Deux cadres réglementaires, une même obligation
La protection des données personnelles obéit à deux corpus réglementaires principaux selon votre contexte d'activité :
- Le RGPD (Règlement Général sur la Protection des Données) — applicable si vous traitez des données de résidents européens
- La Loi n°2008-12 — loi sénégalaise sur la protection des données à caractère personnel, applicable à toute organisation traitant des données sur le territoire sénégalais
Pour de nombreuses entreprises en Afrique de l'Ouest ayant des partenaires ou clients en Europe, les deux s'appliquent simultanément.
| Critère | RGPD (Europe) | Loi 2008-12 (Sénégal) |
|---|---|---|
| Autorité de contrôle | CNIL (France) / DPAs nationales | CDP (Commission des Données Personnelles) |
| Sanctions max. | 20 M€ ou 4% CA mondial | 5 ans prison / amendes |
| DPO obligatoire | Selon activités | Non obligatoire mais recommandé |
| Déclaration préalable | Non (accountability) | Oui, à la CDP |
| Droit à l'effacement | ✓ | ✓ |
Les 5 principes fondamentaux
1. Licéité du traitement
Vous ne pouvez traiter des données personnelles que si vous disposez d'une base légale : consentement explicite de la personne concernée, exécution d'un contrat, obligation légale, ou intérêt légitime (sous conditions).
2. Minimisation des données
Ne collectez que les données strictement nécessaires à votre finalité. Collecter des informations "au cas où" est une pratique non conforme.
3. Limitation de la conservation
Les données ne peuvent être conservées que le temps nécessaire. Définissez des durées de conservation pour chaque catégorie de données et appliquez-les.
4. Sécurité des traitements
Vous devez mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données contre toute violation : chiffrement, contrôle des accès, surveillance des anomalies, sauvegardes.
5. Droits des personnes
Toute personne dont vous traitez les données dispose de droits que vous devez respecter : droit d'accès, de rectification, d'effacement, de portabilité, d'opposition.
Ce que vous devez mettre en place
Le registre des traitements
Documentez tous vos traitements de données : finalité, catégories de données, destinataires, durée de conservation, mesures de sécurité. Ce registre est la base de votre conformité.
La politique de confidentialité
Informez clairement vos clients et prospects sur la façon dont vous traitez leurs données. Cette information doit être accessible, compréhensible et complète.
La sécurité des systèmes
La conformité passe par la sécurité technique. Un SOC managé comme Mirador vous aide à répondre aux exigences de sécurité des deux réglementations : surveillance des accès, détection des anomalies, réponse aux incidents.
La déclaration à la CDP (Sénégal)
Au Sénégal, certains traitements doivent être déclarés préalablement à la Commission des Données Personnelles. Consultez le site de la CDP pour connaître les traitements soumis à déclaration ou autorisation.
Les sanctions encourues
Ne pas respecter ces obligations expose votre entreprise à des sanctions sévères :
- RGPD : jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial
- Loi 2008-12 : amendes et peines d'emprisonnement pouvant aller jusqu'à 5 ans
- Réputation : les violations de données sont désormais médiatisées, avec des impacts durables sur la confiance client
Par où commencer ?
- Cartographiez vos traitements de données (registre des traitements)
- Identifiez les données sensibles et évaluez les risques
- Mettez en place les mesures de sécurité techniques nécessaires
- Rédigez votre politique de confidentialité
- Déclarez vos traitements à la CDP si requis
- Formez vos collaborateurs
- Testez régulièrement votre dispositif
Sécurisez vos données et restez conforme
Mirador vous aide à documenter vos mesures de sécurité et à produire les preuves nécessaires à votre conformité.
Demander une démo