Ce que vous saurez faire à la fin
- Identifier les lois applicables par pays africain (Sénégal, Côte d’Ivoire, Maroc, Bénin, Ghana, etc.).
- Cartographier vos traitements de données personnelles dans un registre.
- Mettre en conformité formulaires, cookies, mailing list, RH, vidéosurveillance.
- Désigner un DPO et organiser sa fonction.
- Préparer une réponse à incident de sécurité dans les 72h.
Durée : projet de 8-12 semaines pour conformité complète. Pré-requis : sponsor direction, accès aux process, juriste ou cabinet en appui (200-800 k FCFA pour audit initial), formation des collaborateurs prévue.
Étape 1 — Identifier la loi applicable selon vos pays d’opération
| Pays | Loi principale | Autorité | Année |
|---|---|---|---|
| Sénégal | Loi 2008-12 | CDP (Commission de Protection des Données) | 2008, MAJ 2024 |
| Côte d’Ivoire | Loi 2013-450 | ARTCI | 2013 |
| Maroc | Loi 09-08 | CNDP | 2009 |
| Bénin | Loi 2017-20 | APDP | 2017 |
| Ghana | Data Protection Act 843 | DPC | 2012 |
| Burkina Faso | Loi 010-2004 | CIL | 2004 |
| Togo | Loi 2019-014 | IPDCP | 2019 |
| Convention Malabo (UA) | 2014, ratifiée par 15 pays | cadre régional | 2014 |
Si vous traitez des données d’européens, le RGPD s’applique en plus.
Étape 2 — Cartographier vos données personnelles
Listez dans un Sheets toutes les données traitées :
Catégorie | Type | Source | Volume | Durée conservation
Clients | Nom, email, téléphone, RIB | formulaire site | 5000 | 5 ans après dernière commande
Salariés | Nom, NINEA, salaire, RIB, photo | RH | 25 | 5 ans après départ
Prospects | Nom, email, entreprise | LinkedIn, salons | 8000 | 3 ans
Vidéo surveillance | Images, audio | caméras locaux | flux 24/7 | 30 jours
Recrutement | CV, lettre, dispo | candidatures | 200 | 24 mois si non retenuÉtape 3 — Tenir le registre des traitements
Pour chaque traitement, fiche obligatoire :
Nom du traitement : Gestion clients e-commerce
Finalité : suivi commandes, livraison, facturation, fidélisation
Base légale : exécution contrat + intérêt légitime
Données collectées : nom, adresse, téléphone, email, historique achats
Personnes concernées : clients ayant passé commande
Destinataires : équipe commerciale, livreur, comptable
Transferts hors UE/CEDEAO : non / oui (préciser pays + garanties)
Durée de conservation : 5 ans après dernière commande puis archivage 5 ans
Mesures de sécurité : MFA, chiffrement HTTPS, sauvegardes, accès restreintsÉtape 4 — Mettre en conformité vos formulaires web
Tous formulaires (contact, newsletter, devis, recrutement) doivent comporter :
- Identité du responsable de traitement
- Finalité de la collecte
- Caractère obligatoire ou facultatif des champs (astérisque pour obligatoires)
- Destinataires des données
- Durée de conservation
- Droits : accès, rectification, opposition, effacement
- Coordonnées du DPO
- Case à cocher non pré-cochée pour consentement marketing
Étape 5 — Mettre en conformité la bannière cookies
Outils gratuits : Cookiebot (gratuit jusqu’à 100 sous-pages), Tarteaucitron, Klaro. Configuration :
Bannière au premier visit avec :
- Titre clair : "Nous utilisons des cookies"
- Texte court : finalités (analyse, pub, fonctionnel)
- Bouton "Tout accepter" (visible)
- Bouton "Tout refuser" AUSSI visible (taille égale)
- Bouton "Personnaliser" pour choisir catégorie
- Lien vers politique cookies complète
Aucun cookie non-essentiel posé avant consentement.
Refus = même expérience site, sauf fonctionnalités optionnelles.Étape 6 — Sécuriser la mailing list
Vérifiez chaque liste : (1) consentement opt-in explicite tracé (date, IP, formulaire d’origine), (2) lien de désinscription en pied de chaque email, (3) traitement des désinscriptions sous 72h, (4) mention « vous recevez cet email parce que… » en début, (5) registre des purges trimestrielles (suppression abonnés inactifs > 24 mois).
Étape 7 — Mettre en conformité les RH
Audit RH spécifique :
- Contrats de travail : clause confidentialité données, mention DPO
- CV non retenus : suppression à 24 mois max
- Bulletins de paie : conservation 5 ans (légale)
- Données médicales : accès limité à médecin + RH habilité
- Vidéosurveillance bureaux : information collaborateurs + autorisation autorité
- Pointage / géolocalisation : information préalable + base légale
- Évaluations annuelles : accès au salarié, conservation 3 ans
Étape 8 — Désigner un DPO (Délégué à la Protection des Données)
Obligatoire si : autorité publique, traitement à grande échelle, données sensibles. Recommandé pour toutes PME > 50 salariés. Profil : juriste ou cyber expérimenté, indépendant, formé. Coût :
DPO interne (mi-temps) : 800 k - 1,5 M FCFA / mois
DPO externe (cabinet) : 200 - 800 k FCFA / mois
Formation interne CIL Sénégal : ~500 k FCFA / certificationÉtape 9 — Notifier les autorités du traitement
Au Sénégal : déposez vos déclarations sur cdp.sn via formulaire en ligne. Catégories :
- Régime de déclaration normale (la plupart)
- Régime d’autorisation préalable (données sensibles, biométrie, transfert hors CEDEAO)
- Régime de déclaration simplifiée (paie, gestion clients standard)
Délai d’examen : 1-3 mois selon régime. Coût : 25 000 – 100 000 FCFA selon régime.
Étape 10 — Gérer les demandes des personnes (droits RGPD-équivalent)
Workflow à mettre en place :
1. Réception demande (mail dpo@..., formulaire site)
2. Authentification du demandeur (vérifier identité)
3. Recherche dans tous les systèmes contenant ses données
4. Réponse sous 1 mois maximum (extensible 2 mois si complexe)
5. Format : mail PDF chiffré ou plateforme sécurisée
6. Traçage de la demande dans registre dédiéDroits à honorer : accès, rectification, effacement, opposition, portabilité, limitation.
Étape 11 — Sécuriser les transferts internationaux
Si vous utilisez des SaaS hébergés hors CEDEAO (Google, Microsoft, AWS) : vérifiez les clauses contractuelles types, les certifications du fournisseur (ISO 27001, SOC 2), et déclarez les transferts à l’autorité. Privilégiez régions UE ou Afrique quand disponibles. Pour les USA, surveillez le Data Privacy Framework.
Étape 12 — Préparer la réponse à un incident de sécurité
Procédure obligatoire à formaliser :
T0 — Détection
T+15 min — Notification interne (DPO, DSI, DG)
T+2h — Confinement de l'incident
T+12h — Évaluation impact (combien de personnes, quelle gravité)
T+24h — Décision de notification autorité
T+48h — Préparation notification CDP
T+72h — Notification CDP via formulaire dédié
T+5 j — Notification personnes concernées si risque élevé
T+30 j — Rapport post-incident et plan de remédiationÉtape 13 — Former les collaborateurs annuellement
Programme de 4 modules de 30 min :
- Notions clés : donnée personnelle, finalité, base légale, droits
- Bonnes pratiques quotidiennes : email, fichiers, mots de passe, écran
- Que faire en cas de demande d’accès ou d’incident
- Cas pratiques sur fiche de poste (vente, RH, marketing)
Quizz final score > 80 % requis. Refresher annuel obligatoire pour tous.
Étape 14 — Auditer la conformité chaque année
Audit interne : revue annuelle du registre, contrôle aléatoire de 10 traitements, vérification des droits exercés, test de la procédure incident, revue des contrats sous-traitants. Audit externe par cabinet tous les 2-3 ans (1-3 M FCFA selon scope) pour certification optionnelle.
Erreurs fatales en protection des données
- Penser « trop petit pour être contrôlé » : CDP Sénégal active sur les TPE depuis 2023.
- Bannière cookies en mode « OK, j’ai compris » : non conforme, sanction probable.
- Acheter une base de prospects : consentement souvent invalide = amende possible.
- Pas de DPO ni registre : impossible à défendre en cas de contrôle.
- Vidéosurveillance sans information : sanction immédiate + obligation retrait.
Checklist conformité données Afrique
✓ Lois applicables identifiées par pays
✓ Cartographie des données personnelles à jour
✓ Registre des traitements complet
✓ Formulaires conformes (mentions, consentement)
✓ Bannière cookies conforme
✓ Mailing list opt-in tracé + désinscription rapide
✓ Politique RH revue (CV, paie, médical, vidéo)
✓ DPO désigné (interne ou externe)
✓ Déclarations / autorisations déposées
✓ Workflow demandes des personnes opérationnel
✓ Contrats sous-traitants conformes
✓ Procédure réponse à incident en 72h documentée
✓ Formation collaborateurs annuelle
✓ Audit conformité annuelTester ce setup sur votre propre serveur
Le moyen le plus rapide de tester ce tutoriel en conditions réelles : prendre un petit VPS Hostinger.
Lien d affiliation. Si vous achetez via ce lien, le blog reçoit une petite commission sans surcoût pour vous.
Mise en oeuvre opérationnelle de la conformité
Connaître le texte de loi est nécessaire mais largement insuffisant. Ce qui distingue une entreprise réellement conforme d’une entreprise qui prétend l’être tient à la mise en oeuvre opérationnelle : qui fait quoi, avec quels outils, selon quels processus documentés. Les sections qui suivent décrivent les composants concrets d’une démarche de conformité applicable à une PME ou à une équipe tech de taille moyenne au Sénégal, en Côte d’Ivoire ou dans les pays voisins UEMOA.
Cartographie des traitements et registre
Le premier livrable, exigé par la quasi-totalité des autorités africaines de protection des données, est le registre des activités de traitement. Pour chaque traitement (paie, marketing, support client, recrutement, vidéosurveillance, etc.), il faut documenter : la finalité, la base légale, les catégories de données collectées, les catégories de personnes concernées, les destinataires internes et externes, les durées de conservation, les mesures de sécurité techniques et organisationnelles, et les transferts hors du pays. Un simple fichier tableur structuré suffit pour une PME de moins de 50 salariés ; au-delà, des outils dédiés comme Witik, Captain DPO ou DataGalaxy facilitent la maintenance et la traçabilité des modifications. La CDP sénégalaise et l’ARTCI ivoirienne peuvent demander ce registre lors d’un contrôle — sa production immédiate est un signal fort de bonne foi.
Sécurité technique minimale et incidents
La doctrine de la CDP sénégalaise publiée dans sa délibération n. 2019-001 et alignée sur la NDPR nigériane 2019 article 2.6 exige un socle technique en trois couches mesurables. Couche 1 — chiffrement : TDE activé sur PostgreSQL 14 plus via pgcrypto ou sur RDS via la clé KMS managée (AWS), TLS 1.2 minimum (TLS 1.3 préférable) sur toutes les interfaces externes, vérifié par scan SSLLabs au moins trimestriel. Couche 2 — contrôle d’accès journalisé : RBAC via PostgreSQL roles ou via un IAM cloud, logs d’audit (pgAudit, AWS CloudTrail) conservés 6 mois minimum sur un compte AWS séparé ou un bucket S3 distinct avec object lock activé pour empêcher la falsification — exigence explicite de la CDP en cas de contrôle. Couche 3 — notification d’incident : la loi sénégalaise impose la notification à la CDP dans les 72 heures suivant la découverte d’une violation de données personnelles, sous peine d’amende pouvant atteindre 100 millions de FCFA. Préparer un modèle de courrier de notification et le tester via un exercice annuel évite les paniques mal gérées le jour J.
Droits des personnes : un processus, pas une bonne intention
Les lois africaines reconnaissent à minima cinq droits : accès aux données, rectification, opposition au traitement, effacement (droit à l’oubli) et portabilité. Pour exercer ces droits, l’utilisateur doit pouvoir s’adresser à un point de contact identifiable — une adresse email dédiée comme dpo@monentreprise.com est le minimum. Le délai de réponse standard est d’un mois calendaire. Concrètement, pour gérer ces demandes sans souffrir, il faut : un formulaire ou une procédure documentée qui collecte la demande et vérifie l’identité du demandeur (sans tomber dans l’excès qui freine), une équipe désignée (souvent le DPO épaulé par l’équipe technique), et des scripts ou outils prêts pour exécuter les actions techniques sous-jacentes — un export JSON ou CSV pour l’accès, une suppression cascadée pour l’effacement, etc. Les équipes qui découvrent le sujet lors de la première demande prennent souvent plusieurs semaines à répondre — délai qui caractérise déjà une violation.