Report on recent developments in Africa data protection laws STAGE 7 EW - Single page - Flipbook - Page 9
Recent Developments in African Data Protection Laws | Outlook for 2023
9
New Laws map
Carte des nouvelles lois
Eswatini
Eswatini
Data breaches must be reported to the data protection
authority and the data subject as soon as reasonably
possible after the discovery of the compromise. There
are no timeframes enunciated in hours or days.
Toute violation de données ou atteinte à la sécurité
doit être signalée à l’autorité de protection des
données et à la personne concernée dès que
raisonnablement possible après la découverte de ladite
violation. La loi n’indique pas de délais d’exécution en
heures ou en jours.
Under the Eswatini DP Act, data subjects have the
right to information and access to their data, the right
to object to their data being processed, the right to
rectification and the right to erasure.
It is not mandatory to appoint data protection officers.
Eswatini is amongst the few African countries
that gave already-existing regulators the power
to regulate and enforce data protection. Here, the
authority in charge of data protection is the Eswatini
Communications Commission, established under
the Eswatini Communications Commission Act,
2013. The other countries that have adopted a similar
institutional approach are the Ivory Coast, Chad,
Zimbabwe, Rwanda and, until 2022, Nigeria.
Data controllers must notify the Communications
Commission of their processing activities.
Transborder data flows are subject to relaxed
conditions where the importing jurisdiction is a
Member State of the Southern African Development
Community, otherwise known as SADC.
The penalties for not complying with the Eswatini DP
Act include a fine of up to 100,000,000 Emalangeni
(approx. USD 5,507,000), 5% of the data controller’s
annual turnover and/or 10 years’ imprisonment to be
served by the head of the data controller if the offender
is a juristic person.
Selon la Loi d’Eswatini, les personnes concernées
jouissent du droit à l’information et à l’accès à leurs
données, du droit de s’opposer au traitement de leurs
données et du droit à la rectification et à l’effacement
de leurs données personnelles.
Il n’est pas obligatoire de désigner un délégué à la
protection des données.
L’Eswatini fait partie des quelques Etats africains qui
ont étendu les pouvoirs d’autorités déjà existantes
de manière à ce qu’elles couvrent la protection des
données. Dans le cas présent, l’autorité en charge
de la protection des données est la Commission des
communications d’Eswatini, établie en vertu de la
loi de 2013 sur la Commission des communications
d’Eswatini. Les autres pays qui ont adopté une
approche institutionnelle similaire sont la Côte
d’Ivoire, le Tchad, le Zimbabwe, le Rwanda et,
jusqu’en 2022, le Nigeria.
Les responsables du traitement sont tenus de
s’inscrire et de notifier leurs activités de traitement
auprès de la Commission des communications.
Les flux transfrontaliers de données sont soumis
à des conditions assouplies lorsque la juridiction
importatrice est un État membre de la Communauté
de développement de l’Afrique australe, autrement
appelée la SADC.
Les sanctions prévues en cas de non-respect
de la Loi d’Eswatini comprennent une amende
pouvant aller jusqu’à 100 000 000 Emalangeni
(environ 5 507 000 USD), 5 % du chiffre d’affaires
annuel du responsable du traitement et/ou 10 ans
d’emprisonnement à purger par le responsable
dirigeant si le contrevenant est une personne morale.