Année d’adoption : 2025 Autorité établie : Commission nationale pour la protection des données personnelles (CNDP) – à Instaurer.
Résumé : La loi a été publiée dans le cadre d’un Code du numérique plus large. Elle vise à réglementer le traitement des données à caractère personnel effectué par des moyens automatisés ou partiellement automatisés. À l’instar de la plupart des législations de protection des données dans la région, cette loi consacre les droits des personnes concernées et définit les principales obligations des responsables de traitement et des sous-traitants, notamment la mise en œuvre de mesures techniques et organisationnelles appropriées, la désignation d’un délégué à la protection des données (DPO), ainsi que l’obtention d’une autorisation préalable de la CNDP pour les traitements présentant un risque élevé.
La loi prévoit également les droits post-mortem des personnes concernées et précise les mécanismes de transfert transfrontalier de données. En outre, elle fixe les sanctions en cas de non-conformité, pouvant aller jusqu’à 10 ans d’emprisonnement ou une amende administrative maximale de 70 000 000 DJF (soit environ 393 400 USD) ou 5 % du chiffre d’affaires mondial de l’entreprise, selon le montant le plus élevé.
Vous pouvez consulter notre analyse de la loi juste ici.
Introduction
Au cours des deux derniers mois, des progrès notables ont été observés dans le domaine de la protection des données et de la gouvernance de l’intelligence artificielle. La Gambie a adopté sa loi sur la protection des données, tandis que plusieurs autres pays poursuivent leurs efforts concernant leurs projets de législation. Les autorités de protection des données (APD) ont également maintenu leur dynamique, notamment à travers des actions de mise en conformité et d’application.
Une tendance marquante dans la gouvernance de l’IA est le mouvement croissant vers la régulation, plusieurs pays examinant actuellement des projets de loi sur l’intelligence artificielle.
Parmi les développements notables dans la région figurent :
Actualités réglementaires
De nouvelles lois sur la protection des données sont en cours d’élaboration à travers l’Afrique, accompagnées de consultations publiques et de la publication de nouveaux projets de loi.
Gambie: Elle vient de rejoindre le nombre croissant de pays dotés d’une législation en matière de protection des données, avec l’adoption par le Parlement, le 29 septembre 2025, de la loi sur la protection et la confidentialité des données personnelles (Personal Data Protection and Privacy Bill). Cette loi établit un cadre de gouvernance pour le traitement des données à caractère personnel dans le pays et désigne la Commission de l’information existante comme autorité de protection des données chargée de sa mise en œuvre. Le texte est toutefois encore en attente de la promulgation présidentielle.
Le Mozambique a organisé des consultations publiques sur son projet de loi en matière de protection des données. En Sierra Leone, une révision pré-législative du projet de loi portant création de la Commission de régulation de la protection des données et du droit d’accès à l’information (Data Protection and Right to Access Information Regulatory Commission Bill, 2025) a eu lieu.
Par ailleurs, la Communauté économique des États de l’Afrique de l’Ouest (CEDEAO) a tenu un atelier de validation sur les politiques de lutte contre la fraude et de protection des données personnelles.
Enfin, L’autorité de protection des données du Malawi a, pour sa part, publié plusieurs projets de textes pour consultation publique :
le projet de lignes directrices et une checklist de conformité à la loi sur la protection des données,
ainsi que le projet de lignes directrices relatives aux notifications et communications en cas de violation de données personnelles.
Le 19 septembre 2025, la Directive générale d’application et de mise en œuvre de la loi nigériane sur la protection des données (Nigeria Data Protection Act – General Application and Implementation Directive, NDP Act-GAID) est entrée officiellement en vigueur. L’autorité nigériane de protection des données a également annoncé son adhésion officielle en tant que membre associé du Forum mondial des règles transfrontalières de protection de la vie privée (Global Cross-Border Privacy Rules – CBPR).
Enfin, l’autorité de protection des données du Burkina Faso a approuvé une nouvelle procédure de sanction administrative applicable aux responsables de traitement et sous-traitants. Cette procédure définit des mécanismes clairs de gestion des plaintes, des enquêtes et des violations, avec des délais de mise en conformité pouvant aller jusqu’à trois mois. En Ouganda, l’autorité de protection des données a annoncé l’élaboration d’un manuel complet d’audit et d’inspection en matière de protection de la vie privée, destiné à évaluer la conformité des organisations à la législation nationale sur la protection des données.
Le Conseil national pour l’intelligence artificielle (NCAI) de l’Égypte a adopté une politique sur l’Open Data servant de cadre transitoire pour la gouvernance des données ouvertes, dans l’attente de l’adoption de la loi sur la gouvernance des données.
Parallèlement, la République démocratique du Congo (RDC) a annoncé des efforts visant à adopter officiellement la Stratégie numérique 2030 du pays, laquelle vise à numériser les services publics, renforcer la cybersécurité, développer l’intelligence artificielle et accroître la souveraineté numérique.
De son côté, l’Éthiopie a fait part de ses projets visant à élaborer une Stratégie nationale de gouvernance des données et à finaliser sa Stratégie de transformation numérique.
L’Autorité de régulation des institutions financières non bancaires du Botswana (Non-Bank Financial Institutions Regulatory Authority) a publié une checklist sur la protection des données destinée aux institutions financières non bancaires (NBFI), afin de les orienter sur les bonnes pratiques de collecte responsable des données et de gestion du consentement.
Du 15 au 20 septembre 2025, les autorités africaines de protection des données ont participé à la 47ᵉ Assemblée mondiale de la protection de la vie privée (Global Privacy Assembly – GPA), organisée sur le thème : « L’IA dans notre vie quotidienne : enjeux en matière de données et de confidentialité ». Au cours de cette assemblée, l’autorité kenyane de protection des données a remporté le Prix de la protection de la vie privée et des données dans quatre catégories, dont celles de l’éducation et de l’application de la loi. Les autorités de protection des données de l’Eswatini et de l’Ouganda ont également été admises comme observateurs au sein de la GPA. Il a par ailleurs été annoncé que le Kenya accueillera la 49ᵉ session de la GPA en 2027.
Le 10 septembre 2025, le ministère kenyan de l’Information, de la Communication et de l’Économie numérique a organisé un atelier avec les principales parties prenantes, marquant le lancement de l’élaboration de la Politique nationale de gouvernance des données du Kenya. Cette politique vise à établir un écosystème de confiance pour le partage des données. Il est prévu que le document soit finalisé d’ici janvier 2026. Par ailleurs, l’autorité kenyane de protection des données a mené une vaste consultation multipartite sur le projet d’adhésion du Kenya à la Convention de Malabo.
Le président de l’autorité togolaise de protection des données s’est adressé aux représentants des organisations internationales et des entreprises étrangères opérant au Togo, afin de rappeler la nécessité de se conformer à la législation nationale sur la protection des données personnelles lors de l’organisation de réunions et d’événements. Il a notamment souligné qu’il convient d’éviter toute référence à des normes étrangères en matière de protection des données et que les recensements de présence doivent comporter un avis d’information précisant la finalité de la collecte, conformément à la loi togolaise.
Ces règlements établissent un cadre global de gouvernance des données au niveau national.
Contrôles, sanctions et mises en demeure
L’autorité kényane de protection des données a poursuivi sur sa lancée en matière d’activités de contrôle et d’application. Elle a annoncé son intention de mener une inspection nationale ciblant le secteur de l’hôtellerie, afin d’évaluer le niveau de conformité à la loi sur la protection des données dans ce domaine. Les entités opérant dans le secteur sont tenues de s’enregistrer auprès de l’Office of the Data Protection Commissioner (ODPC) en tant que responsables de traitement /sous-traitants.
L’autorité a également sanctionné un employeur pour avoir refusé à une employée l’accès à des lettres de recommandation émises par son ancien employeur.Par ailleurs, un particulier a été condamné à une amende pour avoir divulgué illégalement les données personnelles d’une personne concernée : il avait communiqué les détails de son différend avec celle-ci à l’employeur de la personne, sans son consentement.
De son côté, l’autorité de protection des données du Malawi (DAP) a publié une déclaration déconseillant la diffusion sur les réseaux sociaux des résultats du Malawi National Examinations Board (MANEB) sans le consentement préalable des candidats concernés. Elle a rappelé que ces résultats constituent des données personnelles, et qu’en conséquence, aucune divulgation ou publication des résultats d’autrui ne doit être faite sur les réseaux sociaux sans l’accord explicite de l’intéressé.
L’autorité de protection des données de l’Ouganda a publié une décision indiquant que la décision d’un responsable de traitement de conserver des données conformément aux normes réglementaires ne constituait pas une violation du droit à l’effacement de la personne concernée.
Un tribunal supérieur nigérian a accordé ₦20 000 000 (environ 13 000 USD) en indemnisation à une personne concernée à l’encontre d’un média pour violation de son droit à la vie privée. De manière similaire, le tribunal supérieur a statué en faveur d’un plaignant dans une action engagée contre une banque commerciale pour violation de la vie privée.
L’autorité de protection des données du Gabon a réalisé des inspections de conformité auprès de 12 entreprises suite à un signalement reçu en mars 2025. Les résultats préliminaires ont révélé que plusieurs entreprises, notamment dans le secteur pétrolier, traitaient des données personnelles sans déclaration préalable auprès de l’autorité.
Par ailleurs, l’autorité de protection des données de l’Eswatini a annoncé que, à compter du 1er septembre 2025, elle engagera des actions contre toutes les organisations n’ayant pas encore enregistré leur statut de responsable de traitement ou de sous-traitant.
Gouvernance de l'IA
L’Angola a publié son projet de loi sur l’intelligence artificielle (IA), qui vise à établir un cadre juridique complet pour l’IA, protéger les citoyens contre les risques associés à l’IA, promouvoir l’usage éthique de l’IA et mettre en place des mécanismes de suivi et de sanction en cas d’utilisation abusive. Le projet de loi est ouvert aux contributions jusqu’au 27 novembre 2025. De manière similaire, en Namibie, le ministre de l’Information et des Technologies de la Communication a annoncé un engagement actif pour élaborer une loi sur l’IA, en alignement avec les recommandations éthiques de l’UNESCO et les cadres régionaux, tels que les lois modèles de la SADC et les stratégies de l’Union africaine. Par ailleurs, les Parlements du Nigeria et du Kenya examinent également des projets de loi sur l’IA, ce qui illustre un mouvement actif vers la régulation de l’IA dans la région.
Le 14 octobre 2025, le Cabinet du Zimbabwe a approuvé la Stratégie nationale sur l’IA 2026–2030. Cette stratégie vise à exploiter le potentiel économique de l’IA, tout en minimisant les risques et en assurant la cohérence avec les politiques nationales en matière de TIC. De même, le ministre congolais de l’Économie numérique (RDC) a officiellement lancé le projet de Plan national numérique (PNN2) 2026-2030 ainsi que la Stratégie nationale sur l’IA.
Le Rapporteur spécial sur la liberté d’expression de la Commission africaine des droits de l’homme et des peuples (CADHP) a rejoint d’autres mandataires internationaux pour adopter une Déclaration conjointe sur l’IA, la liberté d’expression et la liberté des médias. Cette déclaration présente les risques, opportunités et principes liés à l’utilisation de l’IA dans le respect du droit international des droits de l’homme, en abordant des sujets tels que la création de contenu, les biais algorithmiques et la dépendance des médias à l’IA.
Le Ghana a lancé le Guide des praticiens de l’IA du pays, tandis que la Financial Services Commission (FSC) a publié une directive sur l’usage responsable de l’IA dans les services financiers. La Tanzanie a également annoncé son intention de finaliser une directive nationale pour l’adoption responsable et efficace de l’IA. Enfin, l’autorité de protection des données du Sénégal a publié un communiqué de presse sur l’utilisation de l’IA et la protection des données personnelles, appelant à un usage éthique de l’intelligence artificielle.
Partenariats
Le 8 octobre 2025, lors du Digital Government Africa (DGA) Summit 2025 à Lusaka, des représentants de l’autorité nigériane de protection des données ont rendu une visite de courtoisie à l’autorité zambienne. Cette visite avait pour objectif de renforcer la collaboration entre les deux autorités. Les discussions ont porté sur la gouvernance régionale et mondiale de la protection des données et de la vie privée, et les deux parties ont convenu de formaliser leur partenariat par un protocole d’accord.
Le ministère de la Communication, des Technologies et de l’Innovation (MCTI) de Sierra Leone a signé un protocole d’accord avec Qhala, une société spécialisée dans la transformation numérique basée à Nairobi, afin d’introduire l’IA dans le secteur public du pays.
Le 24 septembre 2025, l’autorité de protection des données du Burkina Faso et le Haut-Commissariat des Nations Unies pour les réfugiés (HCR) ont tenu une réunion en visioconférence pour renforcer leur partenariat dans le cadre de leur accord existant, en mettant l’accent sur des actions conjointes pour améliorer la protection des données personnelles.
Lors de la 47ᵉ Assemblée mondiale de la protection de la vie privée (GPA), l’autorité angolaise de protection des données a signé un protocole d’accord (MoU) avec l’autorité brésilienne de protection des données. Ce protocole d’accord vise à réaffirmer l’engagement des deux autorités à protéger les données personnelles des citoyens. Dans ce cadre, les deux pays collaboreront pour promouvoir l’assistance mutuelle ainsi qu’une coopération technique, réglementaire et de supervision en matière de protection des données.
Conclusion
Dans les mois à venir, nous entrevoyons la conclusion des consultations publiques sur les projets de loi sur la protection des données en cours, ainsi que la poursuite des actions de contrôle et de sanction dans la région. Nous anticipons également des initiatives plus proactives visant à promouvoir une gouvernance éthique de l’intelligence artificielle dans la région.
-1323.png){kind=logo}
.png)
