Protection des données personnelles en Afrique francophone : lois nationales, Convention de Malé, RGPD

La protection des données personnelles est devenue un enjeu stratégique en Afrique francophone, sous l'effet conjugué de la transformation digitale rapide, de l'extraterritorialité du RGPD européen, et de la Convention de l'Union Africaine sur la cybersécurité et la protection des données à caractère personnel (Convention de Malé, 2014).

La Convention de Malé (Union Africaine, 2014)

Adoptée à Malé (Île Maurice) le 27 juin 2014 par l'Union Africaine, la Convention sur la cybersécurité et la protection des données à caractère personnel établit un cadre continental harmonisé. Elle est entrée en vigueur en 2023 après 15 ratifications. Elle couvre :

• Transactions électroniques et signature électronique

• Protection des données personnelles : principes (loyauté, licité, finalité, proportionnalité, exactitude, durée), droits des personnes, autorité de protection

• Promotion de la cybersécurité et lutte contre la cybercriminalité

Lois nationales de protection des données

Pays avec un cadre légal établi

• Sénégal : Loi n°2008-12 du 25 janvier 2008 sur la protection des données personnelles. Autorité : CDP (Commission de Protection des Données)

• Côte d'Ivoire : Loi n°2013-450 du 19 juin 2013. Autorité : ARTCI (Autorité de Régulation des Télécommunications)

• Burkina Faso : Loi n°010-2004/AN. Autorité : CIL (Commission de l'Informatique et des Libertés)

• Bénin : Loi n°2017-20 du 20 avril 2018 (Code Numérique). Autorité : APDP

• Mali : Loi n°2013-015 du 21 mai 2013. Autorité : APDP

• Niger : Loi n°2022-32 du 17 juillet 2022

• Maroc : Loi 09-08 de 2009. Autorité : CNDP

• Tunisie : Loi organique n°2004-63 du 27 juillet 2004. Autorité : INPDP

• Gabon : Loi n°001/2011 du 25 septembre 2011. Autorité : CNPDCP

• Madagascar : Loi n°2014-038 du 9 janvier 2015

Pays en construction

• Cameroun : projet de loi en préparation, cadre actuel limité à la loi cybersécurité de 2010/012

• RDC : projet de loi en discussion

• Tchad, RCA : pas encore de loi spécifique

Principes communs (inspirés du RGPD)

Les lois africaines adoptent généralement les mêmes principes que le RGPD :

• Licité : consentement, contrat, obligation légale, intérêt légitime

• Finalité déterminée et explicite

• Minimisation des données

• Exactitude

• Limitation de la durée de conservation

• Sécurité et confidentialité

• Responsabilité (accountability) du responsable de traitement

Droits des personnes

• Droit d'information

• Droit d'accès

• Droit de rectification

• Droit d'opposition

• Droit à l'oubli (selon les lois)

• Droit à la portabilité (selon les lois)

• Droit de ne pas faire l'objet d'une décision automatisée

Obligations des entreprises

• Déclaration ou autorisation préalable du traitement auprès de l'autorité nationale (selon les pays)

• Désignation d'un DPO (Data Protection Officer) selon les seuils

• Tenue d'un registre des activités de traitement

• Analyse d'impact (DPIA) pour les traitements à risque

• Encadrement des transferts internationaux : pays adequats, clauses contractuelles types

• Notification des violations à l'autorité et aux personnes concernées

Sanctions

Les autorités nationales peuvent prononcer des sanctions financières (souvent en % du chiffre d'affaires), des injonctions, des suspensions de traitement. Les amendes RGPD applicables extraterritorialement à toute entreprise ciblant le marché européen (4% du CA mondial) s'ajoutent.

Maathis indexe des milliers de documents data protection

Maathis référence :

• La Convention de Malé et son texte intégral

• Les lois nationales de protection des données (Sénégal, Côte d'Ivoire, Burkina, Bénin, Mali, Niger, Maroc, Tunisie, Gabon, Madagascar)

• Les décisions des autorités nationales (CDP, APDP, CIL, etc.)

• Les conventions bilatérales sur les transferts

• Les standards internationaux (RGPD, Convention 108+)

Interrogez : « déclaration traitement CDP Sénégal », « transfert international données Afrique RGPD », « amende ARTCI Côte d'Ivoire », avec citations sourcées.

Cas d'usage

Direction juridique d'un groupe panafricain : conformité multi-juridictionnelle, registre des traitements harmonisé.

Fintech ou app mobile : cadre légal pour la collecte des données utilisateurs, transferts vers le cloud.

Cabinet conseil en privacy : audit RGPD/lois locales pour un client international.

DPO : suivi des décisions des autorités et adaptation des politiques internes.

Mots-clés data protection Afrique

Convention de Malé UA, protection données personnelles Afrique, loi 2008-12 Sénégal CDP, ARTCI Côte d'Ivoire, APDP Bénin, CIL Burkina, RGPD Afrique francophone, DPO Afrique, transfert international données, code numérique Bénin, CNDP Maroc 09-08.

Recherchez dans la base data protection

Créez un compte gratuit sur app.maathis.com pour interroger les lois et décisions data protection africaines.

Article publié le 22 juin 2026.