L’essentiel en bref : contrairement à une idée répandue, le RGPD européen ne s’impose pas automatiquement aux entreprises africaines. Il ne s’applique que dans des cas précis : si vous ciblez des clients situés en Europe, ou si vous êtes filiale ou sous-traitant d’une entreprise européenne. Votre obligation première reste votre loi nationale, au Sénégal la loi 2016-29 sous le contrôle de la CDP, complétée par les textes régionaux (Acte additionnel de la CEDEAO, Convention de Malabo de l’Union africaine). Bonne nouvelle : ces cadres partagent les mêmes grands principes, si bien qu’une mise en conformité bien menée les couvre ensemble. Et la cybersécurité n’est pas une option : sécuriser les données est une obligation légale. Cet article clarifie ce qui s’applique vraiment à vous et comment vous mettre en conformité.
La protection des données personnelles est devenue un sujet incontournable pour toute entreprise qui collecte des informations sur ses clients ou ses employés. Mais autour du RGPD, le règlement européen, règne une grande confusion en Afrique. Beaucoup d’entreprises croient devoir s’y conformer alors qu’elles n’y sont pas soumises, et d’autres ignorent les obligations réelles qui pèsent sur elles au titre de leur loi nationale.
Ce guide dissipe cette confusion. Il explique quand le RGPD s’applique réellement à une entreprise africaine, quelles sont vos vraies obligations locales, pourquoi conformité et cybersécurité sont indissociables, et comment avancer concrètement. Le tout pensé pour un dirigeant, sans jargon juridique inutile.
Le RGPD s’applique-t-il vraiment à votre entreprise africaine ?
Commençons par lever le malentendu central. Le RGPD, Règlement général sur la protection des données, est un texte européen. Il encadre le traitement des données des personnes qui se trouvent dans l’Union européenne. Il ne s’applique donc pas, par principe, à toutes les entreprises africaines.
Cela dit, le RGPD a une portée extraterritoriale. Concrètement, il peut concerner votre entreprise africaine dans deux situations principales. La première: vous ciblez des personnes situées dans l’Union européenne, en leur offrant des biens ou des services, ou en suivant leur comportement. Une entreprise sénégalaise qui vend en ligne à des clients européens, par exemple, entre dans le champ du RGPD pour ces traitements. La seconde: vous êtes la filiale d’une entreprise européenne, ou son sous-traitant. Dans ce cas, le RGPD vous suit, car le sous-traitant, même hors UE, est pleinement responsable du respect des obligations.
En revanche, un point souvent mal compris mérite d’être souligné: un simple transfert de données vers un serveur situé en Europe, sans ciblage de clients européens, ne déclenche pas le RGPD pour vous. Dans ce cas, c’est l’entreprise réceptrice basée dans l’UE qui doit s’y conformer. Autrement dit, héberger des données en Europe ne vous rend pas automatiquement soumis au RGPD.
La question à se poser est donc simple: est-ce que je cible des personnes en Europe, ou est-ce que je travaille pour une entreprise européenne? Si oui, le RGPD vous concerne. Sinon, votre cadre de référence est ailleurs.
➡️ SOC (Security Operations Center) : Guide Complet pour PME au Sénégal
Votre vraie obligation : la loi nationale et les textes régionaux
Que le RGPD vous concerne ou non, vous avez de toute façon des obligations en matière de protection des données. Elles découlent de votre loi nationale et des textes régionaux.
Au Sénégal, le cadre de référence est la loi n° 2016-29 relative à la protection des données à caractère personnel, sous le contrôle de la Commission de protection des données personnelles (CDP). C’est elle qui encadre la collecte, le traitement et la conservation des données de vos clients et de vos employés. Le Sénégal fait d’ailleurs partie des pionniers du continent, ayant légiféré avant même l’entrée en application du RGPD.
À l’échelle régionale, l’Acte additionnel de la CEDEAO de 2010 a harmonisé les bases légales, les principes et les droits d’un pays à l’autre en Afrique de l’Ouest, ce qui facilite la cohérence pour les entreprises actives dans plusieurs pays de la zone. À l’échelle continentale, la Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel, dite Convention de Malabo, adoptée en 2014, est entrée en vigueur en 2023 après avoir réuni le nombre requis de ratifications. Elle pose un cadre commun à l’échelle africaine.
Il faut toutefois garder en tête que le paysage reste inégal sur le continent: une trentaine de pays africains seulement disposent à ce jour d’une loi nationale, et les moyens des autorités de contrôle varient fortement. Au Sénégal, en revanche, le cadre existe et l’autorité, la CDP, est en place.
Une différence pratique à connaître : la déclaration préalable
Voici une particularité que les entreprises sénégalaises doivent intégrer. Plusieurs lois africaines, dont la loi sénégalaise, ont hérité d’une pratique que le RGPD a supprimée: l’obligation de déclarer ses fichiers de données personnelles auprès de l’autorité locale avant de les exploiter.
Concrètement, une entreprise au Sénégal doit en principe déclarer ses bases de données personnelles auprès de la CDP. Cette formalité administrative n’existe plus dans le cadre du RGPD, qui a basculé vers une logique de responsabilisation continue plutôt que d’autorisation préalable. C’est une différence importante: une entreprise qui se contenterait de copier une démarche « RGPD » trouvée en ligne pourrait passer à côté de cette obligation déclarative locale, pourtant bien réelle.
➡️ Test d’intrusion (Pentest) : Pourquoi et comment le réaliser ?
Des principes qui convergent : se conformer une fois pour tous
La bonne nouvelle, c’est que malgré ces différences de forme, les principes de fond convergent très largement. Les lois africaines reflètent dans l’ensemble les mêmes grands principes que le RGPD: licéité et transparence du traitement, finalité déterminée, minimisation des données collectées, exactitude, limitation de la durée de conservation, confidentialité et sécurité, et responsabilité de l’organisme.
On retrouve également des obligations comparables: information des personnes, recueil d’un consentement libre, spécifique, éclairé et univoque lorsque c’est la base légale retenue, respect des droits individuels (accès, rectification, suppression), et notification des violations de données. Sur ce dernier point, le RGPD impose un signalement sous 72 heures ; les lois africaines varient encore, mais beaucoup évoluent vers des exigences similaires.
Cette convergence a une conséquence pratique précieuse: une démarche de conformité bien construite, fondée sur ces principes communs, vous met en règle à la fois avec votre loi nationale et, si vous y êtes soumis, avec le RGPD. Vous ne vous conformez pas deux fois, mais une fois, à un socle commun, en ajoutant les spécificités locales comme la déclaration à la CDP.
Conformité et cybersécurité : un lien légal, pas seulement technique
Voici le point que beaucoup séparent à tort. La cybersécurité n’est pas qu’une bonne pratique technique: c’est une obligation légale. Les textes, le RGPD comme les lois africaines, imposent de sécuriser les données personnelles par des mesures techniques et organisationnelles appropriées. Une fuite de données due à une négligence de sécurité est donc aussi un manquement à la conformité.
Cela signifie que protéger les données et se conformer à la loi sont deux faces d’une même démarche. Concrètement, la sécurisation passe par des mesures que nous avons détaillées dans d’autres guides: contrôle des accès selon le principe du moindre privilège, chiffrement des données sensibles, sauvegardes régulières et testées, pare-feu et protection du réseau, supervision pour détecter les incidents, et sensibilisation des équipes, souvent le maillon faible.
L’enjeu est double. D’une part, ces mesures vous protègent des cyberattaques et de leurs conséquences financières et réputationnelles. D’autre part, elles constituent la preuve que vous avez pris vos obligations au sérieux, ce qui compte en cas de contrôle ou d’incident. La capacité à démontrer sa conformité à tout moment est au cœur de la logique moderne de protection des données.
➡️ Pare-feu Fortinet : Guide d’Installation et de Configuration
Une feuille de route concrète pour se mettre en conformité
Par où commencer? Voici une démarche progressive, applicable à une PME comme à une organisation plus grande.
Cartographier d’abord. Identifiez quelles données personnelles vous détenez, d’où elles viennent, où elles sont stockées, qui y accède et pourquoi. Sans cette vision, aucune conformité n’est possible. Cette cartographie prend souvent la forme d’un registre des traitements.
Régulariser ensuite vos obligations locales. Au Sénégal, cela inclut la déclaration de vos traitements auprès de la CDP, conformément à la loi 2016-29.
Vérifier vos bases légales. Assurez-vous que chaque traitement repose sur un fondement valable: consentement, contrat, obligation légale, intérêt légitime. Et que, lorsque le consentement est requis, il est bien recueilli de façon libre et éclairée.
Sécuriser, puisque la sécurité est une obligation. Mettez en place les mesures techniques et organisationnelles adaptées à la sensibilité de vos données, et documentez-les.
Encadrer les transferts. Si vous transférez des données hors du pays, vérifiez que des garanties appropriées sont en place. À l’inverse, si vous recevez des données depuis l’Europe, sachez qu’aucun pays africain ne bénéficie aujourd’hui du statut d’adéquation européen, ce qui impose à l’exportateur européen des garanties contractuelles.
Désigner un référent. Même quand ce n’est pas strictement obligatoire, nommer un correspondant à la protection des données aide à piloter la démarche dans la durée.
Former et faire vivre. La conformité n’est pas un projet ponctuel mais un processus continu, qui suppose de sensibiliser les équipes et de réviser régulièrement vos pratiques.
Le contexte africain : une opportunité autant qu’une contrainte
Il serait réducteur de voir la conformité comme une simple contrainte. Dans un continent où la culture de la protection de la vie privée est encore émergente, une entreprise qui prend ce sujet au sérieux se distingue.
D’abord, la conformité est un atout commercial. Respecter les règles du RGPD permet de travailler plus facilement avec des partenaires et des clients européens, qui exigent ces garanties. C’est une clé d’accès au marché international.
Ensuite, c’est un facteur de confiance. À mesure que les clients africains prennent conscience de la valeur de leurs données, les entreprises qui les protègent sérieusement gagnent un avantage de réputation.
Enfin, c’est un enjeu de souveraineté. La maîtrise de ses données, leur localisation et leur sécurité participent d’une autonomie numérique de plus en plus stratégique pour les organisations comme pour les États du continent.
➡️ Cybersécurité dans les télécommunications : Enjeux et solutions
Clarifier, sécuriser, avancer
Retenez l’essentiel: ne partez pas du principe que le RGPD vous gouverne. Vérifiez d’abord s’il s’applique réellement à vous, ciblez-vous l’Europe, travaillez-vous pour une entreprise européenne, puis concentrez-vous sur votre obligation première, votre loi nationale, au Sénégal la loi 2016-29 et la CDP, complétée par les textes régionaux. Comme les principes convergent, une démarche bien construite vous met en règle sur tous les fronts. Et n’oubliez jamais que la cybersécurité fait partie intégrante de cette conformité: sécuriser, c’est se conformer.
Chez Gael Conseil, nous accompagnons les entreprises sénégalaises et ouest africaines dans leur mise en conformité et la sécurisation de leurs données, avec une méthodologie éprouvée et un engagement de résultat. Cartographie des données, accompagnement des démarches auprès de la CDP, mise en place des mesures de sécurité techniques et organisationnelles, sensibilisation des équipes et préparation aux exigences du RGPD lorsque vous travaillez avec l’Europe: notre rôle est de transformer une obligation complexe en une démarche claire, qui protège votre entreprise et renforce la confiance de vos clients et partenaires.
Vous voulez clarifier vos obligations et sécuriser vos données ? Échangeons sur votre situation et vos priorités de conformité.
👉 Cybersécurité & Résilience, Gael Conseil
FAQ : Conformité RGPD et cybersécurité pour entreprises africaines
Mon entreprise sénégalaise doit-elle se conformer au RGPD ?
Pas automatiquement. Le RGPD ne s’applique à vous que si vous ciblez des personnes situées dans l’Union européenne (vente de biens ou services, suivi de comportement), ou si vous êtes filiale ou sous-traitant d’une entreprise européenne. Sinon, votre obligation première est la loi sénégalaise n° 2016-29, sous le contrôle de la CDP.
Héberger mes données en Europe me soumet-il au RGPD ?
Non. Un simple transfert ou hébergement de données vers un serveur en Europe, sans ciblage de clients européens, ne déclenche pas le RGPD pour votre entreprise. C’est l’entité réceptrice basée dans l’UE qui doit s’y conformer. Le critère déterminant est le ciblage de personnes dans l’UE, pas la localisation du serveur.
Quelle est ma principale obligation légale au Sénégal ?
La loi n° 2016-29 relative à la protection des données à caractère personnel, sous le contrôle de la Commission de protection des données personnelles (CDP). Elle impose notamment, contrairement au RGPD, de déclarer vos fichiers de données personnelles auprès de la CDP avant de les exploiter.
Les principes du RGPD et des lois africaines sont-ils différents ?
Sur le fond, ils convergent largement : licéité, transparence, finalité déterminée, minimisation, exactitude, limitation de conservation, confidentialité et responsabilité. Les différences portent surtout sur la forme, comme l’obligation de déclaration préalable maintenue dans plusieurs lois africaines. Une démarche bien construite couvre les deux cadres.
La cybersécurité est-elle vraiment une obligation légale ?
Oui. Les textes, le RGPD comme les lois africaines, imposent de sécuriser les données par des mesures techniques et organisationnelles appropriées. Une fuite due à une négligence de sécurité constitue donc aussi un manquement à la conformité. Sécuriser ses données fait partie intégrante de la mise en conformité.
Qu’est-ce que la Convention de Malabo ?
C’est la Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel, adoptée en 2014 et entrée en vigueur en 2023 après avoir réuni les ratifications nécessaires. Elle pose un cadre commun à l’échelle continentale, en complément des lois nationales et de l’Acte additionnel de la CEDEAO en Afrique de l’Ouest.
Gael Conseil peut-il accompagner ma mise en conformité ?
Oui. Gael Conseil accompagne la cartographie des données, les démarches auprès de la CDP, la mise en place des mesures de sécurité, la sensibilisation des équipes et la préparation aux exigences du RGPD pour les entreprises travaillant avec l’Europe, dans un cadre adapté au contexte local. Vous pouvez en savoir plus via la page dédiée.

