ITSkillsCenter
Cybersécurité

RGPD et protection des données en Afrique : obligations et bonnes pratiques

8 min de lecture
Miniature - RGPD et protection des données en Afrique : obligations et bonnes pratiques

Ce que vous saurez faire

Ce tutoriel vous accompagne pas a pas dans la mise en conformite d’une PME senegalaise avec la Loi 2008-12 du 25 janvier 2008 sur la protection des donnees personnelles, ainsi qu’avec le Reglement General sur la Protection des Donnees (RGPD) europeen pour les entreprises traitant des donnees de citoyens UE. Vous saurez identifier les donnees personnelles dans votre organisation, etablir le registre des traitements obligatoire, declarer les traitements aupres de la Commission de Protection des Donnees Personnelles (CDP) du Senegal, designer un Delegue a la Protection des Donnees (DPD), gerer les droits des personnes concernees (acces, rectification, effacement), formaliser les contrats avec les sous-traitants, securiser les donnees techniquement et organiser la procedure de notification de violation. Le tutoriel cible les PME de tous secteurs (commerce, sante, education, finance, services). Une mise en conformite complete pour une PME de 30 employes coute entre 800 000 FCFA et 3 500 000 FCFA HT en prestation, et evite des amendes pouvant atteindre 100 millions FCFA.

Etape 1 : Comprendre le cadre legal applicable

La Loi 2008-12 du Senegal est le texte fondateur. Elle est completee par le decret 2008-721 et les deliberations de la CDP. Le RGPD (Reglement UE 2016/679) s’applique a votre PME senegalaise si elle traite des donnees de personnes situees dans l’UE (vente en ligne vers la France, candidature d’expatries europeens). Telechargez les textes officiels sur cdp.sn et eur-lex.europa.eu. Notez : la CDP peut prononcer des amendes jusqu’a 100 millions FCFA et engager des poursuites penales (1 a 7 ans de prison selon l’article 431-19).

Etape 2 : Sensibilisation de la direction et budget

Avant tout chantier technique, organisez une reunion de 90 minutes avec le dirigeant. Presentez : risques juridiques (amendes, prison, atteinte a l’image), couts d’une fuite de donnees (en moyenne 4,5 millions FCFA par incident pour une PME africaine), opportunites commerciales (clients UE qui exigent la conformite). Faites valider un budget projet (chiffrer entre 1 % et 3 % du chiffre d’affaires annuel sur la premiere annee), et obtenir un sponsor au comite de direction. Sans portage executif, le projet echoue.

Etape 3 : Cartographier les donnees personnelles

Lancez un atelier avec chaque chef de service (RH, comptable, commercial, IT). Pour chaque traitement (paie, recrutement, prospection, facturation, badging d’acces), notez : finalite, categories de donnees collectees (nom, telephone, NIN, sante), categories de personnes (employes, clients, prospects, mineurs), destinataires internes et externes, duree de conservation, base legale (consentement, contrat, obligation legale, interet legitime). Utilisez un tableau Excel ou l’outil gratuit « Registre RGPD » de la CNIL francaise adapte au contexte senegalais.

Etape 4 : Construire le registre des traitements

Le registre est une obligation explicite (article 9 de la Loi 2008-12). Il doit etre tenu a jour et presente a la CDP en cas de controle. Format minimal par traitement : numero, nom, finalite, base legale, categories de donnees, categories de personnes, destinataires, transferts hors UEMOA, duree de conservation, mesures de securite, responsable. Sauvegardez-le en PDF signe et version Word pour mises a jour. Une PME a generalement entre 10 et 30 traitements distincts.

Etape 5 : Designer un DPD (Delegue a la Protection des Donnees)

La designation d’un DPD est obligatoire si vous traitez a grande echelle des donnees sensibles (sante, opinions, donnees biometriques) ou si vous etes une autorite publique. Pour les autres PME, c’est fortement recommande. Le DPD peut etre interne (juriste ou DSI forme) ou externe (consultant en mutualisation). Notifiez sa designation a la CDP via le formulaire officiel sur cdp.sn. Le DPD beneficie d’une independance fonctionnelle et d’un acces direct au dirigeant.

Etape 6 : Mettre a jour les mentions legales et politique de confidentialite

Sur votre site web, ajoutez une page « Politique de confidentialite » detaillant pour chaque traitement les informations de l’article 35 de la Loi 2008-12 : identite du responsable, finalite, destinataires, droits des personnes (acces, rectification, opposition, effacement), duree de conservation, coordonnees du DPD, droit de reclamation aupres de la CDP. Redigez en francais clair, evitez le jargon juridique. Verifiez que la mention apparait au pied de chaque formulaire de collecte.

Etape 7 : Gerer les cookies et traceurs

Si votre site utilise Google Analytics, Facebook Pixel, ou des cookies non essentiels, installez un bandeau de consentement conforme. Outils gratuits : Cookie Notice & Compliance, Complianz, Tarteaucitron.io. Le bandeau doit permettre 3 actions : tout accepter, tout refuser, personnaliser. Aucun cookie non essentiel ne doit etre depose AVANT consentement explicite. Documentez le journal des consentements (date, IP, choix). Cette mesure protege aussi contre les amendes RGPD pour clients europeens.

Etape 8 : Recueillir les consentements valablement

Pour les newsletters, prospection, geolocalisation ou autres traitements bases sur le consentement, le recueil doit etre : libre (pas de case precochee), specifique (un consentement par finalite distincte), eclaire (information complete avant), univoque (action positive). Exemple correct : case a cocher non precochee avec texte « J’accepte de recevoir les actualites de la societe par email. Je peux me desinscrire a tout moment via le lien present dans chaque message. » Conservez la preuve du consentement (date, source, version du formulaire) pendant toute la duree du traitement.

Etape 9 : Encadrer les sous-traitants par contrat

Tout prestataire qui traite des donnees pour vous (hebergeur, prestataire paie, agence marketing, plateforme SMS) doit signer un contrat de sous-traitance conforme a l’article 39 de la Loi 2008-12. Le contrat doit preciser : finalite et duree, nature des donnees, obligations de securite, sous-sous-traitance interdite sans accord, notification des violations sous 24h, sort des donnees en fin de contrat. Auditez chaque contrat existant et faites signer un avenant si necessaire. Un prestataire qui refuse signe son depart.

Etape 10 : Gerer les transferts hors Senegal

Si vos donnees sont hebergees chez AWS Irlande, OVH France, Microsoft 365 ou Google Workspace, ce sont des transferts hors UEMOA. La Loi 2008-12 (article 49) exige une autorisation prealable de la CDP ou un encadrement par clauses contractuelles types. Pour les transferts vers l’UE, utilisez les Clauses Contractuelles Types (SCC) de la Commission europeenne adaptees. Documentez chaque transfert dans le registre. Pour les PME, les hebergeurs majeurs proposent generalement des accords pre-signes.

Etape 11 : Repondre aux demandes d’exercice de droits

Toute personne concernee peut exercer ses droits : acces a ses donnees, rectification, effacement, opposition, portabilite. Vous avez 30 jours pour repondre (prolongeable a 90 jours si la demande est complexe). Mettez en place : une boite mail dpo@entreprise.sn ou rgpd@entreprise.sn, un formulaire de demande sur le site, une procedure interne ecrite, un journal des demandes. Verifiez l’identite du demandeur (copie ID) avant transmission. Refus motive si la demande est manifestement infondee.

Etape 12 : Notifier les violations a la CDP en 72h

En cas de fuite, vol, perte ou divulgation accidentelle de donnees personnelles, vous avez 72 heures (article 38) pour notifier la CDP via le formulaire de violation disponible sur cdp.sn. Si la violation cree un risque eleve pour les personnes (vol d’identite, atteinte a la vie privee), vous devez aussi informer chaque personne concernee individuellement. Preparez a l’avance un modele de notification, une liste de contacts (avocat, communicant, IT forensic) et une procedure documentee. Simulez l’exercice annuellement.

Etape 13 : Mesures de securite techniques minimales

L’article 71 de la Loi 2008-12 impose une securite proportionnee. Mesures minimales attendues pour une PME : chiffrement des disques durs des portables (BitLocker, FileVault), chiffrement des sauvegardes, MFA sur tous les comptes a privileges, anti-virus a jour, pare-feu, journalisation des acces (qui a vu quoi, quand), politique de mots de passe forts, sensibilisation annuelle des employes. Utilisez la commande PowerShell suivante pour activer BitLocker :

Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly

Etape 14 : Audit, controle et amelioration continue

La conformite n’est pas un projet ponctuel mais un processus permanent. Mettez en place : revue annuelle du registre, audit interne semestriel, formation des nouveaux arrivants, mise a jour des contrats sous-traitants tous les 2 ans, exercice annuel de notification de violation. Conservez toutes les preuves de conformite dans un dossier centralise et chiffre. En cas de controle CDP, vous avez en moyenne 15 jours pour fournir l’ensemble du dossier. Les PME organisees obtiennent un controle favorable.

Erreurs frequentes a eviter

  • Confondre RGPD et Loi 2008-12 : les deux textes coexistent et s’appliquent. Beaucoup de PME ne traitent que le RGPD et oublient la specificite senegalaise (declarations CDP, autorite locale).
  • Copier-coller une politique de confidentialite trouvee en ligne : elle ne correspond pas a vos traitements reels et est inopposable. Redigez sur la base de votre registre.
  • Negliger les sous-traitants : en cas de fuite chez votre hebergeur, c’est VOUS qui etes sanctionne en tant que responsable de traitement, pas lui.
  • Conserver les donnees indefiniment : « au cas ou » n’est pas une base legale. Pour les CV non retenus, par exemple, la duree maximum est de 2 ans apres dernier contact.
  • Recueillir un consentement parapluie : « J’accepte tout » n’est pas valide. Chaque finalite doit avoir son propre consentement granulaire.
  • Considerer les donnees professionnelles comme non personnelles : un email professionnel comme prenom.nom@entreprise.sn est une donnee personnelle au sens de la loi.
  • Ignorer les demandes d’acces : ne pas repondre dans les 30 jours est une infraction directe et la cause N1 de plaintes a la CDP.
  • Sous-estimer le delai de mise en conformite : compter au minimum 4 mois pour une PME de 30 employes, 9 mois pour 100+ employes avec activite e-commerce.

Checklist de conformite Loi 2008-12 et RGPD

  • Direction sponsor du projet et budget annuel valide
  • Cartographie des donnees realisee par service
  • Registre des traitements complet, signe et a jour
  • DPD designe et notifie a la CDP si obligatoire
  • Politique de confidentialite publiee et conforme article 35
  • Bandeau cookies installe avec 3 choix granulaires
  • Recueil de consentements documente et trace
  • Contrats sous-traitants conformes article 39 signes
  • Transferts hors UEMOA encadres par SCC ou autorisation CDP
  • Procedure de droits des personnes ecrite et boite dpo@ active
  • Procedure de notification violation 72h documentee et testee
  • Mesures techniques minimales appliquees (chiffrement, MFA, logs)
  • Sensibilisation annuelle realisee et tracee
  • Audit interne semestriel programme
  • Dossier de preuves centralise et chiffre pour controle CDP
#audited
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 250.000 FCFA
Parlons de Votre Projet
Publicité

Articles Similaires