L'actualité réglementaire africaine est dominée cette semaine par une dynamique claire : les autorités de protection des données basculent de la pédagogie vers la sanction effective. Deux développements majeurs illustrent cette tendance, aux conséquences directes pour les entreprises opérant sur le continent.

Tanzanie : compte à rebours avant les premières sanctions

La Commission tanzanienne de protection des données personnelles (PDPC) fermait le 8 avril 2026 la fenêtre d'enregistrement volontaire ouverte aux entreprises. Dès le 9 avril, les amendes prévues par la loi entrent en application — jusqu'à 5 milliards de shillings tanzaniens (~1,8 million d'euros) pour les personnes morales.

Pour toute entreprise opérant en Tanzanie, la mise en conformité n'est plus optionnelle.

Sources :
■ Business Insider Tanzania – Deadline pressure & sanctions PDPC

Nigeria : 649 universités sous enquête formelle

Après avoir adressé en février 2026 des avis de conformité à 649 établissements d'enseignement supérieur, le NDPC (Commission nigériane de protection des données) a lancé un schéma de contrôle formel couvrant la période du 15 avril au 15 juillet 2026. Les sanctions prévues par le Nigeria Data Protection Act de 2023 peuvent atteindre 2 % du chiffre d'affaires annuel ou 10 millions de nairas.

Ce cycle d'enforcement sectoriel illustre une méthode que d'autres autorités africaines commencent à adopter : cibler un secteur entier par vague coordonnée, plutôt que traiter les cas individuellement.

Sources :
■ PrivacyNeedle – NDPC Compliance Probe of Nigerian Universities

Burkina Faso : une autorité en transition

La Commission de l'Informatique et des Libertés (CIL) est engagée dans une réforme institutionnelle majeure : sa fusion avec le Conseil Supérieur de la Communication (CSC) au sein d'une nouvelle Autorité de Régulation de la Communication et de la Protection des Données (ARCPD) est en cours. En parallèle, la CIL a participé le 25 mars à un événement centré sur la protection des données de santé, signalant un intérêt réglementaire croissant pour ce secteur.

Pour les acteurs du secteur santé présents dans la région, ce signal mérite attention.

Sources :
■ LeFaso.net – Fusion CIL/CSC : création ARCPD Burkina Faso
■ Cybersecurity Mag Africa – CIL & données sanitaires

Ce que cela signifie concrètement

La loi togolaise n°2019-014 sur la protection des données personnelles impose des obligations similaires à celles qui font aujourd'hui l'objet de contrôles au Nigeria, en Tanzanie et au Burkina Faso : formalités préalables auprès de l'IPDCP, sécurité des traitements et respect des droits des personnes concernées.

• Entreprises actives dans plusieurs pays africains : vérifiez votre statut d'enregistrement auprès de chaque autorité nationale concernée — les délais sont désormais contraignants.
• Secteur éducation et santé : ces deux secteurs concentrent l'attention des régulateurs africains en ce début 2026 ; anticipez plutôt que de subir un contrôle.
• Partenaires et sous-traitants : la responsabilité du responsable de traitement inclut la chaîne de sous-traitance — assurez-vous que vos prestataires sont eux-mêmes conformes.

Pour aller plus loin :
■ CIO Mag – Cameroun : mise en conformité avant juin 2026