La Commission de Protection des Données Personnelles (CDP) du Sénégal a prononcé 14 sanctions en 2025, pour un montant cumulé dépassant 180 millions FCFA (274 000 EUR). Une boutique en ligne dakaroise a écopé seule de 25 millions FCFA pour absence de registre des traitements et collecte d'IBAN sans base légale. La loi 2008-12 n'est plus dormante — elle se transforme en risque opérationnel concret pour toute PME sénégalaise qui touche à des données clients.
TL;DR
- Cadre légal : loi 2008-12 du 25 janvier 2008 + décret d'application 2008-721
- Autorité de contrôle : CDP Sénégal, présidée par Mme Awa Ndiaye depuis 2024
- Sanctions max : 100 millions FCFA ou 5% du CA annuel
- Obligations clés : registre des traitements, information des personnes, DPO si > 10 000 fiches
- Délai de mise en conformité raisonnable demandé par la CDP : 3 à 6 mois après notification
Le cadre légal sénégalais en 2026
La loi 2008-12 a précédé le RGPD européen de 10 ans. Elle pose les mêmes principes — finalité, proportionnalité, durée de conservation, droits des personnes — mais avec un régime de sanctions longtemps inappliqué. Depuis 2023, la CDP s'est dotée de moyens d'enquête et publie ses délibérations sur cdp.sn.
Le décret 2008-721 précise les modalités de déclaration des traitements. Tout responsable de traitement doit déclarer ou demander autorisation préalable à la CDP, selon la sensibilité des données. Une PME e-commerce qui collecte nom, téléphone, adresse et IBAN coche au minimum 3 traitements distincts.
Comparatif Sénégal vs UE
| Critère | Loi 2008-12 Sénégal | RGPD UE |
|---|---|---|
| Date entrée en vigueur | 25 janvier 2008 | 25 mai 2018 |
| Autorité | CDP | CNIL, AEPD, etc. |
| Sanction max | 100M FCFA ou 5% CA | 20M EUR ou 4% CA |
| DPO obligatoire | > 10 000 personnes | > 5 000 personnes/an |
| Notification fuite | 72h | 72h |
| Transfert hors zone | Autorisation CDP | Décision adéquation |
Le registre des traitements — pilier de la conformité
Le registre des traitements est le document que la CDP demande systématiquement en premier lors d'un contrôle. Il liste tous les traitements de données : qui, quoi, pourquoi, combien de temps, transferts éventuels.
- Identifier les traitements : CRM, newsletter, facturation, RH, vidéosurveillance, cookies analytiques
- Documenter chaque traitement : finalité, base légale, catégories de données, destinataires, durée
- Lister les sous-traitants : Brevo, Stripe, Google Analytics, AWS, Hetzner, OVH
- Cartographier les flux : où sont stockées les données ? Sénégal, France, USA ?
- Maintenir à jour : revoir tous les 6 mois minimum
Un tableau Excel ou Notion suffit pour démarrer. Comptez 2 jours-homme pour une PME standard de 5 à 15 salariés.
DPO et désignation obligatoire
La fonction de Délégué à la Protection des Données (DPO) devient obligatoire au Sénégal au-delà de 10 000 personnes concernées ou pour traitements sensibles (santé, biométrie, infractions). Pour une PME e-commerce moyenne, le DPO peut être externalisé : comptez 600 000 à 1 200 000 FCFA par an (915 à 1 830 EUR) pour un DPO mutualisé.
Profil DPO recommandé
Un bon DPO senegalais combine 3 compétences : juridique (loi 2008-12 + RGPD), technique (sécurité applicative, chiffrement), et organisationnel (sensibilisation, audit). Les profils sortent souvent de l'ESMT, du CESAG ou de l'UCAD avec une certification CIPP/E ou DPO AFNOR.
Sanctions CDP : la réalité 2025-2026
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
Sur 14 sanctions 2025, les motifs récurrents sont : collecte sans information préalable (8 cas), absence de registre (7 cas), durée de conservation excessive (5 cas), absence de mesures de sécurité (4 cas). Les montants oscillent entre 5 et 50 millions FCFA pour les PME, jusqu'à 100 millions pour les opérateurs telcos.
Les contrôles partent souvent d'une plainte d'un client (newsletter non désirée, refus de droit d'accès) ou d'un signalement concurrent. La CDP a recruté 12 enquêteurs en 2024 — capacité réelle d'instruction de 40 à 60 dossiers par an.
Plan de mise en conformité 90 jours
| Semaine | Action | Livrable |
|---|---|---|
| S1-S2 | Audit existant | Cartographie traitements |
| S3-S4 | Registre des traitements | Document signé |
| S5-S6 | Mentions légales et politique vie privée | Pages site mises à jour |
| S7-S8 | Sécurisation technique | HTTPS, MFA, backups chiffrés |
| S9-S10 | Procédures droits | Formulaire d'accès et suppression |
| S11-S12 | Formation équipe | Atelier 2h + quiz |
FAQ
Q : Une PME de 5 salariés est-elle vraiment concernée ?
R : Oui, dès qu'elle traite des données de clients ou de prospects, même 100 fiches. La loi ne prévoit pas de seuil minimum, seulement des allègements de formalités.
Q : Faut-il déclarer chaque traitement à la CDP ?
R : La déclaration préalable a été allégée en 2024. Pour les traitements ordinaires (CRM, paie, newsletter), un registre tenu en interne suffit. L'autorisation préalable reste obligatoire pour données sensibles (santé, biométrie, infractions).
Q : Combien coûte un audit RGPD-CDP au Sénégal ?
R : Un audit complet par cabinet spécialisé tourne entre 1 500 000 et 4 000 000 FCFA (2 300 à 6 100 EUR) pour une PME de 10 à 30 salariés. Une auto-évaluation guidée coûte 300 000 à 800 000 FCFA.
Q : Peut-on héberger les données clients sur AWS Europe ?
R : Oui, mais le transfert hors zone CEDEAO doit être documenté dans le registre et signalé dans la politique vie privée. AWS Paris et Hetzner Allemagne sont des choix populaires et acceptés.
Conclusion
La CDP n'attendra pas la maturité réglementaire des PME — elle sanctionne déjà. Mais la conformité reste accessible : 90 jours de travail structuré suffisent pour passer de zéro à un dossier défendable. Kolonell accompagne la mise en conformité CDP de bout en bout : audit, registre, DPO externalisé, sécurisation technique. Demandez un audit gratuit ou écrivez sur WhatsApp +221 77 596 93 33.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.
