Un rapport publié le jeudi 23 avril 2026 par Yellow Card, acteur spécialisé dans les paiements en Afrique, dresse un état des lieux sans concession de la régulation numérique sur le continent. Le tableau est saisissant : 45 pays ont désormais adopté une législation sur la protection des données. Seize ont lancé une stratégie nationale sur l’intelligence artificielle. Et les régulateurs passent à l’acte. En Nigeria, plus de 1 300 organisations ont été publiquement épinglées pour non-conformité en 2025. En Ouganda, un dirigeant de plateforme de prêt numérique a été incarcéré pour avoir traité des données personnelles sans autorisation. En Tanzanie, un tribunal a condamné une entreprise pour avoir utilisé l’image d’un citoyen à des fins commerciales sans son consentement. Ce n’est plus de la réglementation théorique. C’est de l’application concrète, avec des conséquences réelles.
Pour les dirigeants d’entreprise, les diplomates et les investisseurs qui opèrent sur le continent, ignorer cette dynamique aujourd’hui serait une erreur coûteuse.
UN CONTINENT QUI CHANGE DE VITESSE
Pendant des années, l’Afrique a été perçue comme un espace de faible régulation numérique, un eldorado pour les entreprises cherchant à collecter des données sans friction. Ce temps est révolu. Le rapport de Yellow Card, fondé sur une cartographie pays par pays des législations en vigueur au 31 décembre 2025, montre une transformation profonde. Sur les 54 pays du continent, 45 ont adopté une loi sur la protection des données personnelles. Parmi eux, 39 disposent d’autorités de contrôle pleinement opérationnelles.
C’est un chiffre à retenir. Avoir une loi ne suffit pas : encore faut-il un organe capable de la faire appliquer. L’Afrique est en train de combler ce fossé, parfois à grande vitesse.
En 2025, plusieurs pays ont franchi des étapes décisives. Djibouti a adopté en juin son Code numérique, intégrant un cadre complet de protection des données. La Commission nationale pour la protection des données personnelles (CNDP) y dispose de pouvoirs étendus : inspections sur site, avertissements, et amendes pouvant atteindre 5% du chiffre d’affaires mondial ou l’équivalent de 393 000 dollars. Le pays va jusqu’à criminaliser certaines violations, avec des peines d’emprisonnement pouvant aller jusqu’à dix ans. Ce niveau de sévérité est rare sur le continent.
La Gambie a suivi en septembre avec l’adoption unanime de son Personal Data Protection and Privacy Act. Ce texte, alerte le rapport, impose des amendes représentant le double du plafond nigérian, soit l’un des régimes les plus punitifs de la région. Il intègre aussi des mécanismes spécifiques pour les populations rurales et les petites entreprises, une préoccupation que l’on retrouve rarement dans les textes législatifs africains.
L’Algérie, de son côté, a révisé en juillet son cadre de 2018 avec la Loi 25-11. Elle introduit désormais des définitions précises pour les données biométriques, le profilage, la pseudonymisation. Elle impose une notification de violation dans un délai de cinq jours, et rend obligatoire la désignation d’un Délégué à la Protection des Données (DPO) pour la majorité des organisations. C’est une mise à niveau significative, clairement alignée sur les standards du RGPD européen.
Ce mouvement de convergence vers les normes internationales n’est pas anodin. Il traduit une ambition : rassurer les partenaires commerciaux, attirer les investissements étrangers, et s’assurer que les données des citoyens africains ne sont pas traitées avec moins de soin qu’ailleurs dans le monde.
L’IA ENTRE DANS LE DÉBAT
La protection des données n’est que le premier étage de la fusée. Le deuxième, c’est l’intelligence artificielle. Et là aussi, l’Afrique bouge, mais de façon plus prudente.
Seize pays ont adopté des stratégies ou politiques nationales sur l’IA entre 2023 et 2025. Parmi eux : le Kenya, la Côte d’Ivoire, la Zambie, l’Égypte, le Cameroun, le Sénégal, le Maroc, le Rwanda, le Ghana et la Mauritanie. La plupart de ces textes restent pour l’instant dans le domaine du droit souple, c’est-à-dire des cadres politiques sans valeur contraignante. Ils visent à développer les capacités nationales, à attirer les investissements, et à poser les bases éthiques d’un déploiement responsable de l’IA.
Le Kenya a officiellement lancé sa Stratégie nationale pour l’IA 2025-2030 en mars 2025. Elle repose sur un modèle structuré autour de trois piliers et quatre facilitateurs. Le pays veut devenir un hub régional de l’IA, avec la création d’un Institut national de sécurité et de risques liés à l’IA, et un alignement explicite sur les principes de l’OCDE.
La Côte d’Ivoire a présenté en mars de la même année sa Stratégie nationale pour l’IA et la gouvernance des données, soutenue par un investissement de 80 millions de dollars de la Banque africaine de développement. Le texte met en avant la « souveraineté numérique » et prévoit la création d’un hub IA avec un incubateur pour les startups, ainsi qu’un label « Safe AI » pour certifier les produits éthiques.
L’Égypte a lancé en janvier la deuxième édition de sa Stratégie nationale pour l’IA 2025-2030, présentée par le Président Al-Sissi. L’objectif est d’augmenter la contribution du secteur des technologies de l’information au PIB à 7,7% d’ici 2030, et de former 30 000 spécialistes en IA. Le pays prévoit également d’adopter une loi sur l’IA fondée sur les risques, s’inspirant du modèle européen, et a lancé en partenariat avec l’UNESCO un Code d’éthique pour l’IA.
Certains pays vont plus loin. L’Angola a publié un projet de loi sur l’intelligence artificielle remarquable par sa rigueur. Il prévoit des peines d’emprisonnement allant de 1 à 12 ans pour les utilisations malveillantes de l’IA susceptibles de menacer la sécurité nationale ou d’inciter à la discrimination. Les amendes administratives pour les entreprises peuvent atteindre l’équivalent de 1,6 million de dollars. C’est l’un des régimes les plus stricts au monde en matière d’IA.
Le Maroc, lui, prépare une loi dédiée à la régulation de l’IA qui introduit des obligations ex ante, c’est-à-dire avant la mise sur le marché, et interdit certaines applications à haut risque. Le Nigéria avance sur plusieurs fronts simultanément : un projet de loi sur la souveraineté numérique avec des exigences de localisation des données, un projet de Commission nationale pour l’IA, et un projet de loi sur l’économie numérique qui donnerait à l’agence NITDA des pouvoirs de super-régulateur, notamment pour classer les systèmes d’IA selon leur niveau de risque.
Ce qu’il faut retenir de cette tendance : les stratégies d’aujourd’hui deviendront les lois contraignantes de demain. Le rapport est explicite là-dessus. L’approche africaine est pragmatique et progressive. Les gouvernements utilisent d’abord les cadres politiques pour bâtir des capacités et attirer des investissements, tout en s’appuyant sur les lois de protection des données existantes pour gérer les risques immédiats. Mais la trajectoire est claire : vers une régulation plus contraignante, plus technique, et plus coordonnée.
L’APPLICATION DES LOIS DEVIENT RÉELLE
Ce qui distingue 2025 des années précédentes, c’est l’intensification des actions de mise en oeuvre. Les régulateurs africains n’émettent plus seulement des avertissements. Ils sanctionnent.
Au Kenya, l’Office of the Data Protection Commissioner a infligé des amendes à des entreprises pour conservation illicite de données personnelles, notamment une amende de 450 000 shillings à une société de Nairobi qui avait utilisé les données d’un enseignant sans son consentement dans le cadre d’un appel d’offres. En Tanzanie, la High Court a confirmé des sanctions contre une entreprise ayant utilisé l’image d’une personne à des fins commerciales sans autorisation. En Ouganda, un directeur de plateforme de micro-crédit a été emprisonné pour défaut d’enregistrement auprès du bureau de protection des données et traitement illicite de données sans consentement.
Ces cas ne sont pas anecdotiques. Ils signalent un changement de posture des régulateurs africains. Ils passent de la pédagogie à la sanction.
Les entreprises multinationales opérant sur le continent doivent en tirer des leçons concrètes. La conformité n’est plus optionnelle. Les obligations de nommer un DPO, de réaliser des analyses d’impact (DPIA), de notifier les violations dans des délais stricts, et de gérer les transferts transfrontaliers de données selon des règles précises sont désormais applicables dans de nombreux pays africains. Et les régulateurs vérifient.
Le rapport note également que la protection des enfants dans l’espace numérique est devenue un axe prioritaire. Le Malawi a lancé en février 2025 une initiative nationale de protection des enfants en ligne. Le Nigéria a adopté en décembre le Child Online Access Protection Bill. L’Afrique du Sud s’est jointe à un groupe international d’autorités pour promouvoir une approche commune sur la vérification de l’âge en ligne. Cette tendance va s’accélérer en 2026 selon le rapport, avec des règles spécifiques attendues sur l’accès des mineurs aux plateformes et la modération algorithmique du contenu qui leur est destiné.
CE QUE LES ORGANISATIONS DOIVENT ANTICIPER
Le rapport de Yellow Card n’est pas un document académique. Il est produit par une entreprise de paiement numérique qui opère dans plus d’une vingtaine de pays africains et qui doit elle-même naviguer dans cet environnement réglementaire en mutation. Sa lecture est donc à la fois analytique et opérationnelle.
Pour les organisations actives sur le continent, plusieurs priorités ressortent clairement.
La première : cartographier vos flux de données par pays. Les cadres réglementaires varient significativement d’un État à l’autre. Ce qui est autorisé au Ghana ne l’est pas forcément au Nigeria ou en Égypte. Les obligations de localisation des données, de transfert transfrontalier, et de consentement diffèrent. Une approche continent-wide uniforme n’est plus tenable.
La deuxième : mettre à jour vos structures de conformité. La désignation de DPO, la tenue de registres de traitement, les procédures de notification en cas de violation : ce ne sont plus des exigences théoriques. Ce sont des obligations dont le non-respect expose à des sanctions réelles, y compris pénales dans certains pays.
La troisième : intégrer la gouvernance de l’IA à votre cadre de risques. Si vous utilisez des systèmes automatisés pour la notation de crédit, le profilage de clients, la prise de décision en ressources humaines ou la modération de contenu, vous devez anticiper un cadre réglementaire renforcé. Les analyses d’impact algorithmique (AIA) et les DPIA vont devenir des outils courants d’audit réglementaire. Les entreprises qui les anticipent aujourd’hui seront mieux positionnées demain.
La quatrième : suivre les évolutions sectorielles dans les services financiers. Le rapport identifie le secteur financier comme une zone de surveillance accrue en 2026. Les pratiques de KYC, de monitoring des transactions, de profilage des risques et de screening des sanctions sont toutes des activités à forte intensité de données, de plus en plus soumises à des exigences de transparence et de justification. La loi sur la protection des données fonctionne de facto comme un cadre de gouvernance de l’IA pour les banques et les fintechs.
UNE AFRIQUE NUMÉRIQUE SOUVERAINE
Ce que révèle ce rapport, au fond, c’est une ambition politique cohérente à l’échelle du continent. L’Afrique ne veut pas être un terrain de jeu pour les données mondiales. Elle construit ses propres règles, à son propre rythme, avec ses propres priorités.
La convergence vers les standards internationaux comme le RGPD est réelle, mais elle n’est pas servile. Le Djibouti qui reconnaît la protection des données post-mortem, ou l’Angola qui criminalise l’utilisation de l’IA contre la sécurité de l’État, font des choix souverains. La Zambie qui inscrit sa stratégie IA dans son Plan national de développement, ou le Cameroun qui vise à former 60 000 personnes dont 40% de femmes aux métiers de l’IA, affichent une vision sociale et économique propre.
Le Rwanda, quant à lui, a signé en 2025 un accord trilatéral avec les Émirats arabes unis et la Malaisie pour collaborer sur la gouvernance de l’IA et le développement éthique de technologies. Le Kenya travaille avec l’Union européenne, l’Agence allemande de coopération (GIZ) et l’Union africaine sur une politique nationale des données. Ces partenariats internationaux montrent que l’Afrique construit sa régulation numérique en cherchant à peser dans les débats mondiaux, pas seulement à les suivre.
Pour les décideurs qui opèrent avec l’Afrique ou sur l’Afrique, le message est simple. La fenêtre d’opportunité d’une conformité minimale se ferme. Ce n’est pas une contrainte à subir, c’est un signal de maturité d’un marché de 1,4 milliard de personnes en pleine transformation numérique. Ceux qui s’y adaptent maintenant construiront un avantage concurrentiel durable. Les autres paieront le prix de leur attentisme, en amendes, en pertes de licences, et en perte de confiance.
Le rapport de Yellow Card, « Data Protection and Artificial Intelligence Governance in Africa : 2026 Report », est disponible sur le site yellowcard.io . Il constitue à ce jour l’une des cartographies les plus complètes et les plus à jour de la régulation numérique africaine.