Lundi 12 juin, le nouveau président du Nigeria, Bola Tinubu, a promulgué une loi renforçant la protection des données (Nigeria Data Protection Act, 2023). Proposée par l’ancien président Muhammadu Buhari, celle-ci fournit un bouclier juridique relativement puissant visant à protéger les données à la fois en ligne et hors ligne.
C’est lors d’un discours d’ouverture d’un atelier sur la stratégie et le plan d’action pour la protection des données que le Dr Vincent Olatunji, commissaire national du Bureau nigérian de protection des données (NDPB), a révélé l’adoption de ce texte législatif. Il en a profité pour dresser la feuille de route devant guider l’action de la Commission nigériane de protection des données (NDPC) qui remplace, en vertu de la nouvelle loi, le NDPB.
Cette nouvelle Commission sera dirigée par un commissaire national chargé de faire respecter les règles de ladite loi. Ainsi, la NDPC promouvra des mesures technologiques et organisationnelles améliorant la protection des données personnelles, sanctionnera les violations des dispositions de la loi, accréditera les personnes aptes à fournir des services de conformité en matière de protection des données, etc.
Outre la création de cette Commission, cette nouvelle loi propulse le Nigeria au rang des pays soucieux de la protection des données personnelles tant elle s’inspire des fortes législations existantes en la matière. Et pour cause, le citoyen nigérian peut désormais connaître le type de données collectées, l’endroit où ces données sont stockées et l’identité des personnes qui les utilisent. Aussi, il peut exiger que l’entreprise efface ses données à tout moment et a le droit de s’opposer à l’utilisation de ses données à des fins marketing.
De plus, les entreprises doivent s’assurer que l’utilisateur donne son consentement avant d’utiliser ses données. Le silence ou l’inaction ne sont pas considérés comme un consentement : le consentement doit être explicite et doit être donné par écrit, oralement ou par voie électronique. Aussi, les organisations ne peuvent plus transférer de données à l’extérieur du pays sauf s’il existe un fondement juridique valable.
Enfin, les sanctions condamnant la violation de ces règles sont relativement fortes. Par exemple, une entreprise reconnue coupable d’avoir manqué à ses obligations en la matière pourra être condamnée à une peine pécuniaire consistant à reverser à l’individu lésé une partie des bénéfices réalisés au moyen de l’exploitation abusive de ses données.
Pascal C-M