Chargement...
Chargement...
Copyright © 2026 Anove International B.V.
All product names, logos, and brands are property of their respective owners. Use of these names does not imply affiliation, endorsement, or partnership.
Law 2008-12
L'une des premières lois africaines en matière de protection des données, la Loi n° 2008-12 du Sénégal institue la CDP et soumet le traitement des données à caractère personnel à des déclarations, autorisations et avis préalables, assorti d'amendes administratives et de sanctions pénales.
Le Sénégal a adopté la Loi n° 2008-12 du 25 janvier 2008 portant sur la protection des données à caractère personnel, parmi les premières lois de protection des données en Afrique, mise en œuvre par le Décret n° 2008-721 du 30 juin 2008. Elle institue la Commission de protection des Données Personnelles (CDP), autorité indépendante qui reçoit les formalités préalables, traite les plaintes, mène des contrôles sur place, sur pièces et sur audition, et sanctionne les responsables de traitement. Le traitement doit en principe être déclaré à la CDP ; une autorisation préalable est requise pour les traitements sensibles (données génétiques, données biométriques, données relatives aux infractions, numéros d'identification nationale, interconnexions de fichiers et traitements d'intérêt public), et les traitements de l'État requièrent un avis motivé de la CDP. Le consentement constitue la base légale par défaut, avec des exemptions pour les obligations légales, l'intérêt public, le contrat et les intérêts vitaux.
Les transferts transfrontaliers sont interdits sauf si le pays destinataire assure une protection suffisante, et la CDP doit être informée avant tout transfert. Il n'existe pas de notification obligatoire des violations et la désignation d'un délégué à la protection des données est facultative pour les entreprises. Le Sénégal a été le premier pays africain à ratifier la Convention de Malabo de l'Union africaine sur la cybersécurité et la protection des données à caractère personnel, en 2016. Un projet de loi de modernisation publié fin 2019, qui remplacerait la CDP par une nouvelle autorité et traiterait de la biométrie, du big data et de l'IA, n'a pas été adopté, de sorte que la loi de 2008 demeure en vigueur en 2026.
Les entreprises doivent notifier à la CDP leurs activités de traitement avant de les mettre en œuvre, avec des exemptions restreintes pour les traitements associatifs à but non lucratif et les registres publics.
L'approbation de la CDP est requise avant le traitement de données génétiques ou biométriques, de données relatives aux infractions, de numéros d'identification nationale, d'interconnexions de fichiers et de traitements d'intérêt public.
Le traitement requiert le consentement de la personne concernée ou une exemption légale, et les données doivent être collectées loyalement pour des finalités déterminées, être proportionnées, exactes et conservées pas plus longtemps que nécessaire.
Les responsables de traitement doivent prévenir l'altération, l'endommagement ou l'accès non autorisé de tiers, y compris par des contrôles d'accès, des identités vérifiées, des sauvegardes et des mesures de protection lors de la transmission.
Pour aller plus loin
Anove analyse votre stack au regard de Law 2008-12 et de plus de 260 autres cadres en quelques minutes.
Les transferts ne sont autorisés que vers des pays assurant une protection suffisante, et la CDP doit être informée de chaque transfert avec les précisions relatives à l'expéditeur, au destinataire, aux données et aux finalités.