Protection des données personnelles : conformité en Afrique

Ce que vous saurez faire à la fin

1. Identifier les lois applicables par pays africain (Sénégal, Côte d’Ivoire, Maroc, Bénin, Ghana, etc.).
2. Cartographier vos traitements de données personnelles dans un registre.
3. Mettre en conformité formulaires, cookies, mailing list, RH, vidéosurveillance.
4. Désigner un DPO et organiser sa fonction.
5. Préparer une réponse à incident de sécurité dans les 72h.

Durée : projet de 8-12 semaines pour conformité complète. Pré-requis : sponsor direction, accès aux process, juriste ou cabinet en appui (200-800 k FCFA pour audit initial), formation des collaborateurs prévue.

Étape 1 — Identifier la loi applicable selon vos pays d’opération

Si vous traitez des données d’européens, le RGPD s’applique en plus.

Étape 2 — Cartographier vos données personnelles

Listez dans un Sheets toutes les données traitées :

Catégorie | Type | Source | Volume | Durée conservation
Clients   | Nom, email, téléphone, RIB | formulaire site | 5000 | 5 ans après dernière commande
Salariés  | Nom, NINEA, salaire, RIB, photo | RH | 25 | 5 ans après départ
Prospects | Nom, email, entreprise | LinkedIn, salons | 8000 | 3 ans
Vidéo surveillance | Images, audio | caméras locaux | flux 24/7 | 30 jours
Recrutement | CV, lettre, dispo | candidatures | 200 | 24 mois si non retenu

Étape 3 — Tenir le registre des traitements

Pour chaque traitement, fiche obligatoire :

Nom du traitement     : Gestion clients e-commerce
Finalité              : suivi commandes, livraison, facturation, fidélisation
Base légale           : exécution contrat + intérêt légitime
Données collectées    : nom, adresse, téléphone, email, historique achats
Personnes concernées  : clients ayant passé commande
Destinataires         : équipe commerciale, livreur, comptable
Transferts hors UE/CEDEAO : non / oui (préciser pays + garanties)
Durée de conservation : 5 ans après dernière commande puis archivage 5 ans
Mesures de sécurité   : MFA, chiffrement HTTPS, sauvegardes, accès restreints

Étape 4 — Mettre en conformité vos formulaires web

Tous formulaires (contact, newsletter, devis, recrutement) doivent comporter :

• Identité du responsable de traitement
• Finalité de la collecte
• Caractère obligatoire ou facultatif des champs (astérisque pour obligatoires)
• Destinataires des données
• Durée de conservation
• Droits : accès, rectification, opposition, effacement
• Coordonnées du DPO
• Case à cocher non pré-cochée pour consentement marketing

Étape 5 — Mettre en conformité la bannière cookies

Outils gratuits : Cookiebot (gratuit jusqu’à 100 sous-pages), Tarteaucitron, Klaro. Configuration :

Bannière au premier visit avec :
- Titre clair : "Nous utilisons des cookies"
- Texte court : finalités (analyse, pub, fonctionnel)
- Bouton "Tout accepter" (visible)
- Bouton "Tout refuser" AUSSI visible (taille égale)
- Bouton "Personnaliser" pour choisir catégorie
- Lien vers politique cookies complète
Aucun cookie non-essentiel posé avant consentement.
Refus = même expérience site, sauf fonctionnalités optionnelles.

Étape 6 — Sécuriser la mailing list

Vérifiez chaque liste : (1) consentement opt-in explicite tracé (date, IP, formulaire d’origine), (2) lien de désinscription en pied de chaque email, (3) traitement des désinscriptions sous 72h, (4) mention « vous recevez cet email parce que… » en début, (5) registre des purges trimestrielles (suppression abonnés inactifs > 24 mois).

Étape 7 — Mettre en conformité les RH

Audit RH spécifique :

• Contrats de travail : clause confidentialité données, mention DPO
• CV non retenus : suppression à 24 mois max
• Bulletins de paie : conservation 5 ans (légale)
• Données médicales : accès limité à médecin + RH habilité
• Vidéosurveillance bureaux : information collaborateurs + autorisation autorité
• Pointage / géolocalisation : information préalable + base légale
• Évaluations annuelles : accès au salarié, conservation 3 ans

Étape 8 — Désigner un DPO (Délégué à la Protection des Données)

Obligatoire si : autorité publique, traitement à grande échelle, données sensibles. Recommandé pour toutes PME > 50 salariés. Profil : juriste ou cyber expérimenté, indépendant, formé. Coût :

DPO interne (mi-temps) : 800 k - 1,5 M FCFA / mois
DPO externe (cabinet)  : 200 - 800 k FCFA / mois
Formation interne CIL Sénégal : ~500 k FCFA / certification

Étape 9 — Notifier les autorités du traitement

Au Sénégal : déposez vos déclarations sur cdp.sn via formulaire en ligne. Catégories :

• Régime de déclaration normale (la plupart)
• Régime d’autorisation préalable (données sensibles, biométrie, transfert hors CEDEAO)
• Régime de déclaration simplifiée (paie, gestion clients standard)

Délai d’examen : 1-3 mois selon régime. Coût : 25 000 – 100 000 FCFA selon régime.

Étape 10 — Gérer les demandes des personnes (droits RGPD-équivalent)

Workflow à mettre en place :

1. Réception demande (mail dpo@..., formulaire site)
2. Authentification du demandeur (vérifier identité)
3. Recherche dans tous les systèmes contenant ses données
4. Réponse sous 1 mois maximum (extensible 2 mois si complexe)
5. Format : mail PDF chiffré ou plateforme sécurisée
6. Traçage de la demande dans registre dédié

Droits à honorer : accès, rectification, effacement, opposition, portabilité, limitation.

Étape 11 — Sécuriser les transferts internationaux

Si vous utilisez des SaaS hébergés hors CEDEAO (Google, Microsoft, AWS) : vérifiez les clauses contractuelles types, les certifications du fournisseur (ISO 27001, SOC 2), et déclarez les transferts à l’autorité. Privilégiez régions UE ou Afrique quand disponibles. Pour les USA, surveillez le Data Privacy Framework.

Étape 12 — Préparer la réponse à un incident de sécurité

Procédure obligatoire à formaliser :

T0 — Détection
T+15 min — Notification interne (DPO, DSI, DG)
T+2h — Confinement de l'incident
T+12h — Évaluation impact (combien de personnes, quelle gravité)
T+24h — Décision de notification autorité
T+48h — Préparation notification CDP
T+72h — Notification CDP via formulaire dédié
T+5 j — Notification personnes concernées si risque élevé
T+30 j — Rapport post-incident et plan de remédiation

Étape 13 — Former les collaborateurs annuellement

Programme de 4 modules de 30 min :

1. Notions clés : donnée personnelle, finalité, base légale, droits
2. Bonnes pratiques quotidiennes : email, fichiers, mots de passe, écran
3. Que faire en cas de demande d’accès ou d’incident
4. Cas pratiques sur fiche de poste (vente, RH, marketing)

Quizz final score > 80 % requis. Refresher annuel obligatoire pour tous.

Étape 14 — Auditer la conformité chaque année

Audit interne : revue annuelle du registre, contrôle aléatoire de 10 traitements, vérification des droits exercés, test de la procédure incident, revue des contrats sous-traitants. Audit externe par cabinet tous les 2-3 ans (1-3 M FCFA selon scope) pour certification optionnelle.

Erreurs fatales en protection des données

• Penser « trop petit pour être contrôlé » : CDP Sénégal active sur les TPE depuis 2023.
• Bannière cookies en mode « OK, j’ai compris » : non conforme, sanction probable.
• Acheter une base de prospects : consentement souvent invalide = amende possible.
• Pas de DPO ni registre : impossible à défendre en cas de contrôle.
• Vidéosurveillance sans information : sanction immédiate + obligation retrait.

Checklist conformité données Afrique

✓ Lois applicables identifiées par pays
✓ Cartographie des données personnelles à jour
✓ Registre des traitements complet
✓ Formulaires conformes (mentions, consentement)
✓ Bannière cookies conforme
✓ Mailing list opt-in tracé + désinscription rapide
✓ Politique RH revue (CV, paie, médical, vidéo)
✓ DPO désigné (interne ou externe)
✓ Déclarations / autorisations déposées
✓ Workflow demandes des personnes opérationnel
✓ Contrats sous-traitants conformes
✓ Procédure réponse à incident en 72h documentée
✓ Formation collaborateurs annuelle
✓ Audit conformité annuel