PROJET DE CONVENTION DE L’UNION AFRICAINE SUR LA CYBER SECURITE ET LA PROTECTION DES DONNEES A CARACTERE PERSONNEL PREAMBULE Les États membres de l’Union africaine : Guidés par l’Acte Constitutif de l’Union africaine adopté en 2000; Considérant que la présente Convention portant adoption d’un cadre juridique sur la cyber sécurité et la protection des données à caractère personnel prend en charge les engagements actuels des États membres de l’Union Africaine aux plans sous régional, régional et international en vue de l’édification de la Société de l’Information ; Rappelant qu’elle vise à la fois à définir les objectifs et les grandes orientations de la société de l’Information en Afrique et à renforcer les législations actuelles des États membres et des Communautés Économiques Régionales (CER) en matière de Technologies de l’Information et de la Communication. Réaffirmant l’attachement des États membres aux libertés fondamentales et aux droits de l'homme et des peuples contenus dans les déclarations, conventions et autres instruments adoptés dans le cadre de l'Union Africaine et de l'Organisation des Nations Unies ; Considérant que la mise en place d’un cadre normatif sur la cyber sécurité et la protection des données à caractère personnel tient compte des exigences de respect des droits des citoyens, garantis en vertu des textes fondamentaux de droit interne et protégés par les Conventions et Traités internationaux relatifs aux droit de l’Homme particulièrement la Charte africaine des droits de l'Homme et des Peuples ; Convaincus de la nécessité de mobiliser l’ensemble des acteurs publics et privés (États, collectivités locales, entreprises du secteur privé, organisations de la société civile, médias, institutions de formation et de recherche etc.) en faveur de la cybersécurité. Réitérant les principes de l’Initiative Africaine de la Société de l’Information (AISI) et du Plan d’Action Régional Africain pour l’Économie du Savoir (PARAES) ; Conscients qu’elle est destinée à régir un domaine technologique particulièrement évolutif et en vue répondre aux attentes exigeantes des nombreux acteurs aux intérêts souvent divergents, la présente convention détermine les règles de sécurité essentielles à la mise en place d’un espace Instrument Juridique de l’Union Africaine Page 2 numérique de confiance pour les transactions électroniques, la protection des données à caractère personnel et la lutte contre la cybercriminalité ; Ayant à l’esprit que les principaux défis au développement du commerce électronique en Afrique sont liés à des problèmes de sécurité dont notamment :  les insuffisances qui affectent la réglementation en matière de reconnaissance juridique des communications de données et de la signature électronique ;  l’absence de règles juridiques spécifiques protectrices des consommateurs, des droits de propriété intellectuelle, des données à caractère personnel et des systèmes d’informations ;  l’absence de législations relatives aux téléservices et au télétravail ;  l’application des techniques électroniques aux actes commerciaux et administratifs ;  les éléments probants introduits par les techniques numériques (horodatage, certification, etc.).  les règles applicables aux moyens et prestations de cryptologie ;  l’encadrement de la publicité en ligne ;  l’absence de législations fiscale et douanière appropriées au commerce électronique. Convaincus que ce constat justifie l’appel à la mise en place d’un cadre normatif approprié correspondant à l’environnement juridique, culturel, économique et social africain ; que l’objet de cette convention vise donc à assurer la sécurité et le cadre juridique nécessaires à l’émergence de l’économie du savoir en Afrique. Soulignant que sur un autre plan, la protection des données à caractère personnel ainsi que de la vie privée se présente donc comme un enjeu majeur de la société de l’information, tant pour les pouvoirs publics que pour les autres parties prenantes ; que de cette protection nécessite un équilibre entre l’usage des technologies de l’information et de la communication et la protection de la vie privée des citoyens dans leur vie quotidienne ou professionnelle tout en garantissant la libre circulation des informations. Préoccupés par l’urgence de la mise en place d’un dispositif permettant de faire face aux dangers et risques nés de l’utilisation de l'informatique et des fichiers sur les individus dans le souci de respecter la vie privée et les libertés tout en favorisant la promotion et le développement des TIC dans les pays membres de l’Union Africaine ; Considérant que l'ambition de la présente convention est de répondre aux besoins de législation harmonisée dans le domaine de la cybersécurité dans les États membres de l’Union africaine ; qu’elle vise à mettre en place, dans chaque État partie, un dispositif permettant de lutter contre les atteintes à la vie privée Instrument Juridique de l’Union Africaine Page 3 susceptibles d’être engendrées par la collecte, le traitement, la transmission, le stockage et l’usage des données à caractère personnel ; qu’elle garantit, en proposant un type d’ancrage institutionnel, que tout traitement, sous quelque forme que ce soit, respecte les libertés et droits fondamentaux des personnes physiques tout en prenant également en compte les prérogatives des États, les droits des collectivités locales, les intérêts des entreprises ; tout en prenant en compte les meilleures pratiques reconnues au niveau international. Considérant que la protection pénale du système de valeurs de la société de l’information s’impose comme une nécessité dictée par des considérations de sécurité ; qu’elle se manifeste essentiellement par le besoin d’une législation pénale appropriée à la lutte contre la cybercriminalité en général et au blanchiment de capitaux en particulier ; Conscients qu’il est nécessaire, face à l’actualité de la cybercriminalité qui constitue une véritable menace pour la sécurité des réseaux informatiques et le développement de la société de l’information en Afrique, de fixer les grandes orientations de la stratégie de répression de la cybercriminalité, dans les pays membres de l’Union Africaine, en prenant en charge leurs engagements actuels aux plans sous régional, régional et international ; Considérant que la présente Convention vise en droit pénal substantiel à moderniser les instruments de répression de la cybercriminalité, par l’élaboration d’une politique d’adoption d’incriminations nouvelles spécifiques aux TIC, l’adaptation de certaines incriminations, des sanctions et du régime de responsabilité pénale en vigueur dans les États Membres à l’environnement des technologies de l’information et de la communication ; Considérant qu’en outre, en droit pénal procédural, elle fixe d’une part le cadre de l’aménagement de la procédure classique relativement aux technologies de l’information et de la communication et précise d’autre part les conditions de l’institution de procédures spécifiques à la cybercriminalité. Rappelant la décision Assembly/AU/Decl.1(XIV) de la 14 ème session ordinaire de l’Assemblée des Chefs d’États et de Gouvernements de l’Union africaine sur les technologies de l’information et de la communication en Afrique : défis et perspectives pour le développement, tenu à Addis-Abeba (Éthiopie) du 31 janvier au 2 février 2010. Tenant compte de la Déclaration d’Oliver Tambo adoptée par la conférence extraordinaire de l’Union Africaine des ministres en charge de la Communication et des Technologies de l’Information à Johannesburg le 05 novembre 2009. Rappelant les dispositions de la Déclaration d’Abidjan adoptée le 22 Février 2012 et celle d’Addis-Abeba adoptée le 22 juin 2012 sur l’harmonisation des Cyber-législations en Afrique. ONT CONVENU DE CE QUI SUIT : Instrument Juridique de l’Union Africaine Page 4 Article 1 : Définitions Au sens de la présente Convention, les différentes expressions suivantes sont définies comme suit : Chiffrement : toute technique qui consiste à transformer des données numériques en un format inintelligible en employant des moyens de cryptologie ; Code de conduite : ensemble des règles élaborées par le responsable du traitement afin d’instaurer un usage correct des ressources informatiques, des réseaux et des communications électroniques de la structure concernée et homologué par l’Autorité de protection. Commerce électronique : l’acte d’offrir, d’acheter, ou de fournir des biens et des services via les systèmes informatiques et les réseaux de télécommunications comme le réseau Internet ou tout autre réseau utilisant des moyens électroniques, optiques ou d’autres supports analogues permettant des échanges d’informations à distance. Commission : la Commission de l’Union Africaine Communication au public par voie électronique : :toute mise à disposition du public ou de catégories de public, par un procédé de communication électronique, de signes, de signaux, d'écrits, d'images, de sons ou de messages de toute nature qui n'ont pas le caractère d'une correspondance privée ; Communication électronique : toute transmission au public ou d’une catégorie de public, par un procédé de communication électronique ou magnétique, de signes, de signaux, d'écrits, d'images, de sons ou de messages de toute nature ; (La présente) Convention : la Convention de l’Union Africaine sur la Cybersécurité et la protection des données à caractère personnel. Conventions secrètes : les clés non publiées nécessaires à la mise en œuvre d'un moyen ou d'une prestation de cryptologie pour les opérations de chiffrement ou de déchiffrement ; Communication électronique indirecte : tout message de texte, de voix, de son, d’image envoyé via un réseau de communication électronique et stocké sur le réseau ou sur un terminal de communication jusqu’à réception dudit message.