Articles

Revue bimestrielle sur la protection des données personnelles en Afrique (Janvier – Février 2026) 

TH ADMIN
Monday, March 23, 2026

Introduction

Le paysage de la protection des données et de la gouvernance de l’IA a débuté l’année 2026 sur une note positive. Une nouvelle loi sur la protection des données a été adoptée au Burundi, de nouvelles lignes directrices ont été publiées en Égypte, des efforts sont en cours pour amender les lois existantes en Île Maurice et en Tunisie, et une nouvelle autorité de protection des données a été créée en République du Congo. Plusieurs autorités, notamment au Kenya, au Nigeria et en Tanzanie, intensifient leurs actions de mise en application. Parallèlement, Djibouti, le Ghana, le Kenya, l’île Maurice, le Maroc et le Zimbabwe font progresser leurs initiatives en matière de gouvernance de l’IA.

Evolutions à suivre : ce à quoi les professionnels du secteur doivent être attentifs.

Les autorités africaines de protection des données entament 2026 avec une forte orientation vers l’application des exigences réglementaires. En substance, elles choisissent de ne pas ménager les sanctions et exigent des organisations qu’elles renforcent leurs pratiques de gouvernance en matière de protection des données. Avec plus de 110 décisions rendues en 2025, l’autorité kenyane a commencé 2026 en adoptant une position ferme face à toute violation. L’autorité nigériane a lancé une campagne de contrôle dans le secteur de l’enseignement, exigeant des établissements d’enseignement supérieur qu’ils fournissent une preuve de conformité dans un délai de 21 jours. La Tanzanie pourrait suivre la même voie, l’autorité ayant fixé au 8 avril la date limite de mise en conformité avec l’obligation d’enregistrement. L’Eswatini a également fixé au 31 mars la date limite pour la soumission de toutes les cartographies de données, sous peine de sanctions.

Parmi les évolutions notables figurent :

 

Actualités réglementaires

  • Le 15 janvier 2026, l’Assemblée nationale du Burundi a adopté la loi sur la protection des données afin d’encadrer le traitement des données à caractère personnel dans le pays. Avec cette adoption, l’Afrique compte désormais environ 45 lois en matière de protection des données. De nouvelles législations pourraient voir le jour au cours de l’année ; des avancées sont attendues en ce sens, notamment, au Libéria, en Libye, au Mozambique, en Namibie, en Sierra Leone, au Soudan du Sud et au Soudan.
  • La République du Congo a officiellement inauguré la Commission nationale de protection des données à caractère personnel en tant qu’autorité de protection des données. Cette inauguration fait suite à la nomination de la direction de la Commission par un décret publié le 31 décembre 2025. 
  • L’Île Maurice a officiellement lancé la Stratégie nationale des données (2025–2029), qui établit un cadre pour la gouvernance, le partage et l’utilisation des données à l’échelle du pays. Parallèlement, le Conseil des ministres a également engagé un processus de modification de la loi de 2017 sur la protection des données. De son côté, la Tunisie poursuit une démarche similaire en introduisant un projet de loi de 123 articles visant à moderniser la législation existante. 
  • Afin de faciliter la mise en conformité avec la loi sur la protection des données et ses décrets d’application, le Centre de protection des données personnelles d’Égypte a publié des lignes directrices portant notamment sur le consentement des personnes concernées, les bases légales du traitement, le marketing direct électronique, le délégué à la protection des données (DPO), les catégories de DPO, les utilisateurs de données, les principes de protection des données, le registre des activités de traitement (ROPA), les licences et autorisations, ainsi que les mentions d’information. Il a également publié un modèle de notification des violations de données destiné au Centre et aux personnes concernées, ainsi qu’un modèle de registre des activités de traitement.
  • L’autorité de protection des données d’Eswatini a publié des lignes directrices sur la réalisation d’un exercice de cartographie des données et a émis une directive imposant aux responsables de traitement et aux sous-traitants de réaliser un exercice obligatoire de cartographie des données d’ici au 31 mars 2026, en utilisant le modèle fourni. Les soumissions doivent être envoyées à l’adresse suivante : dataprotection@esccom.org.sz.
  • L’Algérie a officialisé la publication du Cadre national de gouvernance des données, un outil public qui prévoit un mécanisme unifié pour organiser, gérer et échanger les données entre les institutions publiques.
  • Le gouvernement gabonais a annoncé son intention de ratifier la Convention de Malabo, une initiative qui laisse présager une possible mise à jour de la législation existante. L’autorité de protection des données a également annoncé un renforcement de la supervision et des sanctions dans le secteur bancaire, des télécommunications et de la santé.
  • Le département kenyan en charge des TIC et de l’économie numérique a organisé un atelier de validation sur la Politique nationale de gouvernance des données. Cette politique propose notamment la création d’un Conseil national de gouvernance des données et des technologies émergentes, chargé de superviser la mise en œuvre, de faire respecter les normes et d’orienter le développement d’un écosystème national de données fiable.
  • L’autorité de protection des données du Ghana a annoncé une nouvelle grille tarifaire entrée en vigueur le 2 février 2026. Celle-ci introduit une structure fondée sur la taille des organisations pour des services tels que les enregistrements, les sanctions liées à la conformité et les services de formation.
  • L’autorité nigériane de protection des données a publié un communiqué présentant les principales recommandations issues du Sommet national sur la vie privée, organisé lors de la Semaine dédiée à la vie privée, édition 2026. Parmi ces recommandations figurent la mise en place d’un cadre juridique pour l’IA à fort impact, la création de « bacs à sable » réglementaires pour les technologies émergentes, le renforcement de la clarté juridique sur les flux internationaux de données et la mise en œuvre de sanctions en cas de non-conformité.
  •  Le 18 février 2026, l’autorité sud-africaine de protection des données a organisé une consultation des parties prenantes afin de discuter d’un projet de code de conduite relatif au traitement des données personnelles aux points d’accès sécurisés.
  •  Le 12 février 2026, les États membres de la Communauté de développement de l’Afrique australe (SADC) ont tenu une session de travail consacrée à la création d’un réseau des autorités de protection des données de la SADC et à l’élaboration d’une stratégie annuelle visant à renforcer leur participation aux initiatives internationales.
  •  L’autorité de protection des données du Zimbabwe a lancé le « Privacy Responsibility Challenge », invitant les organisations à démontrer comment elles renforcent leur gouvernance des données, intègrent la protection de la vie privée dès la conception (« privacy by design »), renforcent les contrôles de sécurité et responsabilisent leurs équipes en tant que garantes de la protection des données personnelles.
  • L’autorité mozambicaine de protection des données a mis en place une plateforme numérique permettant aux citoyens de signaler en ligne les violations de données personnelles, les contenus illicites et les incidents de cybersécurité. Le pays a également publié un règlement sur l’informatique en nuage (cloud computing), établissant un cadre juridique pour encadrer la fourniture, l’enregistrement, l’octroi de licences, la contractualisation, l’hébergement et l’exploitation des services de cloud computing.

 

 

Contrôles, sanctions et mises en demeure

  • L’autorité de protection des données du Nigeria a entamé l’année en adoptant une position claire face au non-respect de la loi nigériane sur la protection des données (NDPA). Elle mène actuellement une enquête sur une plateforme de commerce en ligne, à la suite de préoccupations liées à la surveillance en ligne, à la responsabilité, aux exigences de minimisation des données, à la transparence, au devoir de diligence et aux transferts transfrontaliers de données. Elle a également lancé une enquête à l’échelle du secteur de l’enseignement supérieur concernant de potentielles violations de la NDPA, exigeant des établissements concernés qu’ils apportent la preuve de leur conformité dans un délai de 21 jours. La Haute Cour suit la même ligne, en infligeant une amende de 2 300 000 nairas à une banque commerciale pour violation de la vie privée d’un client. La banque avait traité les données du client dans le cadre d’un processus automatisé de recouvrement de prêt sans vérification adéquate.
  • L’autorité kényane de protection des données a émis une injonction à l’encontre d’un établissement scolaire pour utilisation inappropriée et commerciale des données de mineurs sans consentement. Elle a également infligé une amende à un hôpital pour traitement illicite de données personnelles, ainsi qu’à une école pour avoir divulgué illégalement les résultats d’examen d’un mineur dans un journal national sans consentement parental. Par ailleurs, l’autorité a confirmé la suppression des données personnelles collectées par Worldcoin, à la suite d’une décision de justice jugeant inconstitutionnelle la collecte de données biométriques de citoyens kényans, en violation de la loi sur la protection des données. Fait notable, un tribunal kényan a précisé que, si l’autorité est compétente pour traiter les plaintes et infliger des sanctions administratives, elle ne dispose pas de la compétence pour statuer sur des violations constitutionnelles ni pour accorder des réparations de nature constitutionnelle.
  • Le ministre tanzanien des Communications et des Technologies de l’information a émis une directive imposant à tous les responsables de traitement et sous-traitants de s’enregistrer auprès de l’autorité de protection des données avant le 8 avril 2026. À la suite de cette annonce, le ministre a chargé l’autorité compétente de préparer des audits de conformité complets, qui débuteront immédiatement après cette échéance.
  • L’autorité de protection des données en Algérie a rendu une décision établissant des lignes directrices claires concernant le traitement des résultats de tests de dépistage de drogues des employés et des candidats. Elle a précisé que les résultats indiquant uniquement « positif » ou « négatif », sans détails médicaux supplémentaires, constituent des données de santé standard et non des données sensibles. Par conséquent, les employeurs ne sont pas tenus d’obtenir une autorisation préalable pour traiter ces informations dans le cadre de la vérification des conditions légales d’emploi.
  • L’autorité sud-africaine de protection des données a lancé un exercice proactif de contrôle de la conformité, en émettant des notifications formelles obligeant les organisations à démontrer leur conformité à la loi sur la protection des informations personnelles (POPIA). Les entités sélectionnées doivent soumettre un rapport électronique de conformité complet, incluant des analyses d’intérêt légitime, dans un délai strict de 14 jours. Le régulateur a également averti que des inspections physiques des locaux pourraient suivre ces premiers rapports.
  • L’autorité de protection des données de Maurice a publié un communiqué rappelant au public que le partage de photographies, de vidéos ou d’informations permettant d’identifier une personne sur les réseaux sociaux sans consentement valide constitue un traitement illicite, passible de sanctions pénales ou d’amendes pouvant atteindre 200 000 roupies (environ 4 310 USD).

Gouvernance de l’IA

  • Le Zimbabwe a publié sa Stratégie nationale pour l’IA (2026–2030). Cette stratégie propose l’adoption d’une loi nationale sur l’IA, l’élaboration de normes techniques nationales pour l’IA, la création d’un bac à sable réglementaire national pour l’IA, l’adoption d’un cadre éthique basé sur le principe Ubuntu et l’introduction d’analyses d’impact éthique obligatoires pour les projets d’IA à haut risque. Elle prévoit également la mise en place d’organismes statutaires chargés de superviser le déploiement de l’IA, notamment un Conseil national de l’IA, un Bureau de mise en œuvre de la stratégie IA et une Commission parlementaire permanente sur l’IA et les technologies émergentes.
  • Parallèlement, l’Île Maurice a approuvé l’adoption de sa Stratégie nationale pour l’IA, soutenue par des directives FAIR (Juste, Responsable, Inclusif et Transparente), fournissant des orientations pratiques pour l’adoption, le développement et l’utilisation responsable de l’IA dans tous les secteurs.
  • Le Cabinet ghanéen a officiellement approuvé la Stratégie nationale pour l’IA, qui sera prochainement lancée par le Président. Cette stratégie vise à développer les capacités locales en matière d’IA tout en intégrant l’équité, la transparence et la responsabilité dans le déploiement des systèmes automatisés. Parallèlement, le pays fait progresser une loi sur les technologies émergentes ainsi qu’un nouveau projet de loi sur la protection des données. 
  • Le 23 février 2026, le Groupe de travail sur la coopération internationale en matière de protection de la vie privée (IEWG) de l’Assemblée mondiale pour la protection de la vie privée a publié une déclaration conjointe concernant les risques graves pour la vie privée liés aux images générées par l’IA. Les pays participants ont exprimé une inquiétude urgente face aux systèmes d’IA capables de produire des images réalistes, non consensuelles, représentant des personnes identifiables. Pour contrer ces risques, la coalition exige que les entreprises technologiques intègrent des mesures de protection robustes directement dans leurs modèles d’IA, garantissent une transparence réelle et mettent en œuvre des protections ciblées pour les enfants et les groupes vulnérables. La déclaration a été signée par les responsables des autorités de protection des données de 61 pays, dont le Burkina Faso, le Cap-Vert, le Ghana, le Kenya, L’Île Maurice et le Nigeria.
  • Du 18 au 19 février 2026, le Malawi a organisé un atelier de validation pour examiner le projet de Stratégie nationale de transformation numérique et le projet de Stratégie nationale pour l’IA. L’atelier a permis de recueillir les retours des parties prenantes sur les projets de stratégies, d’évaluer leur faisabilité et leur alignement avec les principaux cadres nationaux.
  • Le 3 février 2025, le Bénin a officiellement lancé sa feuille de route nationale à long terme, « Vision Bénin 2060 Alafia, un monde de splendeurs », qui place la technologie numérique au cœur de la stratégie de transformation socio-économique du pays.
  • Le Maroc a annoncé son intention de dévoiler officiellement sa Feuille de route nationale pour l’IA, intitulée « Morocco AI 2030 ». Le pays a également approuvé la déclaration « Pathways to Action » lors du Sommet sur l’IA responsable dans le domaine militaire (REAIM) en Espagne, rejoignant ainsi 34 autres pays dans l’engagement à mettre en œuvre des mesures concrètes pour une gouvernance sûre de l’IA militaire.
  • Le 12 février 2026, la Commission Est-Africaine des sciences et technologies (EASTECO), avec le soutien du gouvernement allemand, a organisé des consultations nationales des parties prenantes en Tanzanie pour le développement de la Stratégie régionale de l’IA de la Communauté de l’Afrique de l’Est (CAE). Ces consultations visaient à recueillir des perspectives nationales, valider les résultats émergents et construire un consensus sur les priorités, les cadres de gouvernance et les besoins en capacités afin d’élaborer une Stratégie régionale de l’IA harmonisée et inclusive pour la CAE.
  • Le Kenya a officiellement lancé son Comité technique sur l’IA et les technologies émergentes, chargé de développer la première Politique nationale du pays sur l’IA et les technologies émergentes. Le comité prévoit de finaliser la politique d’ici juin 2026, avec des projets substantiels prêts dès mars 2026. Parallèlement, la Haute Cour kényane a certifié une pétition urgente demandant au gouvernement de créer et de publier un cadre national complet sur l’IA afin de réguler l’usage non encadré de l’IA. 
  • Djibouti a entamé le processus officiel d’élaboration de sa Stratégie nationale pour l’IA. Cette initiative est menée par le ministère de l’Économie numérique et de l’innovation, qui a réalisé une évaluation nationale et organisé un atelier multi-parties prenantes pour identifier les priorités clés de la stratégie, notamment l’amélioration de la gouvernance des données, la promotion de l’innovation et l’intégration progressive de l’IA dans les politiques publiques.
  • Au Nigeria, l’État de Lagos a lancé la plateforme Lagos Generative AI Assessment. Cette plateforme permet aux développeurs, institutions et organisations d’évaluer leurs systèmes d’IA en utilisant le cadre STANDARD (System, Transparency, Algorithms, Norms, Data, Accountability, Risk, and Deployment) afin de mesurer leur niveau de préparation en matière de gouvernance, d’identifier les lacunes et de s’aligner sur les meilleures pratiques internationales.
  • L’organisation Children of the Digital Age Zimbabwe (CODAZIM) a appelé à des politiques renforcées pour protéger les enfants des risques numériques, en particulier ceux liés aux systèmes d’IA. Cette initiative souligne l’augmentation rapide des incidents internationaux impliquant des systèmes d’IA générant des images non consensuelles et sexualisées, en insistant sur le fait que les systèmes d’IA générative doivent anticiper les usages abusifs, et non simplement réagir après la survenue d’un préjudice. 
  • L’Afrique du Sud s’apprête à finaliser sa politique sur l’IA au cours de l’exercice financier 2026/2027. Le pays a annoncé que son Conseil ministériel du Cluster économique examinera la politique en mars, avant sa présentation au Cabinet. Une fois les délibérations du Cabinet terminées, la politique sera publiée dans le journal officiel et soumise à une consultation publique pendant 60 jours.

Coopération et Partenariats

  • L’autorité de protection des données du Sénégal a reçu une délégation de son homologue mauritanienne dans le cadre d’une visite d’étude stratégique visant à renforcer la coopération sous-régionale. Les sessions ont porté sur le partage de l’expérience opérationnelle du Sénégal pour soutenir le développement de l’autorité mauritanienne en matière de gestion des plaintes, de missions de contrôle et de cadres juridiques nécessaires à une supervision efficace des activités de traitement.
  • Le 4 février 2026, la Commission nigériane de protection des données (NDPC) a signé un protocole d’accord avec la Commission des communications du Nigeria (NCC) afin de renforcer la protection des données dans le secteur des télécommunications.
  • Le 8 février 2026, l’autorité marocaine de protection des données et son homologue portugaise ont signé un protocole d’accord visant à renforcer la coopération bilatérale par l’échange d’informations et d’expertises techniques sur les défis émergents en matière de protection des données, notamment l’IA, les deepfakes et la violence en ligne.

Conclusion

  • Dans les mois à venir, nous prévoyons davantage d’actions de contrôle et de nouvelles avancées en matière de gouvernance de l’IA sur le continent.
  • Nous serions ravis de connaître votre avis : quelles sont vos prévisions pour la prochaine newsletter ?

Who we are
About us
Privacy Notice
Contact
Services
Emerging Technologies
Privacy and Data Protection
Startup Advisory
Cybersecurity
Regulatory Intelligence
Research and Public Policy
Resources
Knowledge Hub
Reports
Training
Tech Hive Advisory Africa

We are a technology policy advisory and research organisation focusing on the intersection of law, business, and technology.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Copyright ©2025 Tech Hive Advisory Africa