POPIA conformité Afrique du Sud : checklist SaaS 2026

POPIA (Protection of Personal Information Act) = équivalent RGPD pour Afrique du Sud, en vigueur depuis juillet 2021. Toute entreprise traitant données personnelles d'utilisateurs sud-africains, même hors SA, doit s'y conformer. Sanctions : R10M (~$540K) + 10 ans prison. Voici checklist SaaS 2026.

TL;DR

- POPIA : 8 conditions traitement données personnelles.

- Information Officer obligatoire (équivalent DPO).

- Sanctions : R10M ou 10 % CA mondial + emprisonnement.

- Cross-border data strictement réglementé.

Champ d'application POPIA

POPIA s'applique si :

• Vous êtes basé en Afrique du Sud, OU
• Vous traitez données personnes SA (résidents ou citoyens), OU
• Vous utilisez moyens basés en SA pour traitement (ex : serveurs hébergés SA)

Définition "données personnelles" très large : nom, email, téléphone, ID, photo, voix, opinion, race, santé, religion, etc.

8 conditions POPIA

1. Accountability

Désigner Information Officer (équivalent DPO).

2. Processing Limitation

Traitement minimal nécessaire, lawful, transparent.

3. Purpose Specification

Finalité claire, légitime, communiquée upfront.

4. Further Processing Limitation

Pas de réutilisation incompatible avec finalité initiale.

5. Information Quality

Données exactes, complètes, à jour.

6. Openness

Notifier régulateur (ICR Information Regulator) du traitement + transparence avec data subjects.

7. Security Safeguards

Mesures techniques + organisationnelles : chiffrement, access control, backups, breach notification.

8. Data Subject Participation

Droits accès, correction, suppression, portabilité.

Checklist conformité SaaS POPIA

A. Setup légal

• [ ] Information Officer désigné (CEO peut l'être pour PME)
• [ ] Registration ICR (Information Regulator) : déposé via popia.com
• [ ] PAIA Manual publié (Promotion of Access to Information Act)
• [ ] POPIA Policy interne documenté

B. Privacy policy site/app

• [ ] Liste complète données collectées
• [ ] Finalités précises (pas vague "marketing")
• [ ] Durée conservation
• [ ] Tiers destinataires (sous-traitants, intégrations)
• [ ] Droits data subjects + procédure exercice
• [ ] Coordonnées Information Officer
• [ ] Cross-border transfer disclosé

C. Cookies + tracking

• [ ] Bannière cookies opt-in (pas opt-out)
• [ ] Catégorisation : essentiels / fonctionnels / marketing
• [ ] Préférences modifiables
• [ ] Liste cookies tiers (Google Analytics, Meta Pixel, etc.)
• [ ] Pas de tracking avant consentement

D. Forms / inscription

• [ ] Consentement explicite (case décochée par défaut)
• [ ] Privacy policy lien à proximité
• [ ] Champs obligatoires vs optionnels clairs
• [ ] Pas de "consentement bundlé" (1 consent par finalité)

E. Data subject rights

Implémenter workflow :

• [ ] Demande accès → fournir copie données dans 30 jours
• [ ] Demande correction → corriger + notifier 3rd parties
• [ ] Demande suppression → supprimer + audit log
• [ ] Demande portabilité → export format machine-readable
• [ ] Opposition → arrêter marketing direct

F. Security mesures

• [ ] Chiffrement at rest (AES-256)
• [ ] Chiffrement in transit (TLS 1.3)
• [ ] Access control (least privilege)
• [ ] Audit logs accès données
• [ ] Backups chiffrés + tested
• [ ] Incident response plan
• [ ] Breach notification (72h ICR + data subjects)

G. Sous-traitants (operators)

• [ ] Liste tous operators (AWS, Stripe, Mailchimp, etc.)
• [ ] Data Processing Agreement (DPA) signé chacun
• [ ] Audit annuel compliance operator
• [ ] Notification operators de breach obligatoire

H. Cross-border transfer

POPIA restreint export données SA hors SA. Conditions :

• [ ] Pays destination "adequate protection" (UE, UK, Canada OK)
• [ ] OU consentement data subject explicite
• [ ] OU contractual safeguards (SCC equivalent)
• [ ] OU binding corporate rules (multinational)

⚠️ AWS / Google Cloud SA region recommandé pour hébergement données SA.

Différences POPIA vs RGPD

Sanctions réelles 2024-2025

• Banque sud-africaine 2024 : R5M amende pour breach notification tardive
• Healthcare provider 2024 : R8M pour partage non consenti données patients
• E-commerce 2025 : R3M pour cookies sans consent

Erreurs fréquentes SaaS

• Privacy policy générique copié — ne couvre pas spécificités SA.
• Pas de DPA avec operators — chaque AWS / Stripe / Mailchimp doit signer.
• Cookies tracking sans consent — sanctionné systématiquement.
• Cross-border sans safeguards — interdit.
• Pas de breach notification — 72h ICR + data subjects, pas négociable.

Coût compliance POPIA SaaS

FAQ

Q : Startup foreign avec users SA doit-elle s'y conformer ?

R : Oui si traite données SA. Désigner representative SA local recommandé.

Q : POPIA et hébergement Cloud étranger ?

R : Possible avec safeguards contractuels (DPA, encryption, audit). AWS/GCP SA region simplifie.

Q : Différence POPIA vs Kenya Data Protection Act ?

R : Similaires. Kenya DPA 2019 inspiré POPIA + RGPD. Conformité POPIA = bon point de départ pour autres pays Africa.

Conclusion

POPIA conformité Afrique du Sud 2026 = obligatoire toute entreprise traitant données SA. Setup R60-200K initial + ongoing maintenance. Sanctions sévères. Stack OneTrust + Information Officer dédié + DPA exhaustif = standard moderne.