Guide pratique : La conformité RGPD pour les entreprises sénégalaises

Pourquoi la conformité RGPD/CDP est urgente même au Sénégal ?

Beaucoup de PME sénégalaises pensent que le RGPD ne les concerne pas. Faux : dès qu’une seule visite européenne arrive sur votre site (Google Analytics, formulaire contact), vous êtes dans le scope — amendes possibles jusqu’à 20 millions €. Et la loi 2008-12 sénégalaise impose des obligations similaires (déclaration CDP, consentement, droits d’accès), avec des sanctions pénales locales. Bonne nouvelle : 80 % de la conformité tient en 5 actions concrètes (politique de confidentialité, bannière cookies conforme, registre, base légale, DPO ou contact dédié).

La RGPD s’applique aussi aux entreprises sénégalaises

Si votre site web collecte des données de résidents européens (formulaires, cookies, newsletter), vous êtes soumis au RGPD. De plus, le Sénégal dispose de sa propre loi sur les données personnelles (loi n°2008-12) et de la CDP (Commission de Protection des Données Personnelles).

Les 7 principes du RGPD

Mise en conformité pour votre site WordPress

1. Bannière de cookies

• Installez le plugin Complianz ou CookieYes (gratuit)
• Bloquez les cookies non essentiels AVANT le consentement
• Proposez un choix réel : Accepter / Refuser / Personnaliser
• Pas de cases pré-cochées

2. Politique de confidentialité

WordPress génère un modèle dans Réglages → Confidentialité. Complétez avec :

• Quelles données vous collectez et pourquoi
• Qui y a accès (vous, sous-traitants, outils tiers)
• Combien de temps vous les conservez
• Les droits des utilisateurs (accès, rectification, suppression)
• Comment exercer ces droits (email de contact)

3. Formulaires conformes

• Case à cocher de consentement (non pré-cochée)
• Lien vers la politique de confidentialité
• Ne collectez que les champs nécessaires

4. Google Analytics conforme

• Activez l’anonymisation des IP dans GA4
• Ne chargez GA qu’après le consentement cookies
• Ou utilisez une alternative sans cookies : Plausible, Matomo

Droits des utilisateurs à respecter

CDP Sénégal : déclaration obligatoire

1. Rendez-vous sur le site de la CDP (cdp.sn)
2. Remplissez le formulaire de déclaration de traitement
3. Décrivez vos traitements de données personnelles
4. Obtenez votre récépissé de déclaration

Erreurs fréquentes (RGPD/CDP)

1. Bannière « OK pour continuer » avec choix forcé

Cause : on affiche un bandeau cookies avec uniquement un bouton « Accepter », ou un « Refuser » caché à 3 clics. La CNIL et la CDP considèrent cela comme du dark pattern non-conforme.

Solution : Accepter / Refuser doivent être au même niveau de visibilité (même taille, même couleur, premier plan). Pas de cases pré-cochées. Aucun cookie tiers (GA, Facebook Pixel) avant consentement explicite.

2. Google Analytics 4 sans bandeau cookie

Cause : on installe GA4 directement dans le header, considérant qu’il est « anonyme par défaut ». La CNIL a sanctionné plusieurs sites pour cela : GA4 reste un transfert de données vers les USA.

Solution : chargez GA4 UNIQUEMENT après consentement (Google Tag Manager + Consent Mode v2). Ou alternative privacy-first : Plausible, Matomo, Simple Analytics (pas de cookies, pas de bandeau requis).

3. Politique de confidentialité copiée d’un autre site

Cause : on copie-colle la politique de confidentialité d’un concurrent. Elle ne décrit pas vos vrais traitements : c’est un faux qui ne protège pas en cas de contrôle.

Solution : partez du modèle CNIL ou CDP. Listez vos traitements réels : Mailchimp newsletter, Stripe paiements, Hotjar analytics, etc. Une politique générique = pas de politique.

4. Aucun registre des traitements

Cause : on n’a jamais documenté qui collecte quoi, où, pourquoi, combien de temps. Lors d’un contrôle CDP ou d’une demande d’accès utilisateur, impossible de répondre dans les 30 jours.

Solution : registre simple en Google Sheet : Traitement, Finalité, Base légale, Catégories de personnes, Données collectées, Destinataires, Durée de conservation, Mesures de sécurité. À mettre à jour à chaque nouveau service.

5. Pas de procédure pour les demandes d’accès

Cause : un utilisateur demande ses données (« quelles données avez-vous sur moi ? ») par email. Personne ne sait quoi faire, l’email reste sans réponse 90 jours, le client porte plainte à la CDP.

Solution : adresse privacy@votresite.sn ou dpo@, procédure documentée (1 page) que toute l’équipe connaît. Délai légal : 30 jours pour répondre, gratuitement.

Exercice pratique

Pour explorer plus loin

• Protéger vos données personnelles en ligne — vue côté utilisateur, base technique du RGPD.
• Créer une politique de sécurité informatique — la PSI inclut la conformité.
• Le SEO international — RGPD obligatoire dès qu’on cible l’Europe.
• Sécuriser vos transactions bancaires — le PCI-DSS s’ajoute pour les e-commerces.
• Référence officielle : CDP Sénégal et Texte officiel RGPD.
• Outils : Complianz (WP), Iubenda (générateur multi-juridictions), Plausible.

Étape 1 — Identifier si le RGPD vous concerne réellement

Le Règlement général sur la protection des données s’applique à toute entreprise sénégalaise qui traite des données de personnes situées dans l’Union européenne, même sans bureau en Europe. Trois cas typiques à Dakar : un studio digital qui livre une app pour un client français, une école de code qui inscrit des stagiaires européens en remote, un prestataire BPO qui gère un standard pour une boutique allemande.

Listez sur une feuille les flux où une donnée personnelle UE entre dans votre système : formulaires de contact, signatures de contrat, paiements Stripe, inscriptions à une newsletter, logs serveur. Si zéro flux n’est concerné, vous n’êtes pas dans le périmètre RGPD ; vous restez en revanche soumis au cadre national sénégalais.

Étape 2 — Cartographier vos traitements

Ouvrez un tableau avec sept colonnes : finalité, catégorie de personnes, catégorie de données, base légale, destinataires, durée de conservation, mesures de sécurité. Cette cartographie deviendra votre registre des traitements, document obligatoire dès qu’un flux UE est identifié.

Exemple concret pour un studio dakarois facturant un client lyonnais : finalité = exécution d’un contrat de prestation, base légale = contrat (article 6.1.b), durée = 10 ans (obligation comptable française), destinataires = comptable et hébergeur, sécurité = TLS + chiffrement disque.

Étape 3 — Choisir une base légale solide pour chaque traitement

Le RGPD impose une base légale parmi six : consentement, contrat, obligation légale, intérêt vital, mission d’intérêt public, intérêt légitime. La confusion fréquente : invoquer le consentement pour un traitement qui relève en fait du contrat. Cela vous oblige à gérer un retrait de consentement qui n’aurait jamais dû être demandé.

Newsletter marketing → consentement explicite (case à cocher non pré-cochée)
Facturation client UE → contrat
Conservation des factures → obligation légale
Cookies analytics → consentement (sauf exemption mesure d'audience)

Documentez le choix par traitement. En cas de contrôle, l’absence de base légale documentée vaut sanction.

Étape 4 — Rédiger une politique de confidentialité bilingue

Si vos clients sont francophones européens, le français suffit. Pour un site qui touche aussi des Allemands ou Néerlandais, l’anglais devient nécessaire. Treize mentions obligatoires : identité du responsable, finalités, bases légales, destinataires, transferts hors UE, durées, droits des personnes, possibilité de réclamation auprès de l’autorité de contrôle compétente.

Évitez les modèles génériques copiés-collés. L’autorité française CNIL publie une trame officielle gratuite, plus fiable que les générateurs payants.

Étape 5 — Encadrer les transferts hors UE

Le Sénégal n’est pas reconnu « pays adéquat » par la Commission européenne. Tout export de données UE vers un serveur dakarois nécessite un mécanisme de transfert : clauses contractuelles types (CCT) signées avec votre client UE, ou règles d’entreprise contraignantes.

Téléchargez le modèle CCT 2021 publié par la Commission européenne, complétez l’annexe sécurité, faites signer en deux exemplaires. Sans CCT, votre client européen prend un risque qu’il refusera : vous perdrez le contrat.

Étape 6 — Mettre en place les droits des personnes

Six droits doivent être opérationnels : accès, rectification, effacement, limitation, portabilité, opposition. Ouvrez une adresse dédiée (privacy@votredomaine.sn ou rgpd@) et tenez un registre des demandes avec horodatage.

Reçu : 2026-04-12 09:14 — demande d'accès — M. X (client UE)
Réponse envoyée : 2026-04-26 16:02 (délai légal 1 mois respecté)
Pièces jointes : extrait CRM + log Stripe

Le délai standard est d’un mois, prolongeable à trois en cas de complexité, à motiver par écrit. Une demande non traitée dans les délais déclenche un risque de plainte auprès de la CNIL ou d’une autorité homologue UE.

Étape 7 — Sécuriser techniquement les données

Trois exigences minimales : chiffrement en transit (HTTPS partout, TLS 1.3 si possible), chiffrement au repos (LUKS sur serveur, BitLocker sur poste de travail), authentification forte sur les comptes administrateurs (MFA via clé physique ou TOTP).

Pour un studio à Dakar avec moins de 10 employés, un VPS hébergé en Europe (OVH Strasbourg, Scaleway Paris) résout deux problèmes d’un coup : performance pour le client UE et conformité « hébergement européen » qui rassure les acheteurs publics. Comptez 4 à 12 EUR par mois (2 600 à 8 000 FCFA au taux 1 EUR = 655,957 FCFA).

Étape 8 — Réagir en 72 heures à une violation de données

Si un fichier client UE fuite (vol de laptop, intrusion serveur, mail envoyé à la mauvaise personne), vous avez 72 heures pour notifier l’autorité de contrôle compétente. Préparez à l’avance un canevas de notification : nature de la violation, catégories et nombre de personnes concernées, conséquences probables, mesures prises.

Testez la procédure une fois par an avec votre équipe. Une violation non notifiée dans les délais est sanctionnée plus lourdement que la violation elle-même.

Étape 9 — Intégrer la conformité au cycle de vie des projets

La privacy by design n’est pas un slogan : à chaque nouveau projet, posez quatre questions avant la première ligne de code. Quelles données sont nécessaires ? Combien de temps les conserver ? Qui y accède ? Comment les supprimer ? Documentez les réponses dans un fichier privacy.md committé au repo.

Ce réflexe évite les refontes coûteuses. Un projet conçu sans RGPD doit souvent être réécrit à 30 ou 40 pour cent quand un client UE arrive.

Récapitulatif opérationnel

Conformité RGPD pour entreprise sénégalaise = identifier le périmètre + cartographier + base légale + politique de confidentialité + clauses transfert + droits opérationnels + sécurité technique + procédure violation + privacy by design. Trois à cinq jours-homme pour poser le socle, puis maintenance trimestrielle.

Étape 10 — Choisir l’hébergement et le sous-traitant en connaissance de cause

Chaque sous-traitant qui touche une donnée personnelle UE doit signer un accord article 28. Cela inclut votre hébergeur, votre prestataire mail, votre outil CRM, votre plateforme de signature électronique. Demandez systématiquement leur DPA (Data Processing Agreement) avant de transmettre la moindre donnée.

Sur le terrain dakarois, certains éditeurs SaaS bon marché refusent de signer. Considérez ce refus comme un veto : changez d’outil. Le coût d’un DPA non signé en cas de contrôle dépasse largement l’économie réalisée sur l’abonnement.

Erreurs fréquentes à éviter

Premier piège : croire que le RGPD ne s’applique pas parce que la société est basée à Dakar. Le critère de territorialité est la personne ciblée, pas le lieu de l’entreprise. Deuxième piège : héberger sur un serveur US sans clauses adaptées depuis l’invalidation du Privacy Shield en 2020 — cela vous fragilise. Troisième piège : confondre conformité RGPD et conformité au cadre national sénégalais ; ce sont deux régimes superposés à respecter en parallèle dès qu’il y a une activité UE. Quatrième piège : déléguer la conformité à un développeur sans formation juridique ; prévoyez 4 à 8 heures de conseil avec un juriste spécialisé pour valider la trame.