-1323.png){kind=logo}
Focus pays : République Centrafricaine
Année d’adoption : 2024
Autorité de contrôle : Non mise en place
Résumé
La loi instaure un cadre de protection des données à caractère personnel, applicable à toute opération de traitement produisant des effets dans le pays, quel que soit le lieu d’établissement du responsable de traitement. Elle impose des obligations importantes aux organisations, telles que la mise en œuvre de mesures de sécurité robustes, l’obtention du consentement préalable pour la prospection directe et la désignation d’un délégué à la protection des données (DPO) résident. La loi garantit aux personnes concernées l’ensemble de leurs droits et prévoit un régime gradué pour les transferts internationaux de données, incluant des règles spécifiques pour les blocs économiques CEMAC et CEEAC. Le cadre est soutenu par des sanctions sévères, comprenant des amendes administratives pouvant atteindre 5 % du chiffre d’affaires de l’entreprise et des sanctions pénales. Un défi opérationnel majeur demeure : l’autorité de protection des données n’a pas encore été créée, le gouvernement ayant manqué l’échéance de janvier 2025 pour sa mise en place.
Découvrez ici l’analyse de la loi.
Introduction
Au cours des deux derniers mois, des évolutions significatives ont marqué le paysage africain en matière de protection des données à caractère personnel et de gouvernance de l’intelligence artificielle (IA). Sur le volet protection des données, le Madagascar a officiellement instauré son autorité de contrôle, la loi modifiée sur la protection des données en Algérie est entrée en vigueur, et l’on observe une intensification des actions d’application de la réglementation et de coopération institutionnelle. Concernant la gouvernance de l’IA, la Namibie a lancé l’élaboration de sa stratégie nationale en intelligence artificielle, et plusieurs autres pays africains ont engagé des démarches similaires afin de définir leur cadre stratégique.
Protection des données : nouvelles lois et mesures stratégiques
● Le Madagascar a officiellement créé la Commission malgache de l’informatique et des libertés (CMIL) en tant qu’autorité de protection des données et en a nommé les membres, portant officiellement à 35 le nombre d’autorités de protection des données en Afrique.
● Le 24 juillet 2025, l’Algérie a publié sa loi modifiée sur la protection des données, qui impose de nouvelles obligations aux responsables de traitement et aux sous-traitants. La modification prévoit notamment une notification des violations de données dans un délai de 5 jours, autorise les transferts transfrontaliers de données et permet des restrictions aux droits des personnes concernées afin de protéger les droits et libertés fondamentaux ainsi que les intérêts légitimes de la personne concernée.
● Le projet de loi nigérian sur la protection des données (amendement) a été présenté au Parlement pour délibération. Le texte vise à renforcer la responsabilité des développeurs d’applications, à encadrer le partage de données avec des tiers et à accroître les pouvoirs d’application de la Nigeria Data Protection Commission (NDPC). Il s’agit du deuxième projet de loi visant à modifier la loi nigériane sur la protection des données cette année ; une version précédente souhaitait imposer l’enregistrement local des entreprises mondiales. Parallèlement, le président du Parlement de Gambie a annoncé la poursuite des délibérations sur le projet de loi relatif à la protection des données personnelles et à la cybercriminalité.
● Le 18 août 2025, l’autorité de protection des données de Somalie a lancé son plan stratégique quinquennal. Ce plan constitue un guide pour les actions de l’autorité en matière de gouvernance de la protection des données, d’application de la loi, de sensibilisation du public ainsi que de partenariats nationaux et internationaux. De même, au Kenya, l’Office of the Data Protection Commissioner (ODPC) a publié son plan stratégique 2025-2029. Dans ce cadre, l’ODPC prévoit de ratifier la Convention de Malabo, de publier des orientations sur les transferts transfrontaliers de données, de rechercher des décisions d’adéquation auprès de l’UE et des Émirats arabes unis, de finaliser et publier un code de partage de données, d’enregistrer les entités étrangères et de réviser la loi sur la protection des données ainsi que ses règlements.
● Le ministre ghanéen de la Communication, des Technologies numériques et de l’Innovation (MCDTI) a officiellement installé un nouveau conseil d’administration de la Data Protection Commission (DPC). Ce conseil aura pour mission de développer un cadre national de gouvernance des données afin de soutenir l’économie numérique et les stratégies en matière d’IA du Ghana.
● Au Mozambique, du 28 juillet au 1er août 2025, la Commission économique des Nations Unies pour l’Afrique (CEA) a organisé des consultations avec les parties prenantes et un atelier de renforcement des capacités pour les acteurs publics et privés. Les résultats attendus de cet atelier incluaient une feuille de route pour le paysage numérique et de gouvernance des données du Mozambique ainsi qu’un cadre national de gouvernance des données.
● L’Instance de protection des données à caractère personnel du Togo (IPDCP) a annoncé le lancement officiel de la procédure de déclaration et d’autorisation pour les systèmes de vidéosurveillance et de protection, conformément à la loi sur la protection des données. Ainsi, tout traitement de données reposant sur des images dans des espaces publics ou privés doit être déclaré auprès de l’IPDCP, certains cas nécessitant une autorisation préalable, comme prévu par la loi sur la protection des données.
Application : les autorités de contrôle passent à l’action
● La Nigeria Data Protection Commission (NDPC) a infligé une amende de ₦766 242 500 (environ 510 157 USD) à une organisation pour violation de la loi nigériane sur la protection des données (NDPA). Les enquêtes de la NDPC ont révélé que les activités de traitement de l’entreprise violaient la vie privée des Nigérians et impliquaient des transferts transfrontaliers de données jugés « illicites ». La NDPC a également adressé un avis de mise en conformité à certaines organisations, leur demandant de fournir, dans un délai de 21 jours, la preuve du dépôt de leur audit annuel, leur enregistrement auprès de la NDPC, la désignation d’un délégué à la protection des données (DPO), ainsi qu’un résumé des mesures techniques et organisationnelles mises en place pour protéger les données personnelles.
● Au Burkina Faso, le Ministère de l’Administration territoriale et de la Mobilité (MATM) a suspendu une ONG internationale pour avoir collecté des données sensibles sans autorisation préalable. Par ailleurs, l’autorité de protection des données a publié une circulaire mettant en garde contre la diffusion de données personnelles sur les réseaux sociaux sans consentement, précisant que toute récidive pourrait entraîner une amende pouvant atteindre 20 000 000 CFA (environ 37 757 USD).
● Au Kenya, la Haute Cour a rejeté une requête, invoquant le défaut de la personne concernée d’avoir épuisé les voies de recours disponibles. La Cour a également statué que les numéros IMEI (International Mobile Equipment Identity) constituent des données personnelles lorsqu’ils sont associés à une personne et à un réseau. Cette décision met fin au projet du gouvernement qui visait à imposer l’enregistrement obligatoire des numéros IMEI dans une base de données centralisée. Parallèlement, le Tribunal de l’emploi et des relations de travail a confirmé le licenciement d’un salarié ayant violé la vie privée de ses collègues en les enregistrant secrètement au travail sans leur consentement.
● Au Mali, l’autorité de protection des données a infligé une amende de 5 000 000 CFA (environ 8 968 USD) à une entreprise pour avoir entravé une inspection sur site liée à l’installation illégale d’un système de vidéosurveillance.
● En Afrique du Sud, l’autorité de protection des données a ouvert une enquête sur une entreprise soupçonnée de violation de la loi sur la protection des données, à la suite de plaintes d’utilisateurs concernant la licéité de ses traitements et une utilisation abusive de données personnelles.
● Au Gabon, l’autorité de protection des données a mené un contrôle de conformité afin d’évaluer le respect, par une entreprise, de la législation nationale. Les conclusions de cette inspection orienteront les prochaines décisions, incluant d’éventuelles sanctions ou mesures correctrices, confirmant ainsi l’engagement de l’autorité à protéger la vie privée et à promouvoir la conformité.
● En Ouganda, l’autorité de protection des données a rendu une décision contre une entreprise technologique, lui ordonnant de s’enregistrer auprès de l’autorité et de soumettre, dans un délai de 30 jours, la preuve de son dispositif de conformité en matière de transferts transfrontaliers de données. De plus, le PDPO a obtenu sa première condamnation pénale contre le directeur d’une société de prêts pour défaut d’enregistrement, traitement de données sans consentement ni base légale, ainsi que pour usage abusif des données.
● En Tanzanie, l’autorité de protection des données a infligé une amende de 20 000 000 TZS (environ 8 130 USD) à une entreprise pour avoir publié sur son compte de réseau social les photos et vidéos d’une personne concernée sans avoir obtenu son consentement.
Gouvernance de l’IA : progression sur le continent
● Le 22 août 2025, la Namibie a officiellement inauguré son Comité consultatif technique sur l’IA chargé de développer la stratégie nationale en intelligence artificielle. Le comité a tenu sa première réunion, définissant comme priorités l’éducation, le renforcement des capacités et la création d’emplois. Cette initiative fait suite à la publication du rapport national sur l’état de préparation à l’IA, élaboré en partenariat avec l’UNESCO. Parallèlement, le Zimbabwe a conclu un partenariat avec l’UNESCO pour élaborer sa propre stratégie nationale en matière d’IA.
● Le 7 juillet 2025, le Cameroun a dévoilé sa stratégie nationale pour l’IA lors de la deuxième édition des Consultations nationales sur l’IA. Cette stratégie prévoit la création d’une Autorité camerounaise de l’IA, d’un Conseil présidentiel sur l’IA, la rédaction d’une loi-cadre intégrant des considérations éthiques et des mécanismes de coordination interministérielle, ainsi que le développement d’une politique d’open data.
● Le Parlement panafricain (PAP) a organisé le premier Sommet parlementaire africain sur le numérique, qui s’est conclu par l’adoption de la Déclaration de Lusaka. Cette déclaration appelle à l’adoption de cadres de gouvernance robustes, pilotés par l’Afrique, pour assurer un développement et une utilisation responsables de l’IA, parallèlement aux avancées en matière de santé numérique, de fabrication intelligente et de protection des données. Elle recommande aux parlementaires de soutenir les cadres réglementaires relatifs à l’IA et à la protection des données en cohérence avec l’Agenda 2063 de l’Union africaine et de plaider pour la mise en œuvre nationale de la Convention de Malabo.
● La Zambie a accueilli l’atelier national sur la politique de l’IA dans l’éducation, offrant une plateforme de concertation aux parties prenantes pour élaborer une politique nationale destinée à encadrer l’utilisation éthique, inclusive et efficace de l’IA générative dans le système éducatif.
● Les autorités de protection des données du Malawi et du Kenya (ODPC) ont annoncé leur intention de mettre en place un bac à sable réglementaire afin de favoriser le déploiement des technologies émergentes et de promouvoir l’innovation.
● Lors de la Mise à jour économique 2025, le ministre des TIC d’Eswatini a annoncé l’élaboration de textes législatifs majeurs sur l’IA, la robotique, la cybersécurité et le commerce électronique, dans le cadre des efforts du pays pour encadrer sa gouvernance numérique.
● Le 7 août 2025, l’Afrique du Sud a officiellement lancé le forum national des parties prenantes sur l’IA. Ce forum vise à constituer une plateforme de collaboration continue entre acteurs, servant de socle au plan directeur de l’économie numérique du pays et au futur cadre politique sur l’IA.
● Le Ghana a annoncé la création prochaine du Conseil des technologies émergentes (ETC) dans le cadre d’un nouveau dispositif législatif. Ce conseil supervisera un large éventail de technologies au-delà de l’IA, avec des divisions spécialisées capables de s’adapter rapidement aux innovations. Le ministre a également annoncé l’introduction de 15 nouveaux textes législatifs, dont la loi sur les technologies émergentes.
● Smart Africa a lancé un cadre modèle de politique sur l’IA, destiné à guider les pays africains qui n’ont pas encore élaboré de stratégie nationale, en leur fournissant un modèle adaptable à leur contexte local tout en garantissant la cohérence avec les normes continentales et internationales.
● Les pays des BRICS, dont l’Égypte, l’Éthiopie et l’Afrique du Sud, ont publié une déclaration conjointe sur la gouvernance mondiale de l’IA. Celle-ci vise à promouvoir un développement inclusif, équitable et centré sur l’humain de l’IA, en donnant la priorité aux pays du Sud global.
● Lors de son premier Sommet national sur l’IA, le Maroc a signé un protocole d’accord avec Current AI, devenant officiellement membre fondateur de l’organisation. À cette occasion, le ministre délégué chargé de la Transition numérique a souligné que le Maroc prépare un projet de cadre juridique destiné à encadrer les risques liés au déploiement de l’IA, en intégrant des principes tels que le droit à l’explication, la traçabilité des décisions algorithmiques et la primauté de la conscience humaine.
Partenariats et coopération
● Les présidents des autorités de protection des données de l’Alliance des États du Sahel (AES) ont tenu une réunion virtuelle pour valider la feuille de route relative à la mise en œuvre de l’accord de coopération signé en avril 2025. À travers cette feuille de route, les membres s’engagent à renforcer leur collaboration, notamment pour harmoniser les cadres de protection des données et mener des initiatives conjointes de sensibilisation.
● Au Bénin, la Commission électorale nationale autonome (CENA) a signé un protocole d’accord avec l’autorité de protection des données afin de mettre en place un cadre pour le traitement et la protection des données personnelles lors du prochain processus électoral. Ce partenariat vise à garantir la transparence, le respect de la législation et la protection des droits fondamentaux des citoyens tout au long du cycle électoral.
● L’autorité de protection des données du Kenya a organisé une session de benchmarking de haut niveau avec l’autorité de Somalie afin de renforcer les structures institutionnelles, promouvoir les initiatives de protection des données et encourager une coopération régionale plus forte. De même, l’autorité ougandaise s’est rendue auprès de la NDPA du Nigéria pour observer et s’inspirer de leur cadre opérationnel, dans le but d’adopter les meilleures pratiques pour l’Ouganda. L’autorité togolaise s’est également rendue auprès de la CIL du Burkina Faso pour renforcer leur collaboration.
● L’autorité kenyane a tenu une réunion stratégique avec le Marché commun pour l’Afrique orientale et australe (COMESA) et l’Autorité de la concurrence du Kenya (CAK) afin d’explorer les opportunités de coopération internationale pour promouvoir la conformité en matière de protection des données à travers différentes juridictions.
Conclusion
Le message des deux derniers mois est clair : la protection des données évolue en Afrique, passant de la politique à la pratique. Nous pouvons nous attendre à ce que les actions d’application et les partenariats transfrontaliers s’intensifient dans les mois à venir.
Selon vous, laquelle de ces évolutions aura l’impact le plus significatif sur la conduite des affaires en Afrique ?
.png)
