RGPD pour PME africaines : pourquoi vous êtes concernés (et comment vous mettre en règle)

On entend souvent : « Le RGPD, c'est pour les boîtes européennes. Nous on est à Casablanca / Dakar / Abidjan, on s'en fiche. » C'est une erreur juridique majeure. Le RGPD a une portée extraterritoriale explicite. Une PME marocaine qui vend un produit en ligne à un client français est soumise aux mêmes règles qu'une entreprise parisienne. Et les sanctions peuvent atteindre 4 % du chiffre d'affaires mondial.

Les 3 cas où le RGPD s'applique à une entreprise africaine#

Le RGPD s'applique à votre entreprise dès qu'un seul des trois critères suivants est rempli.

1. Vous offrez des biens ou services à des personnes situées dans l'UE. Critère du « ciblage » : si votre site est en français, propose des prix en euros, accepte des paiements européens, ou liste l'Europe comme zone de livraison — vous êtes ciblé par le RGPD.
2. Vous surveillez le comportement de personnes situées dans l'UE. Analytics, cookies de tracking, retargeting publicitaire visant des Européens — RGPD s'applique.
3. Vous traitez des données pour le compte d'un sous-traitant établi dans l'UE. Si vous êtes une agence de Dakar qui développe un site pour une PME française, vous êtes processor au sens du RGPD et devez signer un DPA.

RGPD européen vs lois locales africaines#

Bonne nouvelle : la plupart des pays francophones africains ont adopté des lois inspirées du RGPD. Mauvaise nouvelle : elles ne se substituent pas, elles s'additionnent. Si vous opérez à la fois en Afrique et en Europe, vous devez vous conformer aux deux.

Les principes communs : finalité légitime du traitement, consentement explicite, droit d'accès et de suppression, registre des traitements, notification de violation. Les différences : portée, montant des sanctions, transferts internationaux. En pratique, si vous êtes RGPD-compliant, vous l'êtes aussi pour la quasi-totalité des lois locales africaines.

Les 8 obligations concrètes à mettre en place#

Voici la checklist pratique. Si tous ces points sont à jour sur votre site et dans vos process, vous êtes 90 % conforme.

1. Mentions légales : raison sociale, RC, ICE (Maroc) / RCS (France), siège, directeur de publication, hébergeur.
2. Politique de confidentialité : types de données collectées, finalités, base légale, destinataires, durée de conservation, droits des utilisateurs.
3. Bannière de consentement cookies : conforme CNIL, avec choix granulaire (analytics / marketing / fonctionnels), refus aussi facile que l'acceptation, pas de cookie déposé avant choix.
4. Registre des traitements : document interne listant tous les traitements de données (clients, prospects, employés, candidats…). Modèle CNIL téléchargeable gratuitement.
5. Désignation d'un DPO ou point de contact RGPD : obligatoire si traitement à grande échelle ou données sensibles. Recommandé dans tous les cas.
6. Contrats DPA (Data Processing Agreement) avec vos sous-traitants : hébergeur, CRM, email marketing, analytics. Tous doivent signer.
7. Procédure de gestion des demandes d'utilisateurs : accès, rectification, suppression, portabilité. Délai légal : 30 jours.
8. Procédure de notification de violation : 72 heures à l'autorité de contrôle si fuite de données. Plan d'incident préparé à l'avance.

Hébergement et transferts internationaux#

C'est l'un des points les plus mal compris. En théorie, le RGPD impose que les données personnelles d'Européens restent dans l'UE ou dans un pays « adéquat ». En pratique, plusieurs options coexistent en 2026.

• Hébergement direct dans l'UE : OVH, Hetzner, Scaleway, Vercel EU. Solution la plus simple et défendable juridiquement.
• Hébergement dans un pays adéquat (Royaume-Uni, Suisse, Canada, Japon, Corée du Sud…) : autorisé sans formalité supplémentaire.
• Hébergement aux États-Unis avec EU-US Data Privacy Framework (réautorisé en 2023) : nécessite un fournisseur certifié et des clauses contractuelles types (SCC).
• Hébergement au Maroc ou en Afrique : autorisé si vous mettez en place des clauses contractuelles types (SCC) entre vous et l'hébergeur, plus une analyse d'impact (TIA — Transfer Impact Assessment).

Outils et coûts de mise en conformité#

Les 3 risques réels si vous n'êtes pas en règle#

1. Sanctions financières : amende administrative pouvant atteindre 20 M€ ou 4 % du CA mondial, le plus élevé. La CNIL a infligé 290 M€ d'amendes en 2024.
2. Plainte d'utilisateur ou de concurrent : un seul utilisateur peut signaler votre site à la CNIL. Un concurrent peut aussi vous dénoncer pour vous mettre des bâtons dans les roues.
3. Perte de contrats B2B : depuis 2020, les grands comptes (Total, BNP, Carrefour…) exigent un audit RGPD de leurs sous-traitants. Pas conforme = pas de contrat.

Comment CodingArt gère la conformité pour ses clients#

Tous nos sites livrés pour des clients européens incluent par défaut : mentions légales et politique de confidentialité personnalisées, bannière cookies conforme CNIL (Tarteaucitron ou Axeptio selon le trafic), registre des traitements pré-rempli, modèle de DPA pour vos sous-traitants, hébergement OVH/Vercel EU, formation de 1 h à l'équipe sur la gestion des demandes utilisateurs. C'est inclus dans le devis, pas en option.