Écoutez maintenant: La protection des données à caractère personnel des clients des services financiers numériques en Afrique.

Posted:

Author:

This webinar explores the challenges of protecting the personal data of digital financial services customers in Africa. It results in very concrete recommendations for governments, financial institutions and customers.

 

Le panel du webinaire a connu la participation de quatre experts :


Mme Christine BAGUELA SORO, Fondatrice et CEO de DigieWomen School du Gabon

Mr Emmanuel DIOKH, juriste spécialiste du droit du numérique et co-auteur avec Pape Fodé DRAME du livre blanc ‘Le numérique à l’épreuve de la crise sanitaire’ basé au Sénégal;

Mr Amouda ABOU SEYDOU, Rapporteur de l’Autorité de Protection des Données à caractère Personnel (APDP) du Bénin ; et

– Mr Didier SIMBA, Président du CESIA – CLUB D’EXPERTS DE LA SÉCURITÉ DE L’INFORMATION EN AFRIQUE

CONTEXTE DE LA DISCUSSION

La discussion a permis de mieux comprendre ce qu’est la donnée à caractère personnel, les enjeux commerciaux, juridiques, règlementaires et stratégiques qui y sont attachés, les risques encourus avant d’aboutir à des recommandations concrètes pour une meilleure protection des données personnelles par les entreprises/institutions financières, les gouvernants et les utilisateurs/clients.

On peut définir une donnée à caractère personnel comme une information qui permet d’identifier une personne physique directement (empreinte digitale) ou indirectement (numéro de téléphone). La question de la protection des données personnelles est devenue un enjeu majeur depuis la prise de conscience de la collecte massive et abusive de données par les géants de l’Internet (Google, Amazon et Facebook) sous le couvert de nombreux services conviviaux offerts gratuitement et ensuite revendues à des annonceurs. Ainsi pour éviter ces abus certains pays/espaces régionaux se sont dotés de cadres réglementaires adaptés comme l’Union Européenne qui a mis en vigueur le Règlement Général sur la Protection des Données (RGPD). Le RGPD est aujourd’hui la référence mondiale en matière de protection des données à caractère personnel et il prévoit des sanctions financières très dissuasives.

ÉTAT DES LIEUX DE LA PROTECTION DES DONNÉES A CARACTÈRE PERSONNEL EN AFRIQUE

La première partie de la discussion a permis de relever les constats suivants :

  • Les utilisateurs africains d’Internet, des réseaux sociaux et des services financiers numériques sont peu conscients et sensibilisés sur la nécessité de faire valoir leur droit à une utilisation consentie et éclairée de leurs données ;
  • Bien qu’une majorité de pays africains dispose d’une législation et d’une autorité/commission en charge de la protection des données personnelles, le continent ne dispose pas à ce jour d’un cadre juridique harmonisé ;
  • La convention de Malabo sur la cybercriminalité et la protection des données à caractère personnel a déjà été signée par 33 pays africains mais n’entrera en vigueur que lorsqu’un quinzième Etat l’aura ratifiée. Elle servirait ainsi de cadre harmonisé ;
  • Les autorités/commissions en charge de la protection des données mènent quelques actions de sensibilisation mais disposent de peu de moyens ;
  • Au Benin l’une des interventions de l’APDP dans le secteur financier a consisté a examiné les conventions d’échange d’information via des API (Application Programming Interface) entre les banques et l’Agence Nationale d’Identification des Personnes (ANIP) qui détient le registre biométrique national.

LES RISQUES ENCOURUS PAR LES ENTREPRISES OU INSTITUTIONS FINANCIÈRES

Le CESIA publie chaque année le baromètre de la sécurité informatique en Afrique qui présente deux risques majeurs que sont le phishing et le rançongiciel.

  • Le phishing est une cyberattaque via un mail malveillant envoyé à une cible afin d’espionner, usurper ses données ou exiger une rançon avant leur récupération ;
  • Le rançongiciel est un virus qui s’installe sur un système d’information et prend en otage les données de la cible qui ne seront récupérées qu’en contrepartie d’une rançon à payer au cybercriminel ;
  • A ces risques se rajoutent plus subsidiairement le risque de fraude à la carte.

Les impacts des cyberattaques visant les données personnelles peuvent porter sur l’Image de marque de l’institution, ses Finances, son Organisation ou sur les plans Juridiques et Règlementaires (IFOJR).

LES RECOMMANDATIONS POUR MIEUX PROTÉGER LES DONNÉES PERSONNELLES EN AFRIQUE

Pour finir voici les recommandations formulées par les panélistes.

Recommandations à l’endroit des entreprises :

  • Recruter un Responsable de la Sécurité des Systèmes d’Information (RSSI) qui pourrait jouer le rôle du Data Protection Officer (DPO)/Délégué à la Protection des Données;
  • Rattacher le RSSI sur le plan hiérarchique à la plus haute autorité de l’entreprise (Direction Générale ou Conseil d’Administration) et l’intégrer au Comité de Direction ;
  • S’assurer que le RSSI ou le DPO met en place des pratiques de mise en conformité avec la règlementation nationale en la matière ;
  • Faire une cartographie des applications bancaires pour savoir quelles sont les données collectées au sein des banques ? ou sont-elles stockées ? Comment sont-elles traitées ? Qui est le responsable du traitement ? Quelles sont les données critiques ?
  • Faire une sensibilisation différenciée/ciblée sur les enjeux de la protection des données personnelles à l’endroit du Top Management, des collaborateurs et des clients.

Recommandations à l’endroit des gouvernants africains :

  • Créer au sein de chaque pays une autorité de régulation des données qui devra identifier des sanctions fortes et surtout les faire appliquer ;
  • Inciter les associations de consommateurs de chaque pays à formuler un plaidoyer afin de pousser les Etats à l’action et obtenir les 15 ratifications nécessaires à l’entrée en vigueur de la convention de Malabo sur la cybercriminalité et la protection des données à caractère personnel.

Recommandations à l’endroit des utilisateurs/clients des services financiers

  • Exercer votre droit à la consultation des données collecter sur vous ;
  • Ne jamais accepter tous les cookies lors de la visite d’un site ;
  • Lire le résumé des conditions générales d’utilisation (CGU) du site ;
  • Vérifier au moment de faire des paiements la présence des éléments de confiance tels que le https dans l’URL et d’un cadenas.

Ce webinaire a été modéré par Maxime LOKOSSI, Responsable du Développement de la Communauté Francophone à DFI – Consultant en mésofinance et en finance digitale.