La protection des données personnelles en Afrique : où en est-on ?

5/7/2025
Tous les guides
🌍 Hors UE

Protection des données personnelles en Afrique : panorama des lois et obligations en 2025

Quel est le panorama des lois africaines sur la protection des données personnelles ?

Au fil des 20 dernières années, de nombreux pays d’Afrique, comme d'autres dans le monde, ont adopté des lois pour encadrer la collecte, le traitement et le stockage des données personnelles.

Actuellement, près de 40 pays africains se sont dotés d'une telle loi, couvrant ainsi la majeure partie du continent. Parmi les pionniers, on compte le Cap-Vert (dès 2001), la Tunisie, le Sénégal, le Maroc et le Bénin, qui avaient légiféré avant même l'avènement du RGPD. Ces précurseurs ont ensuite fait évoluer leurs textes pour les aligner sur les normes modernes inspirées du RGPD.

On peut citer par exemple :

  • l’Afrique du Sud (loi POPIA 2013, effective depuis 2021),
  • le Nigéria (Nigeria Data Protection Act de 2023, succédant à un règlement de 2019),
  • le Ghana (Data Protection Act 2012),
  • le Kenya (Data Protection Act 2019),
  • la Côte d’Ivoire (loi de 2013, Autorité de protection rattachée à l’ARTCI),
  • le Sénégal (loi de 2008 créant la Commission de Protection des Données Personnelles),
  • le Togo (loi de 2019),
  • le Burkina Faso (loi de 2004 révisée en 2021), ou encore l'Île Maurice (Data Protection Act mise à jour en 2017).

D’autres pays francophones d’Afrique de l’Ouest ont emboîté le pas dans le cadre d’une initiative régionale. En 2010, la CEDEAO (Communauté économique des États de l’Afrique de l’Ouest) a adopté un Acte Additionnel visant à harmoniser les législations, ce qui a servi de base aux lois nationales au Bénin, Burkina Faso, Cap-Vert, Ghana, Niger, Sénégal dès 2013, rejoints par la Côte d’Ivoire peu après.

De même, la Communauté de développement d’Afrique australe (SADC) a proposé en 2013 une loi-type régionale pour guider ses membres, et plusieurs pays d’Afrique australe ont suivi avec leurs propres lois dans les années suivantes (ex. Zambie 2021, Zimbabwe 2021, Botswana 2018, Eswatini 2022, Lesotho 2012, Angola 2011…).

Actuellement, seuls quelques pays africains n'ont pas encore de loi spécifique sur les données personnelles, mais ils travaillent à corriger cette situation.

Par exemple, le Cameroun a adopté sa loi de protection des données en décembre 2024, devenant le 40e pays du continent à légiférer en la matière. La République centrafricaine ou le Sud-Soudan travaillent également sur des projets de loi.

Il est important de noter que l'entrée en vigueur et l'application effective de ces lois prennent du temps dans plusieurs pays. En Algérie, la loi adoptée en 2018 n’est réellement appliquée que depuis 2023, et en Afrique du Sud, la loi votée en 2013 n’est entrée pleinement en vigueur qu’en 2021.

Quelles sont les obligations clés pour les entreprises et les DPO en Afrique ?

On retrouve un noyau commun d’obligations et de principes dans la plupart des lois africaines, largement inspiré des standards internationaux en la matière.

Les textes prévoient que toute entité (publique ou privée) qui traite des données personnelles doit respecter les principes fondamentaux suivants : licéité, transparence, finalité déterminée, minimisation des données collectées, exactitude, limitation de la conservation, intégrité et confidentialité. Ces exigences signifient, par exemple, ne collecter que les informations nécessaires pour un but précis et légitime, informer les personnes concernées de l’utilisation de leurs données, et assurer la sécurité des données contre les accès non autorisés. Comme dans le RGPD !

En pratique, les entreprises opérant en Afrique doivent notamment :

1- Disposer d’une base légale pour tout traitement de données personnelles.

La plupart des lois reconnaissent des bases similaires au RGPD, telles que le consentement explicite de la personne, l’exécution d’un contrat, le respect d’une obligation légale, la préservation des intérêts vitaux de la personne, l’exécution d’une mission d’intérêt public ou encore la poursuite de l’intérêt légitime de l’organisme. La loi d'Eswatini, par exemple, impose de signaler rapidement toute faille de sécurité aux autorités et aux personnes concernées, et d'autres pays comme le Kenya ou l'Afrique du Sud ont des exigences similaires en matière de notification d'incidents.

2- Respecter les droits des personnes concernées.

Partout, les individus disposent de droits sur leurs données, comme le droit à l’information (être informé de la collecte), le droit d’accès à leurs données, le droit de rectification des données inexactes, le droit à l’effacement (droit à l’oubli), et le droit d’opposition à certaines utilisations de leurs données. Les entreprises doivent mettre en place des procédures pour permettre l’exercice effectif de ces droits (par exemple, répondre aux demandes d’accès ou de suppression dans les délais prévus).

3- Assurer la sécurité et la confidentialité des données personnelles.

Les responsables de traitement ont l’obligation de protéger les données contre la perte, le vol, l’accès non autorisé ou toute forme de violation. Cela implique des mesures techniques et organisationnelles appropriées (chiffrement, contrôles d’accès, formation du personnel, etc.). En cas de violation de données (data breach), de plus en plus de lois africaines imposent de notifier l’autorité de protection et parfois les personnes concernées. Par exemple, la loi d’Eswatini exige de signaler toute faille de sécurité aux autorités et aux individus dans les meilleurs délais, et d’autres pays comme le Kenya ou l’Afrique du Sud ont des exigences similaires de notification d’incident.

4- Enregistrer ou déclarer certains traitements auprès de l’autorité locale de protection des données, lorsque c’est requis.

Plusieurs régimes juridiques d’Afrique noire ont hérité de l’ancienne pratique (issue de la directive européenne de 1995) d’exiger une notification des fichiers ou une inscription des responsables de traitement. Par exemple, au Sénégal ou au Bénin, les entreprises doivent déclarer leurs bases de données personnelles auprès de la Commission de protection des données locale avant de les exploiter.

De même, en Eswatini, les responsables de traitement doivent s’inscrire auprès de la Commission des communications, qui fait office d’autorité de protection. Ce formalisme administratif, qui n'existe plus dans le cadre du RGPD, tend toutefois à disparaître dans les lois les plus récentes, qui misent davantage sur la responsabilisation que sur l’autorisation préalable.

5- Encadrer les transferts de données hors du pays.

À l'instar du RGPD, les lois africaines stipulent fréquemment que les données personnelles ne doivent pas être transférées vers des pays qui n'assurent pas un niveau de protection adéquat, sauf si des garanties appropriées sont mises en place (clauses contractuelles types, consentement explicite, etc.).

Dans certaines régions, des accords facilitent les flux de données : par exemple, la SADC (Afrique australe) encourage la libre circulation des données entre ses États membres qui ont des lois similaires, tout comme la CEDEAO le fait en Afrique de l’Ouest. Néanmoins, en l’absence d’accord régional, il appartient aux entreprises de s’assurer que les transferts internationaux respectent les conditions posées par chaque législation nationale.

6- Nommer un responsable de la conformité aux données (équivalent DPO) dans certains cas.

Ici, les exigences varient : plusieurs lois n’imposent pas formellement la nomination d’un DPO, sauf pour les organismes publics ou certaines entreprises à haut risque. Par exemple, la loi sud-africaine POPIA désigne un Information Officer par défaut (souvent le chef d’entreprise) qui peut déléguer ce rôle, tandis que la loi kényane exige un DPO pour les entreprises traitant un volume important de données sensibles. Au Nigéria, le NDPA 2023 impose aux Data Controllers of Major Importance (grandes structures définies par la réglementation) de désigner un DPO et de réaliser des audits annuels de conformité par le biais d'organismes agréés (DPCO).

À l’inverse, la loi d’Eswatini 2022 précise qu’il n’est pas obligatoire de désigner un délégué à la protection des données pour le moment. Dans tous les cas, même sans obligation légale explicite, de nombreuses organisations choisissent de nommer un correspondant protection des données afin de piloter leur mise en conformité.

En résumé, les obligations en Afrique noir reflètent largement celles du RGPD : transparence vis-à-vis des personnes, minimisation des données collectées, sécurisation des informations, respect des droits individuels, et responsabilité des organismes. Les autorités locales veillent également au grain en demandant aux entreprises de documenter leur conformité (tenue d’un registre des activités de traitement, analyses d’impact pour les traitements sensibles, codes de conduite sectoriels, etc.). Pour les DPO africains, le défi consiste à adapter ces principes universels aux réalités locales et à suivre l’évolution rapide des réglementations pays par pays.

Comparaison avec le RGPD

Globalement, les lois africaines et le RGPD présentent une forte convergence : les grands principes, les droits des personnes et les obligations des responsables de traitement sont très similaires. Cette harmonisation est en partie volontaire et en partie pragmatique, le RGPD étant devenu une référence mondiale.

D’ailleurs, l’effet d’entraînement du RGPD a été ressenti jusqu’en Afrique : depuis son entrée en application en 2018, de nombreux États africains ont accéléré l’adoption ou la mise à jour de leurs lois nationales. Par exemple, le Kenya ou le Nigéria ont adopté leurs textes juste après le RGPD, et des pays qui avaient légiféré plus tôt (comme le Maroc ou le Bénin) ont procédé à des amendements pour intégrer les concepts du RGPD dans leur cadre interne.

Malgré cette proximité, il existe quelques différences notables par rapport au RGPD européen, dont voici les principales.

Différence n°1 : la portée territoriale et influence internationale

Le RGPD est réputé pour son application extraterritoriale stricte (touchant les entreprises hors UE ciblant des Européens). Les lois africaines ont, pour la plupart, une portée nationale, s’appliquant aux traitements effectués sur le sol national ou aux données de citoyens du pays. Certaines, cependant, intègrent également une portée extraterritoriale (par exemple, la loi du Rwanda ou du Ghana s’applique aux responsables hors du pays qui traitent des données de leurs citoyens). Bien que l'application internationale des lois africaines soit limitée par les moyens de chaque État, les DPO doivent éviter de penser que « loin des yeux, loin du risque ». Une entreprise établie en Europe qui traite des données d'utilisateurs africains pourrait théoriquement être inquiétée si elle viole la loi locale, surtout si elle a une présence ou des actifs dans le pays concerné.

Différence n°2 : Le niveau de protection reconnu par l’UE

À ce jour, aucun pays d’Afrique n’a été formellement reconnu comme offrant un niveau de protection adéquat par la Commission européenne. Autrement dit, les transferts de données personnelles depuis l’Europe vers l’Afrique nécessitent toujours des garanties supplémentaires (clauses contractuelles types, Binding Corporate Rules, etc.), faute d’accords d’adéquation comme il en existe avec certains pays (Japon, Canada, etc.). Cependant, cinq États africains – Maurice, Sénégal, Tunisie, Cap-Vert et Maroc – ont adhéré à la Convention 108+ du Conseil de l'Europe, une convention internationale alignée sur les principes du RGPD, démontrant ainsi leur engagement à atteindre un niveau élevé de protection des données.

Différence n°3 : Les approches réglementaires et les formalités

Comme évoqué plus haut, le RGPD a supprimé les obligations de notification préalable des traitements pour privilégier l’auto-responsabilisation (accountability). En Afrique, plusieurs lois plus anciennes ont conservé des mécanismes de déclaration ou d’autorisation préalable, en particulier pour les données sensibles ou les transferts à l’étranger.

Par exemple, au Maroc, il est requis d’obtenir une autorisation de la CNDP pour transférer des données personnelles à l’extérieur du pays, et au Bénin, certains traitements sensibles doivent être autorisés par l’APDP. Ces formalités administratives peuvent surprendre les organisations déjà conformes au RGPD, mais elles tendent à s’assouplir avec les réformes récentes. Par ailleurs, quelques États africains ont choisi d’adosser la protection des données à un régulateur existant (télécoms, cybersécurité...) plutôt que de créer une autorité dédiée comme le font le RGPD et la plupart des pays européens. C’est le cas par exemple au Tchad, en Côte d’Ivoire, au Rwanda ou en Eswatini, où c’est une commission ou agence déjà en place qui a reçu les pouvoirs de régulation des données personnelles.

Différence n°4 : Les sanctions et voies de recours

Le RGPD a frappé les esprits avec ses amendes pouvant atteindre 4% du chiffre d’affaires mondial. Les législations africaines prévoient également des sanctions financières significatives en cas de non-conformité, mais les montants varient fortement d’un pays à l’autre. Par exemple, la loi d’Eswatini établit une amende maximale d’environ 5,5 millions de dollars (100 millions d’emalangeni) ou 5% du chiffre d’affaires annuel, et peut assortir la sanction d’une peine d’emprisonnement jusqu’à 10 ans pour les responsables en cas d’infraction.

Certains pays fixent des plafonds moins élevés (la loi ivoirienne prévoit des amendes jusqu'à environ 50 000 € par infraction, la loi sénégalaise jusqu'à environ 60 000 €, etc.), parfois cumulables avec des peines de prison pour les dirigeants en cas de violation délibérée. Dans les faits, les autorités africaines de protection des données commencent seulement à exercer leur pouvoir de sanction. On a vu émerger ces dernières années les premières sanctions locales : l’autorité d’Angola a infligé une amende de 150 000 USD à un opérateur télécom pour traitement illégal de données d’abonnés, une banque zimbabwéenne a écopé de 525 000 USD d’amende après une fuite de données salariales, et un tribunal nigérian a condamné une société de prêt en ligne à 5 millions de nairas pour spam non sollicité.

Si ces montants restent en-deçà des records européens, ils marquent le début d’une application plus stricte des règles en Afrique. Les DPO et opérationnels doivent donc prendre ces lois au sérieux : le “risque RGPD” n’est plus seulement européen.

Défis et perspectives sur le continent africain

Des défis subsistent quant à la protection effective des données personnelles en Afrique.

Le premier défi tient à la mise en œuvre concrète des lois. Beaucoup d’autorités de protection des données (quand elles existent) manquent encore de moyens financiers et humains pour exercer pleinement leurs missions de contrôle, de sensibilisation et de sanction.

Toutefois, la tendance est à la montée en puissance : plusieurs pays renforcent actuellement leurs autorités de contrôle ou en créent de nouvelles. Par exemple, le Nigéria a transformé son organe régulateur en une Commission nationale (NDPC) dotée de davantage de pouvoirs, et la nouvelle loi camerounaise prévoit également la création d’une Autorité de protection des données personnelles indépendante. De plus, les autorités africaines coopèrent de plus en plus via des réseaux comme l’AFAPDP (Association francophone des autorités de protection des données) ou le Réseau africain des CIL, pour partager bonnes pratiques et retour d’expérience.

Le second défi concerne l’harmonisation régionale. Pour des entreprises opérant dans plusieurs pays d’Afrique, la mosaïque de lois nationales peut être complexe à gérer, d’autant que chaque texte a ses petites nuances. Des initiatives panafricaines cherchent à apporter de la cohérence : la Convention de Malabo de l’Union Africaine (2014) vise à inciter chaque État à adopter un cadre conforme à des principes communs, mais elle n’est entrée en vigueur qu’en 2023 et reste assez générale dans son contenu.

L’Acte additionnel de la CEDEAO (2010) a, lui, eu un effet concret en Afrique de l’Ouest en harmonisant les bases légales, principes et droits d’un pays à l’autre.

Il en va de même de la loi-type de la SADC (2013) pour l’Afrique australe, même si son adoption par les pays membres a été inégale. On observe également l’émergence de projets de réglementation supranationale, comme l’élaboration en cours d’un Acte sur la protection des données et la vie privée de la Communauté d’Afrique de l’Est (EAC).  À terme, une harmonisation accrue faciliterait considérablement le travail des DPO et la circulation des données sur le continent, tout en améliorant le niveau de protection global.

Enfin, un dernier enjeu, plus transversal, est celui de la sensibilisation et de la formation. La culture de la protection de la vie privée en est encore à ses débuts dans plusieurs pays africains, tant au niveau du grand public que des entreprises.

Pour conclure

La protection des données personnelles en Afrique n’est plus une idée nouvelle ni un luxe réservé aux autres continents – c’est une réalité juridique avec laquelle il faut compter. Pour les opérationnels et DPO africains, il est rassurant de constater que les obligations convergent largement avec les standards internationaux : en maîtrisant les fondamentaux (consentement, sécurité, droits des individus, etc.), on est bien armé pour se conformer dans la plupart des pays.

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

Comment faire une analyse d’impact sur les transferts de données ?
14/2/2025
Data Privacy Framework : comprendre et appliquer les principes de protection des données aux Etats-Unis
21/3/2024
RGPD : Qui sont Max Schrems et l’association NOYB ?
28/4/2022
La protection des données personnelles en Chine : quels impacts sur votre activité ?
9/11/2021

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Produits
Logiciel RGPDSensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataApplication mobile veille RGPD
Leto
Nous rejoindreContactA proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2025