[Sauf mention contraire, tous les liens renvoient vers des pages web en anglais, ndlt.]
Au Kenya, la loi tant attendue sur la protection des données a enfin été approuvée en 2019 et elle est entrée en vigueur l'an dernier.
Cette législation très complète emprunte de nombreux éléments au règlement général sur la protection des données (RGPD) de l'Union européenne et entend créer un cadre institutionnel ainsi que des recommandations légales pour le traitement des données personnelles au Kenya ou appartenant aux Kényan·e·s.
Le texte détaille les procédures à suivre pour recueillir et traiter les données personnelles, plaçant ainsi le Kenya au même niveau de protection que 25 autres pays africains.
La phase de mise en application de la loi étant enclenchée, le commissaire chargé de la protection des données devra, dès qu'il ou elle sera nommé·e, rapidement mettre en place des structures et des systèmes permettant de répertorier les organismes de traitement et de contrôle des données et d'ouvrir la voie à un encadrement efficace de ces activités.
Cela pourrait se transformer en une course contre la montre, avec l'élection présidentielle d'août 2022 en ligne de mire. Si la loi n'est pas encore mise en œuvre à cette date, les prochaines élections pourraient être à nouveau perturbées par l'usage du big data.
En effet, lors des deux précédents scrutins présidentiels, la société Cambridge Analytica [fr] (qui a entre temps fait faillite) avait contribué à une prise d'otage de la démocratie kényane en manipulant l'opinion publique, une manœuvre qui relève de l'ingérence numérique.
Médias sociaux sur mobile et tyrannie des chiffres
Parmi les 53 millions d'habitant·e·s que compte le Kenya, 98 % possèdent un smartphone. En janvier 2020, le nombre de connexions mobiles sur le territoire kényan s'élevait à 52 millions, selon des statistiques publiées par Data reportal. La majorité de ces personnes accèdent à internet, et en particulier aux réseaux sociaux, uniquement via un téléphone mobile. Aussi l'usage des médias sociaux au Kenya a-t-il constamment progressé au fil des années, avec 8,8 millions d'usagers en janvier 2020, soit une augmentation de 13 % par rapport à avril 2019.
En 2020, ces chiffres ont explosé. Sur la seule période d'avril à septembre, les abonnements aux données mobiles ont augmenté de 5 %, selon l'Autorité des communications du Kenya.
Le Kenya a acquis une réputation de leader en matière de connectivité, ce qui en fait un terrain idéal pour mener des campagnes politiques sur les réseaux sociaux.
Environ la moitié des 19,6 millions de Kényan·e·s inscrit·e·s sur les listes électorales en 2017 appartenaient à la tranche d'âge des 18-35 ans (génération des « millenials ») et votaient pour la première fois.
Désinformation et affrontements politiques en ligne
Le Kenya va devoir prendre les choses en main au plus vite pour que la législation sur la protection des données ne reste pas lettre morte et soit mise en œuvre de manière exhaustive. À seulement 20 mois de l'élection, le magazine The East African, une publication très prisée en Afrique de l'Est, a fait état d’une recrudescence de la désinformation à mesure que les luttes politiques kényanes gravitent vers des plateformes en ligne.
Interrogé par The East African, le directeur du bureau kényan de l'organisation de vérification des faits Africa Check, Alphonce Shiundu, a déclaré que les affrontements politiques actuels sur internet faisaient écho aux propos toxiques attribués lors des élections de 2017 à la société de conseil britannique Cambridge Analytica, tombée en disgrâce depuis.
Durant cette précédente campagne, le parti du Jubilee, alors au pouvoir, avait engagé cette entreprise [fr] pour des services de big data, de micro-ciblage comportemental, et de désinformation afin d'assurer la victoire du président sortant Uhuru Kenyatta.
Le futur commissaire chargé des données devra donc se jeter à l'eau dans ces conditions, et non seulement atteindre la rive opposée à la nage mais aussi ériger une forteresse de données qui empêche les partis politiques de manipuler leur électorat, ou pire encore, d'attiser les tensions et violences inter-ethniques.
Fondamentalement, ce nouvel appareil administratif deviendra un lieu de recours vers lequel les Kényan·e·s pourront diriger leurs plaintes concernant les usages abusifs de leurs données personnelles par des entreprises privées, mais aussi, et de façon de plus en plus récurrente, par des personnalités politiques.
Des données issues de Truecaller, une application d'identification des appels entrants, dont le siège se situe à Stockholm, placent le Kenya dans le top 3 des pays dont les utilisateurs de mobiles reçoivent le plus de SMS indésirables.
Safaricom, le plus grand opérateur de télécommunications du pays, a à plusieurs reprises été mis au ban public sur Twitter par sa clientèle. L'entreprise a également été attaquée en justice [pdf] en 2019 pour une fuite de données personnelles collectées via son service de transfert d'argent par mobile, Mpesa. Ce litige faisait suite à des révélations indiquant que les données de 11,5 millions de client·e·s de Safaricom avaient atterri sur le marché noir.
Une étude menée en 2018 par Myriad Connect [pdf], une société spécialisée dans les technologies mobiles USSD, a conclu que plus de 70 % des Kényan·e·s avaient déjà été victimes d'une fraude liée à des transactions financières numériques, ou connaissaient quelqu'un qui était concerné. La majeure partie de ces incidents s'étaient produits par téléphone (73 %) ou par SMS (57 %).
En septembre dernier, l'avocat kényan Ahmednasir Abdullahi a déclaré via son compte Twitter son intention d'intenter un recours collectif contre Safaricom pour ces violations :
Seeing the overwhelming response by Kenyan subscribers of Safaricom, I will INSHAALLAH formally write to them next week and then formally start a CLASS ACTION..Safaricom has been MINING DATA and then GIVES access to third parties to our telephones…KENYANS this is how law is made
— Ahmednasir Abdullahi SC (@ahmednasirlaw) September 18, 2020
Au vu du volume impressionant de réactions de la part des abonné·e·s kényan·e·s de Safaricom, je vais INSHAALLAH [si Dieu le veut] leur envoyer une requête formelle la semaine prochaine et ensuite engager un RECOURS COLLECTIF.. Safaricom EXTRAIT DES DONNÉES et DONNE ensuite accès à nos téléphones à des tiers… KÉNYANS, c'est ainsi que la législation se construit
Financement, auto-régulation et sanctions
Le juriste Mugambi Laibuta, qui exerce comme avocat auprès de la Cour suprême du Kenya, estime que la nomination du commissaire chargé des données marquera le début d'une longue route semée d'embûches vers l'application des lois de protection des données et la garantie du droit à la vie privée dans le pays. Actuellement, ces questions sont déjà épineuses en raison du manque de ressources, financières et autres, ainsi que des déficiences des mécanismes de sanction.
Mugambi Laibuta a exprimé son opinion sur le sujet dans un épisode de son podcast intitulé « Quelle est l'importance du commissaire chargé de la protection des données ? » : selon lui, le fait qu'aucun financement n'ait été alloué en amont aux organismes gouvernementaux de protection des données posera problème. Ce manque de moyens risque de renforcer les difficultés d'accès à certaines ressources, telles que les services d'analystes de données et d'experts juridiques, qui sont essentielles pour mener à bien les missions du commissaire.
Le juriste anticipe également des difficultés au niveau de l'application de la législation, par exemple en ce qui concerne l'enregistrement et l'auto-régulation des détenteurs de données. La loi impose effectivement à toutes les entités impliquées dans la collecte, le stockage et le traitement des données de s'inscrire à un registre tenu par le commissaire chargé de la protection des données.
Celui-ci devra ensuite prescrire des seuils à partir desquels il devient impératif d'être répertorié officiellement, et trancher sur les différents régimes à appliquer en fonction de la nature de l'organisme. Les règles en vigueur seront-elles les mêmes pour les petites et moyennes entreprises, pour les institutions gouvernementales et autres organismes publics, et pour les organisations non-gouvernementales ? M. Laibuta est d'avis que tant que ces seuils n'auront pas été déterminés, l'obligation de s'inscrire auprès des autorités chargées de la protection des données n'a pas lieu d'être.
Il se demande comment le commissaire, en concertation avec le secrétaire de cabinet du ministère des Technologies de l'information et de la communication, Joseph Mucheru, procédera à la détermination de ces seuils, une tâche qui fait reposer sur les épaules de ces deux personnes la lourde responsabilité de trouver des solutions équitables. En outre, s'il semble raisonnable de compter sur les entreprises de télécommunications, les banques et les établissements scolaires pour se conformer à la législation, des doutes subsistent quant aux mécanismes d'auto-régulation pour les petites et moyennes entreprises.
Il n'y a pas de solution en vue pour le moment, puisque même les autorités internationales de protection des données font toujours l'objet de vives critiques pour le manque de suivi des sanctions liées à des violations du RGPD.
Il sera également intéressant de voir comment le commissaire chargé des données abordera la question du traitement et du stockage des données par les organismes publics. Des inquiétudes de plus en plus marquées ont d'ores et déjà été exprimées à ce sujet, et des allégations de fuites de données en provenance d'instances gouvernementales ont fait surface.
Un article de Global Voices avait recueilli l'an dernier les réactions des internautes kényans à propos de l'adoption de la loi de protection des données. Certains s'étaient montrés critiques, trouvant ce calendrier législatif suspect : le vote de cette loi coïncidait en effet avec le déroulement en cours d'un projet visant à élaborer une base de données unique pour regrouper toutes les informations enregistrées par le gouvernement sur les citoyen·ne·s (le Système national intégré de gestion de l'identité, ou NIIMS).
Bien que la section 51 de la loi de protection des données prévoie des exemptions pour les organismes publics qui ont la main sur les dossiers de sécurité nationale, M. Laibuta espère que, dans l'intérêt du public, le commissaire en charge des données établira des directives claires concernant les pouvoirs publics, puisque la protection de la vie privée doit primer sur toutes les autres considérations.
La législation kényane en matière de protection des données aurait dû voir le jour il y a bien longtemps. La campagne électorale pour le scrutin de 2022 a déjà commencé. En l'absence de préparation, les fantômes du passé de la politique kényane pourraient resurgir, et venir hanter à nouveau le pays.