Si vous vendez à un seul client en France, Belgique ou Allemagne depuis votre site africain, le RGPD UE s'applique à vous. Si vous opérez au Sénégal, la loi 2008-12 (Commission de Protection des Données Personnelles, CDP) s'applique aussi. Cumul = double conformité.
TL;DR
- RGPD UE et loi 2008-12 SN : ~80 % de chevauchement (consentement, droits, sécurité).
- Différences clés : autorité (CNIL vs CDP), sanctions, déclarations préalables.
- Étapes concrètes : registre des traitements, consentement, sécurité, droits utilisateurs.
Périmètre RGPD pour un site africain
Le RGPD UE s'applique à vous si :
- Vous offrez des biens ou services à des résidents UE (paiement en EUR = signal fort)
- Vous suivez le comportement de visiteurs UE (Google Analytics, Pixel Meta)
- Vous avez un établissement UE
Concrètement, un site kolonell.com accessible depuis Paris avec analytics activé = RGPD applicable, même incorporé Dakar.
Périmètre Loi 2008-12 Sénégal
La loi sénégalaise s'applique :
- Si le responsable de traitement est établi au Sénégal
- Si les moyens de traitement sont localisés au Sénégal
- Si le traitement concerne des résidents sénégalais
Donc un site kolonell.com opéré depuis Dakar = loi 2008-12 applicable.
Comparatif RGPD vs Loi 2008-12
| Critère | RGPD UE | Loi 2008-12 SN |
|---|---|---|
| Autorité | CNIL (FR), DPC (IE), etc. | CDP (Sénégal) |
| Déclaration préalable | Non (sauf DPIA) | Oui — déclaration ou autorisation CDP avant tout traitement |
| Délai notification violation | 72h | 72h aussi |
| Sanctions | Jusqu'à 4 % CA mondial | Jusqu'à 100M FCFA |
| Représentant local | Si pas d'établissement UE | Pas obligatoire si SN |
| Transferts hors zone | Pays adéquat ou SCC | Autorisation CDP au cas par cas |
| Délai droit d'accès | 1 mois | 1 mois |
| Cookies analytics | Consentement obligatoire | Consentement recommandé |
| Mineurs | 16 ans (15 FR) | 18 ans |
Étape 1 — registre des traitements
Documents internes obligatoires (RGPD art. 30 + loi 2008-12 art. 21) :
`
TRAITEMENT N°1 — Gestion des commandes e-commerce
- Finalité : exécution contrat de vente
- Base légale : exécution contrat
- Données : nom, prénom, email, téléphone, adresse, paiement
- Destinataires : équipe interne, transporteur, prestataire paiement
- Durée : 10 ans (obligation comptable)
- Sécurité : chiffrement TLS, accès limité, MFA admin
TRAITEMENT N°2 — Newsletter marketing
- Finalité : campagnes commerciales
- Base légale : consentement explicite
- Données : email, prénom, préférences
- Destinataires : Brevo (sous-traitant)
- Durée : jusqu'à désinscription + 3 ans
- Sécurité : double opt-in, lien désinscription tous emails
[etc...]
`
Outil pratique : Notion ou Google Sheet structuré.
Étape 2 — déclaration CDP (Sénégal uniquement)
Procédure :
- Aller sur
cdp.sn→ "Espace responsable de traitement" - Créer un compte (NINEA + RCCM)
- Déclarer chaque traitement (formulaire en ligne)
- Recevoir un numéro de récépissé
- Afficher mention "Déclaré CDP n°XXX" dans la politique de confidentialité
Catégories nécessitant autorisation préalable (pas simple déclaration) :
- Données sensibles (santé, biométrie, opinions politiques/religieuses, infraction)
- Traitements interconnectés
- Transferts hors UEMOA
Délai d'instruction CDP : 30-90 jours.
Étape 3 — consentement et bases légales
Pour chaque traitement, identifier la base légale RGPD (art. 6) :
| Traitement | Base légale recommandée |
|---|---|
| Gestion commande | Exécution contrat |
| Facturation | Obligation légale (TVA, comptabilité) |
| Newsletter | Consentement |
| Cookies analytics | Consentement |
| Anti-fraude | Intérêt légitime documenté |
| Suivi livraison via SMS/WhatsApp | Exécution contrat |
| Avis post-achat email | Intérêt légitime (si client existant) ou consentement |
Étape 4 — droits utilisateurs
Implémenter un endpoint /api/gdpr/request :
`ts
// app/api/gdpr/request/route.ts
import { NextRequest, NextResponse } from 'next/server';
import { sendEmail } from '@/lib/email';
export async function POST(req: NextRequest) {
const { type, email, message } = await req.json();
// type: access | rectification | erasure | portability | objection
// 1. Vérifier identité (envoyer un lien magique)
const token = await createMagicLink(email);
await sendEmail({
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
to: email,
subject: 'Confirmation de demande RGPD',
template: 'gdpr-confirm',
data: { token, type },
});
// 2. Notifier DPO interne
await sendEmail({
to: process.env.DPO_EMAIL,
subject: [RGPD] Nouvelle demande ${type},
template: 'gdpr-notify',
data: { email, type, message, ip: req.ip },
});
return NextResponse.json({ ok: true, expectedDelay: '30 days' });
}
`
Page utilisateur /mes-donnees avec boutons : "Télécharger mes données", "Modifier", "Supprimer mon compte", "Exporter (portabilité)".
Étape 5 — sécurité technique minimale
| Mesure | Obligatoire |
|---|---|
| TLS / HTTPS partout | ✓ |
| Mots de passe hashés (bcrypt/argon2) | ✓ |
| MFA admin | ✓ |
| Logs d'accès aux données sensibles | ✓ |
| Chiffrement DB at-rest | Recommandé |
| Backup quotidien chiffré | ✓ |
| Politique mots de passe (12+ chars) | ✓ |
| Pentests réguliers | Recommandé |
Étape 6 — gestion violation
Procédure 72h en cas de fuite :
`
H+0 Détection violation
H+1 Activation cellule de crise (DPO, IT, juriste)
H+6 Évaluation périmètre + impact
H+24 Décision notification CDP/CNIL
H+48 Préparation notification
H+72 Notification CDP (Sénégal) + CNIL si UE concernée
J+7 Communication clients impactés
J+30 Rapport post-incident
`
Cas réel — fuite e-commerce mode Dakar (2025)
Un e-commerce Dakar a subi un leak de 12 000 emails clients via une faille SSO mal configurée. Conséquences :
- Notification CDP en 48h → amende symbolique 500K FCFA (proactivité valorisée)
- Pas de notification UE (pas de clients UE) → pas d'amende CNIL
- Coût total incident : audit forensic 8M FCFA + comm crise 2M FCFA + 6 mois de recul confiance
À comparer aux 50-100M FCFA d'amende possible si dissimulation détectée.
FAQ
Q : Le RGPD s'applique à mon site qui n'a aucun client UE actuel ?
R : Non, sauf si vous ciblez activement l'UE (langue EN/DE/IT, devise EUR, marketing UE). Sinon, loi 2008-12 SN suffit.
Q : Faut-il un DPO obligatoirement ?
R : RGPD : oui si traitement à grande échelle de données sensibles ou suivi systématique. Loi 2008-12 SN : pas obligatoire mais fortement recommandé.
Q : Les données peuvent-elles être hébergées hors Sénégal ?
R : Oui, mais autorisation CDP requise pour transferts. Pour UE : vérifier décision d'adéquation ou clauses contractuelles types.
Conclusion
Double conformité RGPD + loi 2008-12 paraît lourd au démarrage, mais c'est une route bien balisée. 2-3 semaines pour la mise en conformité initiale, puis maintenance trimestrielle légère. Bon investissement face à des amendes potentielles 100x supérieures.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.
