Souveraineté des données en Afrique : ce que dit la loi en 2026

Souveraineté des données en Afrique : ce que dit la loi en 2026

Pourquoi le sujet est devenu incontournable

Entre 2018 et 2024, la quasi-totalité des pays de la CEDEAO et de la CEMAC ont voté une loi sur la protection des données personnelles. Beaucoup s'inspirent du RGPD européen, certaines vont plus loin sur la question de la localisation. En 2026, une entreprise qui traite des données de citoyens africains sans s'être posé la question de l'hébergement n'est plus dans l'angle mort, elle est dans l'illégalité.

Cet article décrit le paysage réglementaire actuel, les obligations concrètes pour une entreprise, et les sanctions encourues.

Le paysage légal en bref

Trois grands cadres se superposent en Afrique francophone :

Les lois nationales : Cameroun, Côte d'Ivoire, Sénégal, Gabon, Bénin, Togo, RDC notamment ont chacun leur loi propre, avec une autorité de protection (équivalent CNIL). Les obligations de base sont similaires : information, consentement, durée de conservation, droits d'accès et de rectification, registre des traitements.

Les conventions régionales : la Convention de Malabo (Union africaine, 2014) et les actes additionnels CEDEAO/CEMAC fixent un socle commun, repris par les législations nationales.

Le RGPD européen : il s'applique aussi à toute entreprise africaine qui traite des données de résidents européens (clients, prospects, employés). Pour un exportateur ou une entreprise avec des partenaires européens, le RGPD est aussi opposable.

Ce qu'on entend par « souveraineté des données »

Trois principes opérationnels :

Localisation : les données sont physiquement stockées sur le territoire national ou dans une juridiction jugée adéquate. Plusieurs lois africaines exigent la localisation pour les catégories sensibles (santé, finances, opérateurs d'importance vitale, secteur public).

Juridiction applicable : en cas de litige, c'est le droit national qui s'applique, pas celui du pays de l'hébergeur. Hébergement local = juridiction nationale par défaut.

Contrôle effectif : l'entreprise reste responsable de ses données et peut répondre aux demandes des autorités et des personnes concernées dans les délais légaux (généralement 30 jours).

Obligations concrètes pour une entreprise

Quel que soit le pays, le socle minimum comprend :

Tenue d'un registre des traitements : quelles données, pour quoi faire, combien de temps, qui y accède. Document à jour, présentable à l'autorité de contrôle en cas d'inspection.

Information des personnes : sur votre site, dans vos contrats, à la collecte. Mention claire des finalités, des destinataires, des durées de conservation.

Consentement explicite : pour les traitements qui en relèvent (marketing, cookies non essentiels, données sensibles).

Sécurité : chiffrement en transit (HTTPS partout), chiffrement au repos pour les données sensibles, contrôle des accès, journalisation.

Notification de violation : en cas de fuite, alerter l'autorité (généralement 72 h) et, selon la gravité, les personnes concernées.

Désignation d'un DPO : délégué à la protection des données, obligatoire dans plusieurs juridictions au-delà d'un certain volume ou pour certaines catégories de traitement.

Sanctions en cas de manquement

Les amendes varient selon les pays mais l'ordre de grandeur est important : de quelques millions de FCFA pour des manquements formels à plusieurs centaines de millions pour des manquements graves (fuite de données, refus de coopérer). Plusieurs autorités ont déjà rendu des sanctions visibles entre 2023 et 2025.

Au-delà de l'amende, le risque réputationnel est lourd : la publication des sanctions par les autorités est devenue la règle.

Hébergement local : la voie la plus simple vers la conformité

Plutôt que de jongler avec les transferts internationaux, leurs clauses contractuelles types et leurs analyses d'impact, beaucoup d'entreprises africaines optent pour la simplicité : héberger sur le territoire national. Avantages :

Conformité par défaut sur la localisation. Juridiction nationale d'office. Pas de transfert international à justifier. Support et interlocuteurs locaux pour les autorités.

Ce n'est pas la seule voie, mais c'est la plus économique en charge mentale juridique.

Que faire concrètement cette semaine

Trois actions à très court terme :

1. Cartographier vos traitements de données, où sont stockées les données client, les données RH, les données comptables ?

2. Vérifier la localisation de votre hébergement actuel,beaucoup d'entreprises découvrent qu'elles sont hébergées en Europe ou aux États-Unis sans l'avoir explicitement choisi.

3. Lister les éventuels transferts internationaux outils SaaS étrangers, sous-traitants hors zone. Pour chacun, vérifier la base légale du transfert.

La souveraineté des données n'est plus un débat philosophique, c'est une obligation opérationnelle. Pour une entreprise qui traite des données de citoyens africains, l'hébergement local est devenu en 2026 la voie par défaut, à justifier par exception.

Cloudstore Africa opère ses serveurs depuis Douala, dans un data center Tier III conforme aux exigences réglementaires CEMAC. Demandez un audit de conformité de votre infrastructure actuelle.

Foire aux questions

Une PME doit-elle vraiment se conformer si elle traite peu de données ?

Oui. La plupart des lois s'appliquent dès le premier traitement de données personnelles, sans seuil de volume. Certaines obligations (comme le DPO) ne s'imposent qu'au-delà d'un certain volume, mais le socle de base est universel.

Le RGPD s'applique-t-il à mon entreprise basée en Afrique ?

Oui, dès lors que vous traitez des données de résidents européens (clients, prospects suivis par cookies, employés). Le RGPD est extraterritorial.

Peut-on utiliser des outils SaaS américains tout en respectant la loi locale ?

Cela dépend de la nature des données traitées par l'outil. Pour des données non sensibles, des clauses contractuelles types suffisent souvent. Pour des données sensibles ou réglementées, l'hébergement local devient quasi-obligatoire.