Introduction
La protection des données personnelles est devenue un enjeu juridique majeur en Afrique. Avec la multiplication des services numériques, la collecte massive de données et les transferts transfrontaliers, les États africains se dotent progressivement de cadres réglementaires pour protéger les droits des citoyens. En 2026, le paysage juridique a considérablement évolué.
Le cadre continental : la Convention de Malabo
Adoption et ratification
La Convention de l'Union Africaine sur la cybersécurité et la protection des données à caractère personnel, dite Convention de Malabo, a été adoptée le 27 juin 2014. Après des années de lente ratification, elle a atteint le seuil de 15 ratifications nécessaires à son entrée en vigueur en 2023.
Principes fondamentaux
La Convention consacre plusieurs principes :
- Consentement : le traitement des données exige le consentement préalable de la personne concernée
- Finalité : les données ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes
- Proportionnalité : seules les données nécessaires à la finalité poursuivie peuvent être collectées
- Conservation limitée : les données ne doivent pas être conservées au-delà de la durée nécessaire
- Sécurité : le responsable du traitement doit assurer la sécurité des données
Portée et limites
La Convention pose un cadre minimum que chaque État membre doit transposer dans sa législation nationale. Elle ne crée pas d'autorité continentale de supervision, laissant cette responsabilité aux États.
Les législations nationales en Afrique francophone
Les pays dotés de lois spécifiques
En 2026, la majorité des pays francophones d'Afrique disposent d'une législation sur la protection des données :
- Sénégal : Loi n° 2008-12 du 25 janvier 2008, avec la Commission de protection des Données Personnelles (CDP) comme autorité de régulation
- Côte d'Ivoire : Loi n° 2013-450 du 19 juin 2013, avec l'Autorité de Régulation des Télécommunications/TIC (ARTCI)
- Bénin : Code du numérique (Loi n° 2017-20), avec l'Autorité de Protection des Données à caractère Personnel (APDP)
- Cameroun : Loi n° 2024-002 sur la protection des données personnelles
- Gabon : Loi n° 001/2011 relative à la protection des données à caractère personnel
- Burkina Faso : Loi n° 010-2004/AN portant protection des données à caractère personnel, avec la Commission de l'Informatique et des Libertés (CIL)
- Mali : Loi n° 2013-015 portant protection des données à caractère personnel, avec l'Autorité de Protection des Données à caractère Personnel (APDP)
L'harmonisation régionale UEMOA
L'espace UEMOA a franchi une étape importante avec l'adoption en 2024 du Règlement n° 08/CM/UEMOA relatif à la protection des données personnelles. Ce texte, directement applicable dans les 8 États membres, harmonise les règles et crée un mécanisme de coopération entre les autorités nationales.
Les droits des personnes concernées
Les législations africaines reconnaissent généralement les droits suivants aux personnes dont les données sont traitées :
- Droit à l'information : savoir qui collecte ses données et pourquoi
- Droit d'accès : obtenir communication de ses données
- Droit de rectification : corriger les données inexactes
- Droit d'opposition : s'opposer au traitement pour des motifs légitimes
- Droit à l'effacement : demander la suppression de ses données dans certains cas
- Droit à la portabilité : récupérer ses données dans un format structuré (dans les lois les plus récentes)
Les obligations des responsables de traitement
Déclaration préalable
La plupart des législations imposent une déclaration ou une autorisation préalable auprès de l'autorité de protection des données avant tout traitement. Les traitements portant sur des données sensibles (santé, religion, opinions politiques, données biométriques) requièrent généralement une autorisation renforcée.
Sécurité des données
Le responsable du traitement doit mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données contre la perte, la destruction, l'accès non autorisé ou la divulgation.
Transferts internationaux
Les transferts de données vers des pays ne disposant pas d'un niveau de protection adéquat sont en principe interdits, sauf exceptions (consentement explicite, clauses contractuelles types, règles d'entreprise contraignantes).
Les défis de mise en conformité
Manque de moyens des autorités de régulation
Plusieurs autorités de protection des données en Afrique fonctionnent avec des budgets et des effectifs limités, ce qui réduit leur capacité de contrôle et de sanction.
Faible sensibilisation des entreprises
De nombreuses PME africaines ne sont pas encore conscientes de leurs obligations en matière de protection des données. Les programmes de formation et de sensibilisation restent insuffisants.
Articulation avec le droit OHADA
Le droit OHADA ne traite pas spécifiquement de la protection des données personnelles. L'articulation entre les réglementations nationales sur les données et le droit des affaires OHADA pose des questions pratiques, notamment en matière de commerce électronique.
Transferts transfrontaliers intra-africains
Le développement du commerce numérique intra-africain, favorisé par la Zone de Libre-Échange Continentale Africaine (ZLECAf), génère des flux de données entre pays disposant de niveaux de protection variables.
Recommandations pour les entreprises
Les entreprises opérant en Afrique doivent :
- Identifier les législations applicables dans chaque pays où elles collectent des données
- Désigner un responsable de la protection des données (DPO) ou un référent interne
- Cartographier les traitements de données personnelles
- Mettre à jour les politiques de confidentialité et les mentions d'information
- Sécuriser les données par des mesures techniques et organisationnelles
- Encadrer les transferts internationaux par des clauses contractuelles appropriées
- Former le personnel aux enjeux de la protection des données
Conclusion
La protection des données personnelles en Afrique progresse rapidement. Les entreprises et les professionnels du droit doivent suivre de près ces évolutions pour assurer leur conformité et anticiper les changements réglementaires à venir.