Les promesses et les limites de la souveraineté des données en Afrique

Source: JDA
Il y a 1 heure
Visites: 41
Tweeter

En juin 2025, lors d’une audition sous serment devant une commission d’enquête du Sénat français, le directeur des affaires publiques et juridiques de Microsoft France a admis que l’entreprise ne pouvait « pas garantir » la souveraineté des données des clients français en cas d’injonction légalement justifiée émise par un tribunal américain. En effet, en vertu du CLOUD Act de 2018, les autorités américaines peuvent ordonner à toute entreprise dont le siège social est situé aux États-Unis de leur remettre les données qu’elle contrôle, quel que soit son emplacement ou la filiale qui la détient.

Si un pays tel que la France, fort d’un régime de protection des données parmi les plus aboutis au monde, ne parvient pas à garantir que les géants de la tech respectent sa souveraineté en matière de données, que peuvent espérer des États africains tels que le Nigeria, le Kenya ou l’Afrique du Sud ?

Cette question plane actuellement sur le continent, à l’heure où les gouvernements africains adoptent des stratégies en matière d’IA, et réglementent les flux de données. La loi nigériane sur la protection des données, promulguée en 2023 et mise en œuvre en mars 2025, a mis en place des protections solides, que le projet de loi du pays sur la souveraineté numérique renforcerait s’il était adopté. La loi kenyane de 2019 sur la protection des données s’est avérée efficace, les tribunaux kenyans ayant ordonné à Worldcoin, l’entreprise de scan de l’iris cofondée par Sam Altman, de supprimer les données biométriques qu’elle avait scannées auprès de centaines de milliers de Kenyans, et suspendu pour des raisons de souveraineté un accord de partage de données de santé de 2,5 milliards de dollars avec les États-Unis.

Ces pays ne sont pas les seuls à agir. L’Afrique du Sud, l’Égypte, le Rwanda, le Ghana et le Sénégal ont tous pris des mesures en faveur de la protection numérique et de la gouvernance de l’IA. Adoptée en juillet 2024, la Stratégie continentale de l’Union africaine en matière d’intelligence artificielle vise à créer une architecture régionale cohérente pour intégrer ces efforts nationaux (même si elle demeure largement au stade des aspirations).

Plutôt que de s’efforcer péniblement de rattraper leur retard, les États africains œuvrent aujourd’hui activement pour leur autodétermination numérique, en légiférant sur des garde-fous relatifs à la manière dont les données des Africains sont collectées, stockées et utilisées. Seulement voilà, quelle que soit la sophistication de leurs réglementations, ils se heurtent à des obstacles structurels inhérents.

Aspect particulièrement problématique, les géants de la tech – tels que Microsoft, Google, Amazon et Meta – qui contrôlent l’infrastructure cloud dont dépend de plus en plus la vie numérique du continent sont des entreprises américaines disposant de filiales africaines, ce qui entrave l’application de la réglementation.

À titre d’exemple, l’architecture réglementaire du Nigeria a rempli son rôle lorsque la Commission fédérale de la concurrence et de la protection des consommateurs a infligé une amende de 220 millions $ à Meta en juillet 2024 (confirmée par un tribunal en avril 2025) pour violation des lois locales sur la protection des consommateurs et des données. Cette amende n’a cependant pas été payée. La filiale nigériane de Meta n’est pas parvenue à réunir les fonds par ses propres moyens, tandis que la société mère américaine était hors de portée des autorités nigérianes chargées de l’application de la loi. (Il semble que Meta se prépare à contester l’amende devant la Cour d’appel, et que l’entreprise ait conclu un accord à l’amiable avec les régulateurs autour d’une sanction distincte.)

La souveraineté nigériane sur Meta s’arrête à la frontière entre la filiale et la société mère – la même frontière que le CLOUD Act américain ignore – ce qui alimente un élan de construction d’infrastructures cloud souveraines. L’expérience du Kenya révèle toutefois les limites des solutions architecturales de contournement. En 2024, Microsoft et G42 (avec le soutien du fonds souverain des Émirats arabes unis), en collaboration avec le gouvernement kenyan, ont annoncé leur intention de bâtir un centre de données d’un milliard de dollars dans le pays. Ce projet a été présenté comme faisant partie d’une « zone de données de confiance », au sein de laquelle les données en provenance d’autres pays seraient régies par leurs lois respectives, en dépit de la localisation du stockage de ces données au Kenya.

Or, une localisation géographique supervisée par des entreprises américaines n’a de souverain que le nom. Le centre de données kenyan, par exemple, fonctionnerait sur les services cloud Microsoft Azure, sachant que Microsoft détient une participation minoritaire dans G42 et un siège au conseil d’administration de la société. D’autres grandes entreprises qui fournissent des services de centres de données sur le continent, telles que Teraco et MainOne, ont été fondées par des entrepreneurs africains, mais appartiennent désormais à des sociétés américaines.

Consciente de cette problématique, la France a mis en place des solutions de contournement plus élaborées : des coentreprises telles que Bleu et S3NS, dans le cadre desquelles les entreprises américaines fournissent la technologie mais ne détiennent pas de participations majoritaires, qui fonctionnent comme des entités juridiques françaises, et qui forment une couche supplémentaire entre les données françaises et les sociétés mères américaines. Malheureusement, comme le suggère l’enquête du Sénat français, ces coentreprises ne résolvent pas entièrement le problème.

Il ne s’agit pas d’échec des réglementations africaines. Le Nigeria, le Kenya et d’autres pays africains disposent d’une législation intelligemment conçue, et leurs organismes de régulation démontrent une volonté d’agir, tandis que l’UA a élaboré une vision stratégique. Le problème réside en ce que la conception actuelle de la souveraineté des données repose sur un sophisme : l’idée selon laquelle ce sont le lieu de stockage des données et les lois nationales s’y rattachant qui importent. En réalité, le facteur contraignant réside dans la localisation de la société mère qui supervise les données, et dans le gouvernement doté de l’autorité d’imposer ses règles à la société mère.

Il est par conséquent nécessaire que les gouvernements africains prennent trois mesures. Il leur faut premièrement concevoir un instrument continental qui interdise aux filiales immatriculées en Afrique de transférer des données à des gouvernements étrangers en l’absence d’accord international, sur le modèle de l’article 48 du Règlement général de l’Union européenne sur la protection des données.

Deuxièmement, les dirigeants politiques doivent isoler les catégories de données africaines les plus sensibles – numéros d’identification nationaux, informations bancaires, dossiers médicaux et correspondances avec l’administration – au sein d’infrastructures construites et gérées par des entreprises détenues à 100 % par une société mère africaine.

Enfin, il est nécessaire que la Zone de libre-échange continentale africaine, dont les protocoles relatifs au commerce numérique sont encore en cours de négociation, soit utilisée pour subordonner l’accès des géants technologiques aux marchés africains au respect des dispositions relatives à la souveraineté du continent.

Aucune de ces mesures ne sera facile à adopter. Chacune exige un niveau de coordination que le continent n’a pas encore atteint. Pour autant, l’alternative consisterait à accepter que les lois africaines sur la protection des données ne s’appliquent qu’aux entreprises locales, aux plateformes locales et aux courtiers en données locaux. Une souveraineté qui s’arrête aux frontières de l’Amérique des entreprises ne constitue pas encore une véritable souveraineté, mais seulement une promesse, dont l’accomplissement nécessite un changement structurel.

Par Samuel W. Ugwumba et Jake Okechukwu Effoduh