige des États membres qu’ils adoptent des lois sur la protection des données, garantissant les droits individuels et obligeant les responsables du traitement des données à assurer une protection adéquate lors du partage avec des États non membres de l’UA (African Union, 2014). En substance, la convention promeut la libre circulation des données et protège les droits grâce à des garanties établies.
Le Protocole sur le commerce numérique de la ZLECAf, adopté en 2024, vise à réglementer et à faciliter les transactions numériques grâce à des règles continentales communes. Il façonne la libre circulation des données en Afrique, qu’elles soient à caractère personnel ou non, dans le cadre du commerce numérique. Le protocole encourage les États parties à faciliter les transferts de données tout en garantissant la protection des données et de la vie privée. Il vise également à supprimer les obstacles, comme les exigences locales de stockage des données, et à promouvoir l’innovation en matière de données par l’établissement de politiques et de normes sur la mobilité et la portabilité des données (African Continental Free Trade Area Secretariat, 2024). Ce protocole prévoit des exceptions permettant aux États membres de s’écarter de la règle générale de la libre circulation des données, pour autant que les mesures adoptées servent des objectifs légitimes de politique publique ou protègent des intérêts essentiels de sécurité.
L’Union africaine, par le biais de ces instruments juridiques, pose les fondations d’un espace numérique unifié. Cependant, la mise en œuvre de cette vision à l’échelle continentale se heurte à la complexité des réalités juridiques et politiques des communautés économiques régionales.
III. Les cadres réglementaires des communautés économiques régionales en matière de données : une fragmentation malgré des objectifs convergents.
Les communautés économiques régionales (CER) africaines jouent un rôle central dans la mise en œuvre de la libre circulation des données et la création d’un espace numérique harmonisé. Cependant, les approches adoptées par ces CER révèlent une fragmentation, bien que les objectifs de protection des données personnelles et de facilitation des échanges soient convergents.
Au sein de la Communauté Économique des États de l’Afrique de l’Ouest (CEDEAO), l’Acte additionnel relatif à la protection des données à caractère personnel de 2010 constitue un jalon important. Inspiré de la Convention de Malabo, cet acte vise à établir un cadre juridique contraignant pour la protection des données personnelles entre les États membres. Il autorise les transferts de données vers des États non membres, sous réserve d’une protection adéquate de la vie privée, des libertés et des droits individuels (CEDEAO, 2010). Cette initiative reflète une volonté d’équilibrer la libre circulation des données avec la protection des droits fondamentaux. En outre, elle a servi de base à l’élaboration des lois nationales sur la protection des données au Bénin, au Burkina Faso, au Cap-Vert, au Ghana, au Niger, au Sénégal, en Côte d’Ivoire et au Mali.
La Communauté de développement d’Afrique australe (SADC) a également progressé en matière de réglementation des données personnelles. La Loi type sur les données à caractère personnel de 2013 propose des principes directeurs pour le traitement des données personnelles, qui peuvent être intégrés dans les législations nationales. Cette loi précise les conditions de transfert des données, en tenant compte de l’appartenance à la SADC (HIPSSA, 2013). Suite à cette initiative, plusieurs pays de la région, tels que la Zambie, le Zimbabwe, le Botswana, l’Eswatini, le Lesotho et l’Angola, ont mis en place leurs propres législations nationales pour renforcer la protection des données personnelles dans les années qui ont suivi.
La Communauté Économique des États de l’Afrique Centrale (CEEAC), ainsi que la Communauté Économique et Monétaire de l’Afrique Centrale (CEMAC), ont également adopté des instruments similaires pour la protection des données. La Loi type de la CEEAC de 2013 et la Directive de la CEMAC de 2013, visent à fournir une réglementation sur la protection des données comparable à celle de la SADC. Ces textes limitent les transferts de données vers des pays non membres, sauf si ces derniers assurent un niveau de protection adéquat. Cette approche, bien que protectrice, peut potentiellement ralentir la libre circulation des données à l’intérieur de l’Afrique.
La Communauté de l’Afrique de l’Est (CAE) a également contribué à l’effort de réglementation. Le Cadre juridique de la CAE pour la cyberlégislation de 2008, parmi les premières initiatives en Afrique à établir un cadre harmonisé pour la cyberlégislation, a été conçu pour soutenir l’intégration régionale en matière de gouvernance et de commerce électroniques. Bien qu’il ne contienne pas de dispositions explicites sur les transferts de données, il englobe la protection des données et de la vie privée (Union Africaine, 2023, p. 22).
Malgré ces avancées notables, des défis subsistent. Les instruments de l’UA et des CER partagent des valeurs communes, mais divergent parfois dans leurs approches en matière d’échange de données. Ces divergences, couplées aux lacunes dans la mise en œuvre, entravent une adoption uniforme au niveau national. Les instruments de l’Union africaine peuvent parfois manquer de directives précises pour leur mise en œuvre, ou à l’inverse, être trop contraignants pour les États membres. Des définitions larges peuvent également accorder aux États membres une flexibilité excessive, ce qui conduit à une disparité de l’application des règles.
L’adoption lente de la Convention de Malabo et le manque de participation de certains acteurs majeurs, tels que l’Égypte, le Nigeria, l’Afrique du Sud et l’Éthiopie, nuisent également à sa crédibilité. La dépendance de certains instruments de l’UA à des cadres externes, notamment ceux de l’Union européenne, soulève des inquiétudes quant à leur pertinence pour les réalités africaines. De plus, le processus politique est parfois perçu comme influencé par des acteurs externes, malgré les arguments en faveur de l’implication des acteurs africains.
La fragmentation des approches et les lacunes dans la mise en œuvre constituent des obstacles à la création d’un espace numérique africain unifié. Pour progresser vers cet objectif, les cadres juridiques nationaux doivent interagir de manière harmonieuse avec ceux des CER et de l’UA.
IV. Les cadres juridiques nationaux : des ambitions de souveraineté numérique face aux défis de la libre circulation des données.
Au niveau national, l’élaboration des politiques en matière de données est façonnée par un ensemble de facteurs, dont les avis d’experts, l’influence des médias, ainsi que les intérêts politiques et commerciaux. La combinaison de ces influences engendre des visions et des perspectives nationales divergentes sur la gestion et le partage des données. Ces divergences se manifestent notamment par la priorité accordée aux intérêts économiques et politiques nationaux, parfois au détriment de la libre circulation des données, pourtant porteuses d’une valeur économique considérable.
Le Nigéria, par exemple, met l’accent sur l’innovation locale et le développement économique en imposant des restrictions sur les flux de données, notamment à travers l’obligation de localisation des données. Cette approche vise à stimuler l’économie numérique nationale et à renforcer le contrôle sur les données. Dans le même ordre d’idées, le Mozambique privilégie le stockage local des données, motivé par des considérations de confidentialité et de protection de la propriété intellectuelle. Cette stratégie vise à sécuriser les informations sensibles et à favoriser le développement d’un écosystème numérique national. Le Sénégal, quant à lui, élabore une stratégie nationale axée sur la protection des données personnelles, en collaboration avec des partenaires européens et chinois (Musoni et al., 2024, p. 4-20). Certains observateurs soulignent que le Sénégal s’est rapproché de la Chine, considérant l’approche chinoise comme une source d’inspiration pour sa quête de souveraineté numérique.
Cependant, la fragmentation des approches nationales crée un défi majeur pour la réalisation d’une véritable souveraineté numérique panafricaine. Certains pays africains pourraient être tentés d’adopter un modèle similaire à celui de la Chine, caractérisé par une souveraineté numérique nationale forte, qui implique le stockage des données dans des datacenters nationaux et un contrôle strict de l’information. Or, l’Afrique a une opportunité unique de construire une souveraineté numérique panafricaine, qui repose sur la libre circulation des données intra-africaine et nécessite une harmonisation des législations nationales et continentales.
Toutefois, en raison du stockage des données en dehors du continent, du fait d’un manque d’infrastructures et de personnel qualifié, la relocalisation des données reste un enjeu stratégique de premier plan. Les cadres juridiques peuvent constituer une première étape, le temps que le continent développe suffisamment d’infrastructures pour territorialiser les données. De nombreux États africains ont élaboré des cadres législatifs pour protéger les données personnelles et la vie privée.
Le Maroc a été l’un des pionniers en la matière avec l’adoption de la Loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en 2009. Cette loi a établi la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) et fixe un cadre rigoureux pour la collecte, le traitement et le stockage des données personnelles. Elle impose des obligations strictes aux responsables de traitement, tels que les entreprises et les administrations, en matière de sécurité et de confidentialité des données. L’article 8 de cette loi stipule que le transfert de données hors du pays nécessite un consentement explicite et des garanties appropriées. La CNDP, en tant qu’autorité de contrôle, veille à l’application de cette loi et impose des exigences spécifiques, notamment pour les contrats de sous-traitance cloud, en particulier pour les données sensibles. De plus, la loi exige une évaluation d’impact pour les traitements présentant des risques et contraint les entreprises du secteur bancaire à notifier la CNDP des traitements externalisés vers le cloud (Loi n° 09-08, 2009).
La Côte d’Ivoire a également adopté la Loi n° 2013-450 du 19 juin 2013, qui a créé l’Autorité de Régulation des Télécommunications/TIC de Côte d’Ivoire (ARTCI). Cette loi exige un consentement préalable pour le traitement des données, qui doit être limité à des finalités spécifiques et légitimes. L’ARTCI assure le contrôle de la conformité et peut autoriser certains traitements. Les adresses IP, considérées comme des données personnelles, doivent également être déclarées (Assemblée nationale de la République de Côte d’Ivoire, 2013). En même temps, au Mali, la Loi n° 2013-015 du 21 mai 2013 encadre la protection des données personnelles. Elle exige un consentement éclairé et informe les individus sur l’utilisation de leurs données. L’Autorité de Protection des Données à Caractère Personnel (APDP) est chargée de superviser l’application de cette loi et d’imposer des sanctions en cas de non-respect (Assemblée nationale de la République du Mali, 2013).
En Afrique du Sud, la Loi sur la protection des informations personnelles, ou POPIA (Protection of Personal Information Act), a été votée en 2013 et mise en œuvre en juillet 2020, avec une période de grâce jusqu’au 1ᵉʳ juillet 2021. Cette loi s’applique aux entreprises, qu’elles soient locales ou internationales, qui traitent des informations personnelles. La POPIA impose de nommer un responsable de l’information, de rédiger une politique de confidentialité et de sensibiliser les employés. Elle prévoit également la déclaration des violations de données et la vérification des transferts internationaux. Les sanctions pour non-conformité peuvent inclure des amendes et des peines de prison. Les utilisateurs bénéficient de droits tels que l’accès et la rectification de leurs données. Le Régulateur de l’Information (SAIR) supervise l’application de cette loi (POPIA, 2021).
Au Kenya, la Loi sur la protection des données, appelée DPA (Data Protection Act), est entrée en vigueur le 25 novembre 2019 et constitue le principal texte législatif en matière de protection des données. Elle protège le droit à la vie privée et crée le Bureau du Commissaire à la protection des données (ODPC). Depuis la nomination du Commissaire en novembre 2020, plusieurs régulations ont été mises en place pour renforcer l’application de la loi, notamment les Data Protection (General) Regulations, 2021, qui précisent les droits des personnes concernées, les obligations des responsables de traitement et les mesures de sécurité à mettre en œuvre. Ces régulations, entrées en vigueur en février 2022, visent à établir un cadre clair pour le traitement des données personnelles et assurent une meilleure conformité des entreprises. Par ailleurs, des directives spécifiques ont été émises pour aider divers secteurs à se conformer aux obligations de la DPA (DLA PIPER, 2025).
En Algérie, une approche constitutionnelle a inscrit la protection des données comme un droit en 2020. L’Autorité Nationale de Protection des Données Personnelles a été mise en place en 2022. La loi n° 25-11, issue de la loi n° 18-07 de 2018, impose le respect des droits individuels, la transparence et la sécurité des données. Elle prévoit des sanctions en cas de manquement et oblige les responsables à réaliser des analyses d’impact et à signaler les violations de données dans un délai de 5 jours (Legal Doctrine, 2025).
Le Nigeria a adopté sa Loi sur la protection des donnée ou NDPA (Nigeria Data Protection Act), le 16 juin 2023, qui offre un cadre juridique formel pour la protection des informations personnelles des citoyens. Cette loi a créé la Commission nigériane de protection des données (NDPC), qui remplace le Bureau nigérian de protection des données (NDPB). La NDPC a pour mission de réglementer et de promouvoir la protection des données, d’imposer des sanctions en cas de violation et d’accréditer des services de conformité. Cette initiative est particulièrement importante compte tenu du rôle prépondérant des technologies de l’information et de la communication (TIC) et de l’importance du marché des télécommunications au Nigeria (National Assembly of the Federal Republic of Nigeria, 2023).
L’analyse comparative des législations africaines en matière de protection des données met en lumière des tendances intéressantes. Des pays pionniers comme le Cap-Vert (2001), la Tunisie (2004), le Sénégal (2008), le Maroc (2009) et le Bénin (2009) ont pris les devants en régissant certains aspects de la protection de la vie privée, bien avant l’entrée en vigueur du RGPD en 2018. Depuis l’adoption de ce règlement, de nombreux États africains ont non seulement créé ou révisé leurs lois, mais ont également adapté ces textes pour les aligner sur les normes établies par le RGPD. Par exemple, l’Afrique du Sud a mis en œuvre sa POPIA en 2021, alors que le Kenya a introduit la Data Protection Act en 2019, et le Nigéria a mis en place sa NDPA en 2023, succédant à un règlement de 2019.
Aujourd’hui, près de 40 pays africains disposent de législations encadrant la collecte et le traitement des données personnelles. D’autres exemples notables incluent le Ghana (Data Protection Act 2012), la Côte d’Ivoire (loi de 2013), le Togo (loi de 2019), le Burkina Faso (loi de 2004 révisée en 2021) et l’Île Maurice (Data Protection Act mise à jour en 2017). Même si certains pays, comme la République centrafricaine et le Sud-Soudan, n’ont pas encore de lois spécifiques sur la protection des données, ils sont en train de remédier à cette lacune (Schlumberger, 2025). Le Cameroun a adopté sa loi de protection des données en décembre 2024 et est devenu le 40ᵉ pays du continent à légiférer dans ce domaine.
Ces législations imposent des obligations aux entreprises et aux délégués à la protection des données (DPO), afin de garantir la conformité aux normes établies. Les principes de licéité, de finalité, de transparence, de minimisation, de confidentialité et de limitation de la conservation y sont largement appliqués. Les entreprises doivent à la fois protéger les informations personnelles et respecter les droits des individus, notamment le droit d’accès, le droit à la rectification et le droit à l’effacement des données. Cependant, des défis persistent concernant l’application de ces lois, notamment en raison du manque de ressources pour les autorités de protection des données, qui sont parfois incapables de remplir leurs rôles de contrôle, de sensibilisation et de sanctions.
Malgré cette convergence entre les législations africaines et le RGPD, notamment en matière de droits et d’obligations des responsables de traitement, d’importantes différences existent, telles que la portée d’application. Alors que le RGPD s’applique de manière extraterritoriale, de nombreuses lois africaines se concentrent sur des portées nationales, bien que certaines, comme celles du Rwanda ou du Ghana, envisagent une portée extraterritoriale. En outre, aucun pays africain n’a été reconnu par la Commission européenne comme offrant un niveau de protection adéquat, ce qui oblige les entités traitant des données entre l’Europe et l’Afrique à adopter des garanties supplémentaires pour se conformer aux réglementations. De plus, plusieurs législations africaines, à l’image de celles du Maroc et du Bénin, maintiennent des mécanismes de déclaration ou d’autorisation préalable pour certains traitements de données, contrairement à l’approche plus allégée du RGPD, qui privilégie l’auto-responsabilisation.
La fragmentation des cadres juridiques nationaux, combinée aux disparités en termes de ressources et de capacités de mise en œuvre, entrave la libre circulation des données et limite le potentiel de l’Afrique à tirer pleinement parti des avantages de l’économie numérique. Il est donc important d’envisager des stratégies pour surmonter ces obstacles et de progresser vers une harmonisation des réglementations ainsi qu’une coopération accrue entre les États africains.
V. Recommandations pour une souveraineté numérique panafricaine.
L’instauration d’une souveraineté numérique panafricaine exige une approche intégrée, englobant le développement des infrastructures, l’économie, la réglementation et l’innovation scientifique. Des investissements conséquents dans les infrastructures de stockage des données, telles que des datacenters et des « clouds souverains » interopérables, s’avèrent indispensables, tout comme le renforcement de la connectivité via les infrastructures de transmission des données, notamment les câbles sous-marins et terrestres. La promotion de l’inclusion numérique à travers des programmes de formation, en particulier pour les populations vulnérables et les zones rurales, constitue un aspect central de cette démarche.
En matière de développement économique, il faut encourager un marché numérique panafricain dynamique, en soutenant les PME et les start-ups à travers des incitations financières et des programmes de mentorat. La réduction des coûts d’accès aux technologies et la promotion de la production locale de solutions abordables s’avèrent également fondamentales. En même temps, un investissement massif dans la recherche scientifique, avec un accent sur l’intelligence artificielle, favorisera une collaboration efficace entre les universités et les entreprises.
L’harmonisation des cadres juridiques est une autre étape clé et nécessite un alignement des législations nationales avec les initiatives des CER et celles de l’Union africaine. Cela inclut la création de mécanismes pour faciliter le partage sécurisé des données, tout en garantissant la protection de la vie privée. Le développement d’une plateforme continentale d’open data peut également stimuler l’innovation et la transparence, en incitant les entreprises locales à exploiter les données disponibles.
Le développement de l’IA en Afrique implique aussi d’investir dans des supercalculateurs et de proposer des programmes de formation axés sur les compétences locales. En outre, l’établissement de normes éthiques pour la conception, le déploiement et l’utilisation de l’IA est nécessaire afin que ces innovations respectent et protègent les droits fondamentaux.
Conclusion.
La souveraineté numérique en Afrique nécessite un cadre juridique solide et une approche coordonnée entre les États africains. Malgré des avancées notables, des défis subsistent, notamment en matière d’inclusion numérique, de développement des infrastructures et de protection des données. Le panafricanisme joue un rôle clé pour harmoniser les réglementations et favoriser la libre circulation des données.
La collaboration entre les États, les communautés économiques régionales et l’Union africaine est nécessaire pour surmonter les disparités existantes. Si l’Afrique adopte des stratégies concertées, elle pourra renforcer sa souveraineté numérique ainsi que stimuler l’inclusion et l’innovation. Toutefois, plusieurs États africains font face à des défis de sécurité, de bonne gouvernance et d’État de droit. L’intégration du numérique doit également s’accompagner de réformes socio-politiques. Par ailleurs, même si l’IA a amplifié l’enjeu de la souveraineté numérique, l’Internet ne doit pas se réduire à la sécurité, mais inclure aussi la liberté et la libre circulation des informations. Dans ce contexte, comment la coopération de l’Afrique avec d’autres acteurs internationaux, comme l’Union européenne, qui adhèrent à des principes de protection des données et d’IA éthiques, peut-elle contribuer à renforcer l’inclusion et la souveraineté numérique en Afrique ?
Bibliographie.
African Continental Free Trade Area Secretariat. (2024). Protocol to the Agreement Establishing the African Continental Free Trade Area on Digital Trade. https://www.bilaterals.org/IMG/pdf/...
African Union. (2014, 27 juin). African Union Convention on Cyber Security and Personal Data Protection. https://au.int/en/treaties/african-...
African Union. (2020, 18 mai). The Digital Transformation Strategy for Africa (2020-2030). https://au.int/en/documents/2020051...
African Union. (2022, 28 juillet). AU Data Policy Framework. https://au.int/en/documents/2022072...
African Union. (2023, 12 décembre). Au Interoperability Framework for Digital Id. https://au.int/en/documents/2023121...
African Union. (2024, 17 juin). African Ministers Adopt Landmark Continental Artificial Intelligence Strategy, African Digital Compact to drive Africa’s Development and Inclusive Growth. https://au.int/en/pressreleases/202...
Assemblée nationale de la République de Côte d’Ivoire. (2013). LOI n° 2013-450 du 19 juin 2013 relative à la protection des données à caractère personnel. Dans ARTCI. https://www.artci.ci/images/stories...
Assemblée nationale de la République du Mali. (2013). Loi n° 2013-015 du 21 mai 2013 portant protection des données à caractère personnel en République du Mali. Dans AFAPDP. https://www.afapdp.org/wp-content/u...
Auda-Nepad. (2024). Regulation and responsible adoption of AI in Africa towards achievement of African Union Agenda 2063. https://dig.watch/resource/auda-nep...
CEDEAO. (2010). Acte Additionnel A/SA.1/01/10 relatif à la protection des données à caractère personnel. Dans AFAPDP. https://www.afapdp.org/wp-content/u...
Conseil de la Concurrence du Maroc. (Septembre 2023). https://conseil-concurrence.ma/rapp...
HIPSSA. (2013). Protection de données : Loi type de la Communauté de développement de l’Afrique australe (SADC). https://www.itu.int/en/ITU-D/Projec...
Legal Doctrine. (2025, 28 juillet). La nouvelle loi sur la protection des données personnelles en Algérie : un cadre renforcé pour plus de sécurité et de droits. https://legal-doctrine.com/edition/...
Loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. (2009). Dans DGSI. https://www.dgssi.gov.ma/sites/defa...
Musoni, M., Karkare, P., & Teevan, C. (2024). Flux de données transfrontaliers en Afrique : ambitions continentales et réalités politiques. Dans ECDPM. https://ecdpm.org/application/files...
National Assembly of the Federal Republic of Nigeria. (2023). Nigeria Data Protection Act. Dans CERT. https://cert.gov.ng/ngcert/resource...
POPIA. (2021, juillet). Protection of Personal Information Act (POPI Act). https://popia.co.za/.
Schlumberger, E. (2025, 5 juillet). La protection des données personnelles en Afrique : où en est-on ? https://www.leto.legal/guides/rgpd-...
The Broadband Commission for Sustainable Connectivity (2025). The State of Broadband in Africa 2025.
U.S. Congress. (2018). Clarifying Lawful Overseas Use of Data Act (CLOUD Act).
UNCTAD. (2012). Harmonising cyberlaws and regulations : The experience of the East African Community. New York et Genève : United Nations Conference on Trade and Development. https://au.int/sites/default/files/...
Union Africaine. (2023). Principes d’intégration de dispositions relatives aux données dans les protocoles sur le commerce numérique. Dans Union Africaine. https://au.int/sites/default/files/...
