En matière de gouvernance de données en Afrique, l’année 2025 a été caractérisée par des sanctions inédites, un encadrement renforcé des géants du numérique, la montée en puissance des autorités nationales et l’émergence de premières réponses juridiques face aux défis de l’intelligence artificielle. Ces évolutions sont mises en évidence dans le rapport de l’association Africa Data Protection, consacré à l’état de la protection des données personnelles sur le continent. Le document dresse un panorama détaillé des principaux changements observés tout au long de l’année 2025.

La protection des données personnelles en Afrique a connu un tournant décisif. Les autorités nationales ont multiplié les décisions, les sanctions et les réformes législatives. Elles ont ainsi affirmé leur volonté de faire respecter les droits numériques des citoyens et de renforcer la confiance dans les écosystèmes numériques locaux. Du Maghreb à l’Afrique australe, en passant par l’Afrique de l’Ouest et de l’Est, les autorités de protection des données se sont imposées comme des acteurs centraux de la régulation du numérique. Le rapport d’Africa Data Protection met en lumière une tendance forte : la fin de l’impunité, y compris pour les grandes plateformes internationales.

Google et Meta, la fin de l’exception des GAFAM

Parmi les faits saillants de 2025 figure la mise en demeure de Google par l’autorité ougandaise de protection des données (PDPO). À la suite d’une plainte collective déposée par des citoyens ougandais, la PDPO a estimé que Google devait se conformer à la législation nationale, malgré l’absence de présence physique dans le pays.

L’autorité a écarté l’argument de Google, fondé sur l’absence d’établissement local. Elle a retenu le critère de la présence économique, estimant que l’entreprise tire des revenus importants des utilisateurs ougandais et qu’elle est enregistrée comme contribuable dans le pays. Africa Data Protection souligne que cette décision établit un principe central pour l’avenir du numérique en Afrique : toute exploitation économique des données implique des obligations juridiques au niveau local.

Au Nigeria, Meta et la Commission nigériane de protection des données (NDPC) ont conclu un accord après près de deux ans de contentieux. Cet accord met fin à un litige sur les pratiques de traitement des données personnelles. La NDPC a renoncé à certaines sanctions, mais Meta doit renforcer la transparence, la conformité et la coopération avec les autorités locales. Selon le rapport de l’association Africa Data Protection, ces affaires montrent que « les États africains ne se contentent plus d’adopter des lois, ils les appliquent, y compris face aux multinationales du numérique ».

Vers une culture de la conformité pour les acteurs locaux

L’année 2025 a également été marquée par des contrôles renforcés contre les acteurs nationaux. Au Nigeria, la NDPC a ouvert une enquête sur près de 1 300 organisations soupçonnées de non-conformité. Ces entités devaient prouver la réalisation d’audits de conformité, la désignation de délégués à la protection des données (DPO) et la mise en œuvre de mesures de sécurité appropriées. Cette opération illustre la volonté des autorités d’instaurer une culture de la conformité.

Au Mali, l’Autorité de protection des données (APDP) a infligé une amende de 5 millions de francs CFA à une clinique privée pour entrave à une mission de contrôle. Le rapport note que le secteur de la santé, particulièrement sensible, fait l’objet d’une surveillance accrue.

En Égypte, un tribunal a condamné un opérateur télécom à verser environ 280 000 euros à une victime de violation de la vie privée après un remplacement frauduleux de carte SIM. Le rapport souligne que cette décision crée un précédent fort et ouvre une ère de responsabilité accrue pour les opérateurs.

En Angola, plusieurs institutions ont été sanctionnées pour des failles de sécurité liées à des cyberattaques par ransomware. Les amendes ont été réduites en raison de la coopération des entités, mais l’association insiste sur le fait que « la cybersécurité devient un élément central de la protection des données ».

Des autorités de protection de plus en plus outillées

Le rapport note également un renforcement des capacités des autorités africaines de protection des données. Au Maroc, la CNDP utilise désormais un outil technologique pour surveiller la diffusion illégale de données sur le dark web. En Afrique du Sud, l’Information Regulator a lancé une plateforme en ligne pour signaler les violations de données, améliorant la traçabilité et la réactivité. Au Kenya, la Haute Cour a confirmé la légitimité de l’Office of the Data Protection Commissioner (ODPC) et de ses pouvoirs quasi-juridictionnels, renforçant ainsi la capacité des autorités spécialisées à gérer des litiges techniques.

Au cours de la même année, les autorités africaines ont commencé à répondre aux défis posés par l’intelligence artificielle. En Angola, une consultation publique a été lancée sur un projet de loi visant à réguler l’IA et protéger les droits fondamentaux, avec des responsabilités civiles, pénales et administratives. Au Sénégal, la Commission de protection des données (CDP) a alerté sur les dangers des deepfakes, appelant à une utilisation éthique et responsable des technologies d’IA générative.

Ces initiatives montrent que l’innovation technologique en Afrique doit désormais s’accompagner de garanties pour les droits fondamentaux, conclut le rapport de l’association Africa Data Protection.

Enock Bulonza

(Source : CIO Mag, 23 décembre 2025)