Le verdict en trois phrases
La loi 2008-12 sur la protection des donnees personnelles impose un consentement explicite et eclaire avant de collecter des donnees de paiement (numero mobile money, donnees carte, identite). Quatre elements sont obligatoires : numero d'enregistrement CDP affiche, finalite declaree, case d'opt-in pour la conservation au-dela de 30 jours, et droit a l'effacement. Le non-respect expose a une sanction de 2 000 000 a 10 000 000 FCFA, et stocker des numeros mobile money sans consentement a declenche 3 actions CDP en 2025.
Les 4 piliers du consentement conforme
La Commission de protection des donnees personnelles (CDP) controle l'usage des donnees au Senegal. Voici ce que votre checkout doit afficher.
| Element obligatoire | Ce que ca veut dire | Sanction si absent |
|---|---|---|
| Numero CDP affiche | Recepisse de declaration visible (footer/CGV) | 2 000 000 a 10 000 000 FCFA |
| Finalite declaree | Pourquoi vous collectez la donnee | Mise en demeure + amende |
| Opt-in conservation | Case a cocher pour garder > 30 jours | Donnees a supprimer |
| Droit a l'effacement | Procedure pour supprimer ses donnees | Injonction CDP |
Le point le plus oublie : la case d'opt-in ne doit jamais etre pre-cochee. Un consentement valide est libre, specifique et eclaire ; une case pre-cochee est consideree comme non valide par la CDP.
Cartographie violation -> sanction -> correctif
Voici comment la CDP traite les manquements les plus frequents sur un site marchand, avec le correctif technique recommande (estimation 2026).
| Violation | Fourchette de sanction | Correctif technique |
|---|---|---|
| Pas de numero CDP affiche | 2 000 000 a 5 000 000 FCFA | Mention recepisse en footer |
| Numero mobile money stocke sans consentement | 3 000 000 a 10 000 000 FCFA | Opt-in + purge auto 30 jours |
| Case opt-in pre-cochee | Mise en demeure | Case decochee par defaut |
| Pas de procedure d'effacement | Injonction + astreinte | Formulaire "supprimer mes donnees" |
| Transfert hors UEMOA non declare | Amende + suspension | Declaration CDP + clause sous-traitant |
En 2025, 3 actions CDP ont vise des marchands qui conservaient des numeros mobile money sans base legale. Le correctif est simple : opt-in clair et purge automatique des donnees non necessaires apres 30 jours.
Mini cas pratique
Awa gere une boutique en ligne de pret-a-porter a Dakar. Son site stocke chaque numero Wave de client "pour le SAV", sans consentement ni numero CDP affiche. Risque cumule : absence de recepisse (jusqu'a 5 000 000 FCFA) plus stockage non consenti (jusqu'a 10 000 000 FCFA). On met en place : recepisse CDP en footer, case d'opt-in decochee au checkout, et purge automatique des numeros apres 30 jours sauf consentement explicite. Cout de mise en conformite : environ 150 000 FCFA d'integration. Risque evite : jusqu'a 15 000 000 FCFA de sanction cumulee. Le rapport benefice/cout est sans appel.
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
FAQ
Dois-je vraiment afficher un numero CDP sur mon site ?
Oui si vous collectez des donnees personnelles (ce qui est le cas de tout e-commerce). Le recepisse de declaration CDP doit etre visible, typiquement en footer ou dans les CGV. Son absence est sanctionnee de 2 000 000 a 10 000 000 FCFA.
Puis-je conserver les numeros Wave de mes clients ?
Uniquement avec un consentement explicite et pour une finalite declaree. Sans opt-in clair, la CDP considere le stockage illegal ; purgez automatiquement les numeros non necessaires apres 30 jours.
La case de consentement peut-elle etre pre-cochee ?
Non. Un consentement valide doit etre libre et actif : la case doit etre decochee par defaut. Une case pre-cochee est invalide aux yeux de la CDP et peut entrainer une mise en demeure.
Que faire si un client demande la suppression de ses donnees ?
La loi 2008-12 consacre un droit a l'effacement. Vous devez prevoir une procedure simple (formulaire ou e-mail dedie) et supprimer les donnees dans un delai raisonnable, sauf obligation legale de conservation comptable.
Le RGPD europeen s'applique-t-il a mon site senegalais ?
Le RGPD s'applique des que vous ciblez des clients de l'UE (diaspora). Dans ce cas, votre site doit cumuler loi 2008-12 et exigences RGPD : bannieres cookies, registre des traitements et clauses de transfert.
Discutons de votre projet. Nous mettons votre checkout en conformite loi 2008-12 et CDP : consentement, recepisse, purge automatique. WhatsApp +221 77 596 93 33.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.
