Au Mali, la protection des données personnelles est encadrée par la loi n°2013-015 du 21 mai 2013, modifiée en 2017. Sa mise en œuvre est assurée par l’Autorité de Protection des Données à Caractère Personnel (APDP). Dans un contexte marqué par l’extension rapide des usages numériques, la question de la sécurisation des données s’impose désormais comme un enjeu stratégique pour l’État, les institutions et les citoyens.
Deux événements majeurs remettent cette question au centre des enjeux. En effet, le 28 janvier de chaque année est dédié à la Journée mondiale de la Protection des données personnelles. Au Mali, elle intervient à la veille du lancement de la Semaine nationale du numérique, consacrée aux enjeux de cybersécurité, de transformation digitale et de gouvernance des données, dans un contexte de numérisation accélérée des services publics et privés.
À l’heure du numérique, la protection des données à caractère personnel constitue un défi majeur pour l’ensemble des acteurs du secteur. Elle doit répondre à la fois aux exigences de la transformation digitale et aux impératifs de sécurité d’un espace devenu central pour l’administration, l’économie et les services publics. C’est dans cette perspective que le Mali a adopté dès 2013 une loi spécifique destinée à encadrer la collecte, le traitement et la conservation des données personnelles.
Chargée de veiller à l’application de ce cadre juridique, l’Autorité de Protection des Données à Caractère Personnel a été instituée par la même loi. Elle est notamment investie de missions de régulation, de contrôle et de sensibilisation. L’APDP définit les normes applicables à la collecte des données, encadre leur finalité et peut prononcer des sanctions administratives en cas de manquements. Elle dispose également de la faculté de saisir le Procureur lorsque des infractions pénales sont constatées.
Au-delà de ses missions de sensibilisation, l’APDP a déjà été amenée à prononcer plusieurs sanctions administratives pour des traitements de données non conformes, notamment dans les secteurs des télécommunications, des services et des plateformes numériques. Ces décisions ont porté sur l’absence de déclaration préalable, le non-respect du consentement ou des manquements aux obligations de sécurité prévues par la loi. Ces interventions traduisent la volonté de l’autorité de faire appliquer le cadre légal, malgré des moyens humains et techniques limités.
De plus, dans l’exercice de ses missions, l’APDP a déjà engagé plusieurs procédures à l’encontre d’organismes publics et privés pour non-respect des obligations prévues par la loi. Les manquements constatés concernent notamment l’absence de déclaration des traitements, le défaut de consentement des usagers ou des insuffisances dans la sécurisation des données collectées.
Ces interventions traduisent l’existence d’un cadre juridique actif, mais révèlent également les contraintes auxquelles fait face l’autorité, notamment en matière de moyens techniques, de contrôle effectif et de suivi des plateformes numériques en forte expansion.
Sécuriser le cyberespace
La problématique dépasse largement le cadre national. En Afrique, selon des données compilées en 2024, vingt-quatre pays disposent aujourd’hui d’une loi accompagnée d’une autorité de protection des données, tandis que douze autres ont adopté une législation sans organe dédié. Quatre pays travaillent encore à l’élaboration de leurs textes. Sur le continent, la sensibilisation demeure l’un des principaux leviers d’action afin d’informer les citoyens sur les enjeux liés à la vie privée et à la monétisation des données personnelles.
La Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel, adoptée en 2014, n’est entrée en vigueur qu’en 2023. Ce décalage, ainsi que la portée du texte, sont analysés de manière critique dans l’édition 2024 de l’Africa Data Protection Report. Ratifiée par quinze États sur cinquante-quatre, la convention est présentée comme un engagement à instaurer des cadres juridiques nationaux, mais le rapport souligne qu’elle n’accorde pas de droits directs aux citoyens et laisse une large marge d’interprétation aux États.
Le document estime par ailleurs que le texte apparaît aujourd’hui partiellement dépassé, dans la mesure où il regroupe sous un même cadre juridique la cybersécurité, la cybercriminalité, la protection des données et le commerce électronique. Or, l’émergence de nouvelles technologies comme l’Intelligence Artificielle, les objets connectés ou la circulation transfrontalière massive des données impose des réponses juridiques plus spécialisées.
C’est dans ce contexte que le Mali a validé en janvier 2024 sa Stratégie nationale de cybersécurité. Couvrant la période 2020 – 2028, ce document repose sur trois axes majeurs : le renforcement de la gouvernance et de la coopération, le développement d’une culture nationale de cybersécurité fondée sur la formation et la sensibilisation, ainsi que la sécurisation des infrastructures critiques à travers des normes techniques renforcées.
Nécessaire mise à jour
Il convient de signaler qu’une donnée à caractère personnel désigne toute information permettant d’identifier directement ou indirectement une personne physique. Il peut s’agir d’un nom, d’une photographie, d’une empreinte, d’un numéro de téléphone, d’une adresse électronique, d’un identifiant informatique ou encore d’une adresse IP, qu’elles soient publiques ou non.
Ces données ne cessent d’être personnelles que lorsqu’elles sont rendues totalement anonymes. Toutefois, dès lors qu’un recoupement permet d’identifier un individu, la qualification demeure. Cette réalité renforce la nécessité d’adapter en permanence les dispositifs juridiques aux évolutions technologiques.
La maîtrise des données sensibles est devenue un enjeu central pour l’État. Cette question s’est imposée dans le débat public à la suite du différend ayant opposé le Mali à la société française Idemia, chargée de la gestion du fichier biométrique de l’état-civil. La suspension d’accès au système en 2023, puis l’annonce officielle en février 2024 de la récupération des données et du lancement de « Mali Kura Biométrie », ont replacé la souveraineté numérique au cœur des priorités nationales.
Cet épisode a mis en lumière les risques liés à la dépendance technologique, mais aussi la nécessité de garanties juridiques, techniques et institutionnelles renforcées pour la gestion des bases de données stratégiques, notamment celles liées à l’identité, à l’état-civil et aux services publics.
Avec la numérisation progressive de l’administration, les données personnelles sont devenues un maillon central de l’action publique. Leur fiabilité et leur sécurité conditionnent désormais l’accès aux prestations sociales, aux documents administratifs et à de nombreux services essentiels.
Pour Ahmed Salif Camara, ingénieur en informatique, la question des données doit être abordée comme un levier de développement. Dans ce contexte, plusieurs spécialistes appellent à repenser la gouvernance des données au-delà de la seule logique de protection, afin d’en faire un outil structurant du développement et de la modernisation de l’État.
« Les données personnelles, comme le nom ou l’empreinte, doivent parfois être lues pour permettre l’accès à un service », explique-t-il. Dans un contexte d’interopérabilité des systèmes d’information, l’authentification des usagers repose précisément sur l’exploitation sécurisée de ces informations.
Selon lui, le débat ne doit donc pas se limiter à la protection, mais s’élargir au contrôle de l’usage. Il s’agit de permettre aux citoyens d’accéder à leurs propres données et de définir les conditions dans lesquelles ces informations peuvent être utilisées au service du développement.
À l’échelle nationale, il estime nécessaire que les autorités envisagent une meilleure organisation de la gouvernance des données produites par les systèmes, publics et privés. La mise en place de structures capables de centraliser, de sécuriser et d’exploiter ces données constitue, selon lui, un enjeu stratégique. L’autorité de régulation doit, à ce titre, « créer les conditions permettant l’interopérabilité entre les différents secteurs ».
Innovation numérique comme levier de développement
Le numérique occupe désormais une place centrale dans les politiques publiques. En dépit des progrès réalisés, le Mali reste confronté à une fracture numérique importante. Début 2025, le pays comptait environ 8,72 millions d’utilisateurs d’Internet, soit un taux de pénétration de 35,1%. Sur la même période, près de 16,1 millions de personnes demeuraient non connectées.
Le nombre de connexions mobiles actives atteignait 23,4 millions, un chiffre supérieur à la population en raison de l’usage de plusieurs cartes SIM. Selon les données de GSMA Intelligence, 87,5% de ces connexions relèvent désormais du haut débit, grâce aux réseaux 3G, 4G et 5G.
Pour consolider ces avancées, les autorités ont annoncé des investissements structurants, notamment la construction d’un centre de données de niveau Tier 3 et l’extension du réseau national de fibre optique. En parallèle, l’Agence de gestion du Fonds d’accès universel prévoit un investissement de plus de 43 milliards de francs CFA afin d’améliorer l’accès aux télécommunications, y compris dans les secteurs de la santé et de l’éducation.
À mesure que les systèmes d’information deviennent indispensables au fonctionnement de l’État, la protection des données personnelles prend une dimension stratégique. Toute vulnérabilité affectant ces systèmes peut désormais avoir des répercussions sur la continuité des services publics et sur la confiance des citoyens.
Dans ce contexte, la protection des données personnelles apparaît de plus en plus comme une composante essentielle de la souveraineté numérique et de la sécurité nationale, au croisement des enjeux technologiques, institutionnels et humains.
