La Convention de Malabo a été élaborée dans le but d’établir un cadre juridique complet pour la cybersécurité et la protection des données au sein des États membres de l’Union africaine. Ses objectifs clés incluent l’harmonisation des lois nationales pertinentes dans ce domaine crucial ainsi que la promotion de la sécurité en ligne et de la confidentialité des informations personnelles. De plus, elle vise à renforcer la coopération internationale et à favoriser un climat de confiance favorable aux transactions numériques. Son utilisation est étendue et englobe les actes de cybercriminalité tels que les transactions électroniques et les questions de protection des informations personnelles des individus ainsi que les transferts de données internationaux et les dispositifs de sécurité numérique dans un cadre institutionnel.
Après presque dix ans d’attente, la Convention de Malabo est enfin entrée en vigueur le 8 juin 2023, suite à la ratification par la Mauritanie, portant ainsi le nombre total d’État ratificateurs requis à quinze. Cet événement constitue une avancée majeure et transforme cette Convention en l’unique traité régional contraignant sur la protection des données en dehors de l’Europe. Par exemple en 2018 l’Algérie a adhéré à la Convention de Malabo pour renforcer ses capacités nationales dans la lutte contre la cybercriminalité et se conformer aux normes africaines régionales. Cette décision reflète une préférence pour un cadre africain jugé plus adapté aux réalités du continent que des accords perçus comme trop orientés vers les intérêts occidentaux tels que la Convention de Budapest.
Les retards dans l’approbation et les obstacles à la mise en œuvre de la Convention de Malabo.
La mise en œuvre de la Convention a connu un retard significatif en nécessitant presque dix ans pour obtenir les 15 ratifications requises et entrer finalement en vigueur en juin 2023. Cette lente progression a suscité des inquiétudes parmi les acteurs impliqués. Plusieurs raisons peuvent expliquer ce retard notamment le manque de mécanisme de supervision solide proposé par l’Union africaine pour diriger les efforts de mise en œuvre, faciliter la ratification, orienter l’adoption nationale et encourager l’harmonisation. Cette lacune institutionnelle a ralenti le processus dans son ensemble. De plus, le manque flagrant de volonté politique parmi les pays membres pour donner la priorité à l’intégration de la Convention a été un obstacle significatif. Enfin, la double orientation de la Convention, avec un accent à la fois sur la cybersécurité et la protection des données, a rendu sa mise en œuvre plus complexe, les pays africains ayant souvent des approches réglementaires distinctes pour ces deux domaines .
Malgré leur adoption officielle dans plusieurs pays africains munis de législations sur la protection des données (certains modèles inspirés par Malabo tels que la loi malgache de 2015), certains pays continuent à être confrontés à des défis majeurs quant à la mise en œuvre effective de ces lois en raison d’un manque de transparence notable et d’une insuffisance d’autonomie institutionnelle observée ». Il apparaît ainsi que le simple acte de ratification ne suffit pas à assurer une application efficace.
Dispositions dépassées et restrictions de portée de la Convention de Malabo.
La Convention est considérée comme dépassée en raison principalement du manque de dispositions claires concernant des aspects vitaux tels que les flux de données transfrontaliers. Même si elle offre des lignées directrices à cet égard, l’absence de mécanismems moderns et solides dans ce domaine représente une contraintre majeure dans l’économie numérique mondiale actuelle.
De plus et à la différence du Règlement Général sur la Protection des Données (RGPD) de l’Union européenne, la Convention de Malabo présente une portée principalement territoriale en vigueur lors du traitement des données sur le territoire des États parties. Cette approche se distingue de la portée extraterritoriale du RGPD qui couvre les activités de traitement liées à l’offre de biens ou services aux personnes concernées de l’UE, indépendamment du lieu de traitement. Cette limitation territoriale pourrait être considérée comme un point faible face aux enjeux numériques mondiaux . Bien que l’article 25 (paragraphe 3) de la Convention stipule que les cadres de sécurité informatique ne doivent pas enfreindre les droits des citoyens tels que garantis par la constitution nationale et les lois internes, les définitions générales des infractions liées à la cybercriminalité suscitent des inquiétudes quant à leurs possibles répercussions sur la liberté d’expression. Ce risque est reconnu même si la Convention cherche à le minimiser.
Concurrence entre les cadres nationaux et régionaux.
Une des principales raisons de la lenteur de la ratification réside dans le fait que de nombreux pays africains ont déjà mis en place des lois nationales plus modernes et solides en matière de protection des données qui sont alignées sur les normes internationales telles que le RGPD et qui suivent de près les évolutions mondiales en matière de gouvernement des données. Des organisations régionales telles que la Communauté d’Afrique de l’Est (CAE) et la Communauté Économique des États de l’Afrique de l’Ouest (CEDEAO) ont élaboré ou sont en train de mettre en place leurs propres dispositifs pour la protection des données. Ces cadres régionaux spécifiques répondent à des besoins et des priorités uniques, ce qui pourrait détourner l’attention et les ressources de la Convention de Malabo.
De plus, l’accord sur la Zone de libre échange continentale africaine ( ZLECAf ) et son futur Protocole numérique, qui inclura des annexes sur les flux de données et la protection des données, offrent une alternative séduisante. Les pays pourront privilégier ces nouveaux cadres commerciaux jugés plus pertinents pour les objectifs d’intégration économique du continent .
Cette situation met en évidence une tension intrinsèque entre l’objectif d’une harmonisation juridique continentale et la capacité des États souverains à légiférer avec agilité et en fonction de leurs contextes spécifiques. Le fait que les loix nationales plus récentes convergent vers des normes mondiales telles que le RGPD, même si l’UA recherchait une solution africaine aux traités perçus comme occidentaux , montre que les réalités du commerce numérique mondial et des flux transfrontaliers exercent une forte pression sur les Étas pour qu’ils adoptent des cadres compatibles entre eux. Ça pose la question de savoir comment les lois continentales peuvent rester à jour et éviter de devenir obsolètes rapidement avec le progrès rapide des technologies et des lois nationales.