RGPD et protection des données en Afrique : obligations et bonnes pratiques

Ce que vous saurez faire

Ce tutoriel vous accompagne pas a pas dans la mise en conformité d’une PME sénégalaise avec la Loi 2008-12 du 25 janvier 2008 sur la protection des données personnelles, ainsi qu’avec le Règlement General sur la Protection des Données (RGPD) europeen pour les entreprises traitant des données de citoyens UE. Vous saurez identifier les données personnelles dans votre organisation, établir le registre des traitements obligatoire, declarer les traitements aupres de la Commission de Protection des Données Personnelles (CDP) du Sénégal, designer un Delegue a la Protection des Données (DPD), gérer les droits des personnes concernees (acces, rectification, effacement), formaliser les contrats avec les sous-traitants, sécuriser les données techniquement et organiser la procédure de notification de violation. Le tutoriel cible les PME de tous secteurs (commerce, santé, éducation, finance, services). Une mise en conformité complète pour une PME de 30 employes coute entre 800 000 FCFA et 3 500 000 FCFA HT en prestation, et evite des amendes pouvant atteindre 100 millions FCFA.

Étape 1 : Comprendre le cadre legal applicable

La Loi 2008-12 du Sénégal est le texte fondateur. Elle est complétée par le décret 2008-721 et les deliberations de la CDP. Le RGPD (Règlement UE 2016/679) s’applique a votre PME sénégalaise si elle traite des données de personnes situees dans l’UE (vente en ligne vers la France, candidature d’expatries europeens). Téléchargez les textes officiels sur cdp.sn et eur-lex.europa.eu. Notez : la CDP peut prononcer des amendes jusqu’à 100 millions FCFA et engager des poursuites penales (1 a 7 ans de prison selon l’article 431-19).

Étape 2 : Sensibilisation de la direction et budget

Avant tout chantier technique, organisez une réunion de 90 minutes avec le dirigeant. Presentez : risques juridiques (amendes, prison, atteinte a l’image), coûts d’une fuite de données (en moyenne 4,5 millions FCFA par incident pour une PME africaine), opportunités commerciales (clients UE qui exigent la conformité). Faites valider un budget projet (chiffrer entre 1 % et 3 % du chiffre d’affaires annuel sur la première année), et obtenir un sponsor au comite de direction. Sans portage exécutif, le projet echoue.

Étape 3 : Cartographier les données personnelles

Lancez un atelier avec chaque chef de service (RH, comptable, commercial, IT). Pour chaque traitement (paie, recrutement, prospection, facturation, badging d’acces), notez : finalite, catégories de données collectées (nom, téléphone, NIN, santé), catégories de personnes (employes, clients, prospects, mineurs), destinataires internes et externes, durée de conservation, base légale (consentement, contrat, obligation légale, intérêt légitime). Utilisez un tableau Excel ou l’outil gratuit « Registre RGPD » de la CNIL française adapte au contexte sénégalais.

Étape 4 : Construire le registre des traitements

Le registre est une obligation explicite (article 9 de la Loi 2008-12). Il doit être tenu a jour et presente a la CDP en cas de contrôle. Format minimal par traitement : numéro, nom, finalite, base légale, catégories de données, catégories de personnes, destinataires, transferts hors UEMOA, durée de conservation, mesures de sécurité, responsable. Sauvegardez-le en PDF signe et version Word pour mises a jour. Une PME a generalement entre 10 et 30 traitements distincts.

Étape 5 : Designer un DPD (Delegue a la Protection des Données)

La designation d’un DPD est obligatoire si vous traitez a grande échelle des données sensibles (santé, opinions, données biometriques) ou si vous etes une autorite publique. Pour les autres PME, c’est fortement recommande. Le DPD peut être interne (juriste ou DSI forme) ou externe (consultant en mutualisation). Notifiez sa designation a la CDP via le formulaire officiel sur cdp.sn. Le DPD beneficie d’une indépendance fonctionnelle et d’un acces direct au dirigeant.

Étape 6 : Mettre a jour les mentions légales et politique de confidentialite

Sur votre site web, ajoutez une page « Politique de confidentialite » detaillant pour chaque traitement les informations de l’article 35 de la Loi 2008-12 : identité du responsable, finalite, destinataires, droits des personnes (acces, rectification, opposition, effacement), durée de conservation, coordonnees du DPD, droit de reclamation aupres de la CDP. Redigez en français clair, evitez le jargon juridique. Vérifiez que la mention apparait au pied de chaque formulaire de collecte.

Étape 7 : Gérer les cookies et traceurs

Si votre site utilise Google Analytics, Facebook Pixel, ou des cookies non essentiels, installez un bandeau de consentement conforme. Outils gratuits : Cookie Notice & Compliance, Complianz, Tarteaucitron.io. Le bandeau doit permettre 3 actions : tout accepter, tout refuser, personnaliser. Aucun cookie non essentiel ne doit être depose AVANT consentement explicite. Documentez le journal des consentements (date, IP, choix). Cette mesure protege aussi contre les amendes RGPD pour clients europeens.

Étape 8 : Recueillir les consentements valablement

Pour les newsletters, prospection, geolocalisation ou autres traitements bases sur le consentement, le recueil doit être : libre (pas de case precochee), spécifique (un consentement par finalite distincte), eclaire (information complète avant), univoque (action positive). Exemple correct : case a cocher non precochee avec texte « J’accepte de recevoir les actualites de la société par email. Je peux me desinscrire a tout moment via le lien présent dans chaque message. » Conservez la preuve du consentement (date, source, version du formulaire) pendant toute la durée du traitement.

Étape 9 : Encadrer les sous-traitants par contrat

Tout prestataire qui traite des données pour vous (hébergeur, prestataire paie, agence marketing, plateforme SMS) doit signer un contrat de sous-traitance conforme a l’article 39 de la Loi 2008-12. Le contrat doit préciser : finalite et durée, nature des données, obligations de sécurité, sous-sous-traitance interdite sans accord, notification des violations sous 24h, sort des données en fin de contrat. Auditez chaque contrat existant et faites signer un avenant si necessaire. Un prestataire qui refuse signe son départ.

Étape 10 : Gérer les transferts hors Sénégal

Si vos données sont hébergées chez AWS Irlande, OVH France, Microsoft 365 ou Google Workspace, ce sont des transferts hors UEMOA. La Loi 2008-12 (article 49) exige une autorisation préalable de la CDP ou un encadrement par clauses contractuelles types. Pour les transferts vers l’UE, utilisez les Clauses Contractuelles Types (SCC) de la Commission europeenne adaptees. Documentez chaque transfert dans le registre. Pour les PME, les hébergeurs majeurs proposent generalement des accords pre-signes.

Étape 11 : Répondre aux demandes d’exercice de droits

Toute personne concernee peut exercer ses droits : acces a ses données, rectification, effacement, opposition, portabilite. Vous avez 30 jours pour répondre (prolongeable a 90 jours si la demande est complexe). Mettez en place : une boite mail dpo@entreprise.sn ou rgpd@entreprise.sn, un formulaire de demande sur le site, une procédure interne ecrite, un journal des demandes. Vérifiez l’identité du demandeur (copie ID) avant transmission. Refus motive si la demande est manifestement infondee.

Étape 12 : Notifier les violations a la CDP en 72h

En cas de fuite, vol, perte ou divulgation accidentelle de données personnelles, vous avez 72 heures (article 38) pour notifier la CDP via le formulaire de violation disponible sur cdp.sn. Si la violation cree un risque eleve pour les personnes (vol d’identité, atteinte a la vie privée), vous devez aussi informer chaque personne concernee individuellement. Preparez a l’avance un modèle de notification, une liste de contacts (avocat, communicant, IT forensic) et une procédure documentée. Simulez l’exercice annuellement.

Étape 13 : Mesures de sécurité techniques minimales

L’article 71 de la Loi 2008-12 impose une sécurité proportionnee. Mesures minimales attendues pour une PME : chiffrement des disques durs des portables (BitLocker, FileVault), chiffrement des sauvegardes, MFA sur tous les comptes a privileges, anti-virus a jour, pare-feu, journalisation des acces (qui a vu quoi, quand), politique de mots de passe forts, sensibilisation annuelle des employes. Utilisez la commande PowerShell suivante pour activer BitLocker :

Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly

Étape 14 : Audit, contrôle et amélioration continue

La conformité n’est pas un projet ponctuel mais un processus permanent. Mettez en place : revue annuelle du registre, audit interne semestriel, formation des nouveaux arrivants, mise a jour des contrats sous-traitants tous les 2 ans, exercice annuel de notification de violation. Conservez toutes les preuves de conformité dans un dossier centralise et chiffre. En cas de contrôle CDP, vous avez en moyenne 15 jours pour fournir l’ensemble du dossier. Les PME organisées obtiennent un contrôle favorable.

Erreurs frequentes a éviter

• Confondre RGPD et Loi 2008-12 : les deux textes coexistent et s’appliquent. Beaucoup de PME ne traitent que le RGPD et oublient la specificite sénégalaise (declarations CDP, autorite locale).
• Copier-coller une politique de confidentialite trouvée en ligne : elle ne correspond pas a vos traitements réels et est inopposable. Redigez sur la base de votre registre.
• Negliger les sous-traitants : en cas de fuite chez votre hébergeur, c’est VOUS qui etes sanctionne en tant que responsable de traitement, pas lui.
• Conserver les données indefiniment : « au cas ou » n’est pas une base légale. Pour les CV non retenus, par exemple, la durée maximum est de 2 ans après dernier contact.
• Recueillir un consentement parapluie : « J’accepte tout » n’est pas valide. Chaque finalite doit avoir son propre consentement granulaire.
• Considérer les données professionnelles comme non personnelles : un email professionnel comme prenom.nom@entreprise.sn est une donnée personnelle au sens de la loi.
• Ignorer les demandes d’acces : ne pas répondre dans les 30 jours est une infraction directe et la cause N1 de plaintes a la CDP.
• Sous-estimer le délai de mise en conformité : compter au minimum 4 mois pour une PME de 30 employes, 9 mois pour 100+ employes avec activite e-commerce.

Checklist de conformité Loi 2008-12 et RGPD

• Direction sponsor du projet et budget annuel valide
• Cartographie des données réalisée par service
• Registre des traitements complet, signe et a jour
• DPD designe et notifie a la CDP si obligatoire
• Politique de confidentialite publiée et conforme article 35
• Bandeau cookies installe avec 3 choix granulaires
• Recueil de consentements documente et trace
• Contrats sous-traitants conformes article 39 signes
• Transferts hors UEMOA encadres par SCC ou autorisation CDP
• Procédure de droits des personnes ecrite et boite dpo@ active
• Procédure de notification violation 72h documentée et testée
• Mesures techniques minimales appliquées (chiffrement, MFA, logs)
• Sensibilisation annuelle réalisée et tracée
• Audit interne semestriel programme
• Dossier de preuves centralise et chiffre pour contrôle CDP