Lois sur les données : Ce qui change au Nigeria et en Afrique du Sud

Le Nigeria et l’Afrique du Sud renforcent leurs lois sur la protection des données personnelles. Voici les principaux changements à connaître :

Nigeria :
- Adoption du Nigeria Data Protection Act (NDPA) en juin 2023, remplaçant l’ancienne réglementation NDPR.
- Création de la Nigeria Data Protection Commission (NDPC) avec des pouvoirs étendus (amendes jusqu’à 2 % du chiffre d’affaires annuel ou 10 millions de nairas).
- Obligations d’enregistrement pour les entreprises traitant des données personnelles nigérianes, même sans présence physique.
- Catégorisation des entreprises en trois niveaux de risque (UHL, EHL, OHL) avec des exigences spécifiques (rapports annuels, désignation d’un DPO).
Afrique du Sud :
- Amendements au règlement POPIA en avril 2025, imposant des consentements explicites pour le marketing direct.
- Renforcement des pouvoirs du régulateur, avec des sanctions immédiates et des enquêtes accrues.
- Nouvelles règles pour les demandes via SMS, WhatsApp ou téléphone, et pour le traitement des données de santé.

Points clés pour les entreprises :

Respect des délais stricts pour les rapports de conformité.
Désignation obligatoire d’un DPO qualifié.
Sanctions financières sévères en cas de non-respect.

Tableau comparatif rapide :

Critère	Nigeria (NDPA 2023)	Afrique du Sud (POPIA)
Organisme régulateur	Nigeria Data Protection Commission (NDPC)	Information Regulator
Amende maximale	2 % CA annuel ou 10 M₦	10 M ZAR
Marketing direct	Consentement ou intérêt légitime	Consentement explicite obligatoire
Délai de notification	72 heures pour violations à haut risque	Dès que raisonnablement possible

Ces réformes visent à mieux protéger les données personnelles tout en créant des opportunités pour les entreprises respectant ces nouvelles normes.

Nigeria Data Protection Act (NDPA) 2023 : Ce qui a changé

Le 12 juin 2023, le Nigeria a adopté le NDPA, remplaçant l’ancienne réglementation NDPR par une loi adoptée par le Parlement, répondant ainsi à la nécessité d’une base juridique plus solide.

Une des principales nouveautés est l’introduction de l’« intérêt légitime » comme base légale pour traiter les données personnelles. Cela permet certaines opérations sans consentement explicite, à condition que les droits des personnes concernées ne soient pas compromis. La loi introduit également deux catégories importantes : les contrôleurs et processeurs majeurs de données (DCMI et DPMI). Ces entités doivent s’enregistrer auprès de la Commission et désigner un Délégué à la Protection des Données (DPO).

La portée de la loi s’étend désormais à toute entreprise ciblant des résidents nigérians, même en l’absence de présence physique dans le pays. Concernant les transferts transfrontaliers, ils sont autorisés uniquement si des garanties strictes sont en place, telles qu’une législation adéquate dans le pays destinataire, des règles d’entreprise contraignantes ou des clauses contractuelles spécifiques. Cette réforme vise à renforcer la surveillance, désormais assurée par une Commission dédiée.

Nigeria Data Protection Commission (NDPC) : Nouveau régulateur

Le Nigeria Data Protection Bureau (NDPB) a été remplacé par la NDPC, une entité disposant de pouvoirs renforcés, comme celui de poursuivre en justice et d’émettre des ordonnances exécutoires. La Commission est également responsable de délivrer des licences aux cabinets et professionnels proposant des services de conformité.

Depuis le 19 septembre 2025, la directive GAID 2025 a pris le relais de l’ancien NDPR. Les entreprises sont désormais classées en trois catégories : UHL, EHL ou OHL, avec des exigences de conformité spécifiques. Les entités UHL et EHL doivent s’enregistrer une fois et soumettre un rapport annuel de conformité (CAR) avant le 31 mars. En revanche, les OHL doivent renouveler leur enregistrement chaque année.

Le DPO joue un rôle central et doit rendre compte directement à la direction de l’entreprise. De plus, il est tenu de soumettre des rapports semestriels vérifiés par une organisation agréée. En août 2025, la NDPC a émis des avis de conformité aux secteurs bancaire, assurantiel et du gaming, leur donnant 21 jours pour prouver qu’ils avaient nommé un DPO et soumis leur CAR pour 2024. Le non-respect de ces délais entraîne une pénalité équivalente à 50 % des frais de dépôt. Les nouvelles entités, quant à elles, disposent de 15 mois après leur lancement pour soumettre leur premier CAR.

Sanctions et calendrier d’application

Avec des pouvoirs élargis, la NDPC impose des sanctions strictes pour garantir une conformité rigoureuse. Les amendes administratives peuvent atteindre 10 millions de nairas ou 2 % du chiffre d’affaires annuel brut, selon le montant le plus élevé. En 2025, Multichoice Nigeria Limited a été condamnée à payer 766 200 000 nairas pour transferts illégaux de données, tandis que Fidelity Bank Plc a écopé d’une amende de 555 800 000 nairas pour traitement de données sans consentement.

Les entreprises doivent informer la NDPC de toute violation de données dans les 72 heures suivant la découverte, si l’incident représente un risque élevé pour les personnes concernées.

"With the implementation of the GAID, the enforcement of data privacy rights is set to become more robust, as the NDPC will commence active monitoring to ensure strict compliance." – Mary Ajibola, Lexworth Legal Partners

Afrique du Sud : Changements récents de la POPIA

Le 17 avril 2025, l’Afrique du Sud a introduit des modifications importantes au règlement POPIA (GN 6126), qui sont entrées en vigueur immédiatement. Désormais, les entreprises doivent gérer les demandes via des canaux comme SMS, WhatsApp et téléphone, en plus des méthodes traditionnelles. Concernant le marketing direct, les mécanismes de désinscription ne suffisent plus : un consentement explicite est obligatoire. De plus, tout consentement obtenu par téléphone doit être enregistré électroniquement et accessible gratuitement sur demande.

Le régulateur impose également une révision régulière des cadres de conformité POPIA, mettant fin à l’approche statique précédente. Autre nouveauté : les entités peuvent désormais négocier des paiements échelonnés pour les amendes administratives, en tenant compte de leur situation financière.

Information Regulator : Une approche plus stricte

Le régulateur sud-africain a renforcé ses pouvoirs d’application, abandonnant l’approche « éducation d’abord » au profit d’une politique plus ferme. Les incidents de sécurité signalés ont explosé, passant de 202 en 2021/22 à 2 898 en 2025/26. En mars 2026, le régulateur menait 10 enquêtes actives et 35 évaluations proactives, ciblant des secteurs sensibles comme la banque, l’assurance et les télécommunications.

Les récentes sanctions témoignent de cette fermeté. Parmi elles :

5 millions de rands infligés au Département de l’Éducation de base en novembre 2024 pour la publication non autorisée de résultats d’examens.
500 000 rands pour la municipalité de Blouberg.
200 000 rands à Lancet Laboratories pour des manquements dans les signalements.

Pour accroître la responsabilisation, le régulateur a adopté une stratégie de « dénonciation publique », publiant les noms des entités sous enquête.

"The period of leniency and ‘education first’ engagement has come to an end." – ITEdgeNews

Des amendements législatifs en projet visent à éliminer la période de « remédiation », permettant ainsi au régulateur d’imposer des sanctions immédiatement après la découverte d’une infraction.

Nouvelles échéances et réglementations à venir

Ces changements s’accompagnent de délais stricts pour les entreprises. Les systèmes de traitement des demandes doivent être adaptés aux nouveaux canaux. Le 6 mars 2026, le régulateur a publié les règlements finaux sur le traitement des données de santé. Un Code de conduite pour les accès contrôlés dans les résidences et parcs d’affaires a également été finalisé le 31 mars 2026.

Pour 2026/27, des notes d’orientation sont en préparation sur des sujets clés comme les évaluations d’impact des données personnelles et les flux transfrontaliers de données, essentiels pour les modèles d’IA et le traitement international. Les entreprises doivent aussi documenter leurs mises à jour de conformité et enregistrer les demandes téléphoniques selon les nouvelles règles. Ces efforts visent à renforcer la conformité dans un environnement technologique en constante évolution.

Nigeria vs Afrique du Sud : Comparaison des lois sur la protection des données

Nigeria NDPA vs South Africa POPIA: Data Protection Laws Comparison 2025

Le Nigeria et l’Afrique du Sud ont mis en place des cadres législatifs différents pour protéger les données personnelles, bien que leurs objectifs soient similaires. Au Nigeria, la Nigeria Data Protection Commission (NDPC), instaurée par la NDPA 2023, supervise la réglementation des données personnelles. En Afrique du Sud, cette responsabilité revient à l’Information Regulator, créé dans le cadre de la POPIA. Ces approches institutionnelles se reflètent également dans la terminologie utilisée : le Nigeria parle de « Data Controller » et « Data Processor », tandis que l’Afrique du Sud préfère les termes « Responsible Party » (responsable des données) et « Operator » (exécutant). Ces différences influencent la manière dont les entreprises gèrent les risques et assurent leur conformité dans chaque pays.

Tableau comparatif des cadres juridiques

Critère	Nigeria (NDPA 2023)	Afrique du Sud (POPIA)
Organisme régulateur	Nigeria Data Protection Commission (NDPC)	Information Regulator
Terminologie	Data Controller / Data Processor	Responsible Party / Operator
Enregistrement	Obligatoire pour les entités « d’importance majeure »	Obligatoire uniquement pour les Information Officers
Délai de notification	72 heures pour les violations à haut risque	« Dès que raisonnablement possible »
Amende maximale	Jusqu’à 2 % du chiffre d’affaires brut ou 10 millions de nairas	Jusqu’à 10 millions de rands
Marketing direct	Basé sur consentement ou intérêt légitime	Système strict d’« opt-in » pour les communications électroniques

Les sanctions financières imposées par les régulateurs montrent une volonté claire d’appliquer strictement les règles. Par exemple, la NDPC a déjà infligé des amendes importantes pour des violations de la protection des données. En juillet 2023, l’Information Regulator a également sanctionné le Département de la Justice sud-africain de 5 millions de rands pour avoir omis de renouveler des logiciels de cybersécurité, ce qui a entraîné une violation de données.

Le Nigeria a adopté une approche innovante avec ses Data Protection Compliance Organisations (DPCO), des tiers certifiés qui réalisent des audits et déposent des rapports pour les entreprises. En revanche, l’Afrique du Sud a lancé en avril 2025 un portail de services électroniques pour simplifier la déclaration obligatoire des violations de données. Ces initiatives illustrent les stratégies distinctes de chaque pays pour moderniser la supervision réglementaire.

Ces différences créent des défis spécifiques mais aussi des opportunités pour les startups africaines. En adaptant leurs pratiques à ces contextes nationaux, les entreprises peuvent transformer ces exigences en leviers compétitifs sur le marché technologique africain.

Ce que ces changements signifient pour les startups technologiques africaines

Les récentes modifications réglementaires, notamment la General Application and Implementation Directive (GAID), entrée en vigueur le 19 septembre 2025, redéfinissent les obligations des startups technologiques africaines. Désormais, les entreprises sont catégorisées en fonction du volume et de la sensibilité des données qu’elles traitent, ainsi que du niveau de risque sectoriel : Ultra-High Level (UHL), Extra-High Level (EHL) et Ordinary-High Level.

Coûts de conformité et défis opérationnels

Ces nouvelles règles impliquent des charges financières et organisationnelles accrues. Les startups manipulant moins de 200 enregistrements de données personnelles sont exemptées des audits annuels obligatoires, bien qu’elles doivent adopter des pratiques raisonnables de protection des données. En revanche, les entités classées comme Data Controllers and Processors of Major Importance (DCPMIs) doivent se conformer à des exigences strictes. Les frais annuels pour déposer le Compliance Audit Return (CAR) varient selon la classification :

Ultra-High Level : 250 000 ₦ (520 €)
Extra-High Level : 100 000 ₦ (208 €)
Ordinary-High Level : 10 000 ₦ (21 €)

Un retard entraîne une pénalité de 50 %.

Les entreprises doivent également désigner un Data Protection Officer (DPO) qualifié, qui doit passer une évaluation annuelle des compétences et obtenir quatre crédits de développement professionnel reconnus par la NDPC. Par ailleurs, la NDPC mène des enquêtes sectorielles couvrant plus de 1 300 organisations dans des secteurs sensibles comme la finance et les jeux en ligne. Les sanctions pour non-conformité peuvent atteindre 10 millions de nairas ou 2 % du chiffre d’affaires brut annuel, selon le montant le plus élevé.

« Le CAR n’est pas un simple exercice de validation. La NDPC se concentre de plus en plus sur la conformité démontrable, et non sur une documentation de dernière minute. » – Tope Adebayo LP

En plus des audits, les startups doivent fournir des rapports de conformité semestriels et tenir à jour les Registres de traitement des activités (RoPA). Les Data Protection Impact Assessments (DPIA) sont désormais obligatoires pour les activités à haut risque impliquant des technologies comme la blockchain ou l’IoT. Les entreprises opérant dans des secteurs tels que le commerce électronique ou les services financiers numériques doivent déposer une DPIA avant tout traitement à risque élevé.

Nouvelles opportunités dans les secteurs axés sur les données

Malgré ces défis, les nouvelles régulations ouvrent aussi des portes dans des domaines en pleine croissance. Par exemple, le marché nigérian de l’intelligence artificielle était évalué à 1,4 milliard de dollars en 2025, avec des revenus liés à l’IA atteignant 18,3 milliards de dollars dans l’économie numérique. Le taux d’adoption de l’IA générative au Nigeria a dépassé 70 %, bien au-dessus de la moyenne mondiale de 48 %.

En novembre 2025, PalmPay, en collaboration avec Wema Bank, a réalisé la première transaction en direct sur le National Payment Stack (NPS), avec un règlement instantané conforme à la norme ISO 20022. L’implémentation de l’Open Banking début 2026 et du NPS offre une infrastructure interopérable pour les paiements en temps réel, bénéfique pour les fintechs.

Le Pan-African Payment and Settlement System (PAPSS) facilite également les paiements en temps réel dans les monnaies locales à travers 19 pays africains. En 2025, PAPSS avait connecté 160 banques commerciales et traité des transferts totalisant 2,07 milliards de dollars au premier semestre.

En octobre 2025, Moniepoint a introduit « M », le premier chatbot alimenté par l’IA au Nigeria, conçu pour l’économie informelle. Cet outil offre des analyses économiques accessibles aux petites entreprises et aux décideurs politiques.

Stratégies pratiques pour la conformité

Pour transformer ces contraintes en opportunités, les startups doivent adopter des approches pragmatiques. Engager un Data Protection Compliance Organisation (DPCO) dès le départ est crucial, car les audits doivent obligatoirement être déposés via un DPCO agréé. Intégrer la « privacy by design » dès les premières étapes des projets à haut risque garantit aussi une conformité proactive.

La constitution d’un dossier de preuves de conformité est essentielle. Ce dossier devrait inclure des éléments tels que les journaux de formation, les formulaires de consentement et les résultats des tests de sécurité. Même pour les activités jugées à faible risque, il est indispensable de documenter les processus pour démontrer la responsabilité en cas de contrôle.

« Avec la GAID plaçant désormais fermement la protection des données au cœur de la conformité réglementaire, un alignement complet avec la NDPA est essentiel pour les entreprises de tous les secteurs. » – Banwo & Ighodalo

Enfin, les startups peuvent tirer parti des bacs à sable réglementaires introduits par le National Digital Economy and E-Governance Bill. Ces environnements permettent de tester et déployer des systèmes sous supervision réglementaire, réduisant ainsi le risque de non-conformité.

Conclusion : Que faire maintenant

Les récentes évolutions législatives au Nigeria et en Afrique du Sud marquent un changement majeur pour les entreprises technologiques. La gestion des données personnelles n’est plus uniquement une affaire technique confiée aux équipes informatiques, mais un enjeu stratégique nécessitant une implication directe des dirigeants. Pour les startups, cela signifie intégrer les exigences réglementaires dès la conception de leurs produits, plutôt que d’essayer de les adapter plus tard. Voici quelques actions essentielles à envisager.

Tout d’abord, nommez un responsable dédié à la protection des données et collaborez avec une Data Protection Compliance Organisation (DPCO) agréée pour effectuer les audits réglementaires obligatoires. En parallèle, menez un audit approfondi de vos processus de traitement des données, en suivant les recommandations de la NDPC sur les rapports d’audit.

Dans ce contexte, les fintechs et les services de paiement mobile doivent également repenser leurs mécanismes de consentement pour répondre aux réalités locales. Sur un continent où la connectivité reste parfois limitée, ces mécanismes doivent être accessibles via des solutions telles que l’USSD, les SMS ou même des points de contact physiques. L’exemple d’Absa Kenya, dirigé par son CDO Hartnell Ndungi, illustre bien cette approche : leur système de gestion du consentement multi-canal (USSD, SMS, web) prouve que cette solution est non seulement faisable mais aussi rentable.

« La "donnée" n’est plus un sujet technique délégué à l’informatique mais un risque commercial qui nécessite une gouvernance au niveau de la direction. » – iDAIp

Enfin, en adoptant des normes alignées sur le RGPD, les entreprises africaines peuvent renforcer leur crédibilité sur la scène internationale. Cela facilite les échanges transfrontaliers, essentiels pour l’intégration dans les chaînes de valeur mondiales.

FAQs

Suis-je concerné si je n’ai pas d’entité locale au Nigeria ou en Afrique du Sud ?

La réglementation sur la protection des données, comme le RGPD (Règlement Général sur la Protection des Données) en Europe, s’applique principalement dans deux cas :

Présence locale : Si votre entreprise est physiquement implantée dans un pays soumis à ces lois.
Traitement des données de citoyens : Si vous collectez, traitez ou stockez des données personnelles de résidents de ces pays, même sans présence physique.

En d’autres termes, si vous n’avez ni activité locale ni interaction avec les données des citoyens concernés, ces réglementations ne s’appliquent pas directement à vous. Toutefois, il reste important de bien comprendre les implications si votre activité venait à évoluer.

Comment savoir si mon entreprise est UHL, EHL ou OHL au Nigeria ?

Pour déterminer si votre entreprise est classée comme UHL, EHL ou OHL au Nigeria, vérifiez si elle est considérée comme un ‘Major Importance Data Controller or Data Processor’ (DCMI/DPMI). Ce statut entraîne des obligations spécifiques, notamment la soumission de rapports d’audit de conformité (CAR) à la Nigeria Data Protection Commission.

Il est impératif de respecter la date limite fixée au 31 mars 2026 pour éviter tout risque de non-conformité aux réglementations en vigueur.

Que faire dans les 72 heures suivant une violation de données ?

Lorsqu’une violation de données se produit, les premières 72 heures sont cruciales. Pendant ce délai, vous êtes tenu de notifier l’autorité compétente en matière de protection des données, sauf si l’incident présente un risque faible pour les droits et libertés des personnes concernées.

Cette démarche n’est pas seulement une obligation légale : elle permet également de réduire les impacts potentiels de la violation, qu’il s’agisse de pertes financières, de dommages à la réputation ou d’autres conséquences graves. En agissant vite, vous montrez votre engagement à protéger les données personnelles et à respecter la réglementation en vigueur.