Données personnelles · Sénégal · Guide complet 2026

Comprendre la protection des données personnelles au Sénégal

🔎 Tout savoir sur la CDP (Commission de Protection des Données Personnelles), la loi n°2008-12, les obligations des startups et les sanctions encourues en cas de non-conformité au Sénégal.

✍️ Par Sonia Mavouna 📅 Publié le 11 mai 2023 🔄 Mis à jour le 21 mai 2026 ⏱ 13 min de lecture

Protection des données personnelles au Sénégal - CDP loi 2008-12 conformité startup

Introduction : la loi n°2008-12 au Sénégal

Déclarer vos traitements de données personnelles auprès de la Commission de Protection des Données Personnelles (« CDP ») est obligatoire si votre startup traite des données personnelles.

En outre, la loi n° 2008-12 du 25 janvier 2008 relative à la protection des données à caractère personnelles (la « Loi n°2008-12 ») prévoit d'autres obligations lorsque vous traitez des données personnelles ou encore des données sensibles.

Qu'est-ce qu'un traitement de données personnelles ? Quel formulaire remplir ? Quelles sont mes autres obligations en qualité de startup en application de cette loi ? Si vous ne savez pas répondre à ces questions, cet article élargira considérablement vos connaissances sur le sujet.

Dans le cadre de cet article, nous revenons sur le régime applicable au lancement d'une activité au Sénégal en abordant :

Le champ d'application de la Loi n°2008-12 sur les données à caractère personnel ;
Les obligations à respecter au regard de la Loi n°2008-12 lorsque vous réalisez un traitement de données personnelles ;
L'autorité qui assure la protection des données personnelles au Sénégal ;
Les sanctions applicables en cas de violation de la loi sur les données personnelles au Sénégal.

👉 Si votre startup opère dans plusieurs pays africains, consultez aussi nos articles sur la protection des données au Maroc (CNDP) et au Burkina Faso (CIL).

À qui la loi n°2008-12 s'applique-t-elle ?

La Loi n°2008-12 sur la protection des données personnelles s'applique :

aux entités qui réalisent des traitements de données personnelles sur le territoire sénégalais ou en tout lieu où la loi sénégalaise s'applique ;
à toutes les entreprises localisées ou non sur le territoire sénégalais qui traitent des données personnelles de personnes situées au Sénégal.

Qu'est-ce qu'une donnée personnelle au sens de la loi sénégalaise ?

D'après l'article 4 de la Loi n°2008-12 sur la protection des données personnelles, une donnée personnelle désigne :

Article 4 — Définition légale

« Toute information relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique. »

Cela peut inclure des informations telles que :

le nom,
l'adresse,
le numéro de téléphone,
l'adresse e-mail,
la date de naissance,
le lieu de travail,
les habitudes d'achat,
les données de localisation et bien plus encore.

Comment déterminer si ma startup réalise un traitement de données personnelles ?

Aux termes de l'article 4 de la Loi n°2008-12, un traitement des données à caractère personnel désigne :

Article 4 — Définition du traitement

« Toute opération ou ensemble d'opérations […] effectuées ou non à l'aide de procédés automatisés ou non, et appliquées à des données, telles que la collecte, l'exploitation, l'enregistrement, l'organisation, la conservation, l'adaptation, la modification, l'extraction, la sauvegarde, la copie, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, le cryptage, l'effacement ou la destruction des données à caractère personnel. »

Ainsi, si vous réalisez une opération ou un ensemble d'opérations consistant par exemple à collecter une donnée personnelle, vous pouvez (sous réserve des exceptions mentionnées dans la Loi n°2008-12) être considéré comme réalisant un traitement de données personnelles.

Les startups sont souvent amenées à effectuer des traitements de données personnelles dans le cadre de leurs activités courantes, notamment en :

gérant la paie de leurs salariés ;
développant un site e-commerce ;
réalisant des campagnes marketing.

Ces activités nécessitent de traiter des données à caractère personnel : nom, prénom, date de naissance, log de connexion, email, photo, numéro de téléphone, RIB, adresse IP.

Par conséquent, ces données qui permettent d'identifier ou de rendre identifiable les personnes concernées (salariés, clients ou fournisseurs) doivent être protégées par la mise en œuvre de mesures de sécurité et de confidentialité.

Quelles sont les formalités préalables à respecter ?

La déclaration préalable lors d'un traitement à caractère personnel

L'article 18 de la Loi n°2008-12 prévoit que tous les traitements de données personnelles doivent être déclarés préalablement à leur mise en œuvre auprès de la Commission des Données Personnelles (la « CDP »).

Il convient donc, a priori, lorsque vous démarrez votre activité et souhaitez réaliser un ou plusieurs traitements à caractère personnel, de faire une déclaration de ce ou ces traitements préalablement auprès de la CDP.

La startup effectue cette déclaration en respectant la procédure mise en place par la CDP. Cette dernière doit notamment comporter l'engagement que le traitement satisfait aux exigences de la loi.

📌 Procédure : la CDP atteste par un accusé de réception tout dépôt de déclaration. Elle délivre ensuite dans un délai d'un mois, un récépissé qui permet au demandeur de mettre en œuvre le traitement sans toutefois l'exonérer d'aucune de ses responsabilités. Ce délai peut être prorogé une fois sur décision motivée de la CDP. Seule la réception du récépissé donne droit à la mise en œuvre d'un traitement.

⚠️ Attention : pour les catégories les plus courantes de traitements des données à caractère personnel dont la mise en œuvre n'est pas susceptible de porter atteinte à la vie privée ou aux libertés, la CDP établit et publie des normes destinées à simplifier ou à exonérer l'obligation de déclaration.

L'autorisation préalable à obtenir auprès de la CDP

Il est important de noter que la loi sénégalaise sur la protection des données personnelles accorde une attention particulière aux données personnelles dites « sensibles ».

Lorsqu'il s'agit de traitement de données sensibles, c'est-à-dire :

Définition des données sensibles

« Toutes les données à caractère personnel relatives aux opinions ou activités religieuses, philosophique, politique, syndicales, à la vie sexuelle ou raciales, à la santé, aux mesures d'ordre social, aux poursuites, aux sanctions pénales ou administratives. »

Il convient d'obtenir de la CDP une autorisation préalable.

La CDP dispose d'un délai de deux (2) mois à compter de la réception de la demande d'avis ou d'autorisation. Toutefois, ce délai peut être prorogé une fois sur décision motivée de la CDP. Lorsque la CDP ne s'est pas prononcée dans ces délais, l'autorisation est réputée favorable.

Quelles sont les obligations vis-à-vis des consommateurs et clients ?

La Loi 2008-12 établit les règles pour le traitement des données personnelles au Sénégal. Elle stipule que les données personnelles ne peuvent être collectées, traitées ou utilisées qu'avec le consentement de la personne concernée.

Les entreprises qui collectent, traitent ou utilisent des données personnelles doivent respecter les obligations légales suivantes :

1. Collecte des données personnelles

Les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes et ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités. Elles doivent être pertinentes, adéquates et non excessives.

2. Obtention du consentement

Le consentement de la personne concernée doit être obtenu avant la collecte, le traitement ou la conservation de ses données personnelles.

3. Sécurité et confidentialité

Les entreprises doivent mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données contre les risques de perte, d'utilisation abusive, de divulgation ou d'accès non autorisé (cryptage, pare-feu, politiques internes).

4. Accès aux données personnelles

Les personnes concernées ont le droit d'accéder à leurs données personnelles, de les corriger et de les supprimer si nécessaire. Les entreprises doivent mettre en place des procédures pour permettre l'exercice de ces droits.

5. Violation des données personnelles

Les entreprises doivent notifier les autorités de réglementation et les personnes concernées en cas de violation de données. Des procédures de détection et notification rapide doivent être en place.

6. Sous-traitants

Les entreprises peuvent faire appel à des sous-traitants pour traiter les données personnelles. Les sous-traitants doivent respecter toutes les obligations légales énoncées ci-dessus.

📋 Vous souhaitez être accompagné·e ?

Besoin d'aide pour déclarer vos traitements de données au Sénégal ?

Si vous souhaitez être accompagné·e dans vos formalités auprès de la CDP, remplissez ce questionnaire et nous reviendrons vers vous rapidement.

Qu'est-ce que la CDP ?

Au Sénégal, la protection des données personnelles est assurée par la Commission de Protection des Données Personnelles (CDP), créée en vertu de la loi de 2008 relative à la protection des données à caractère personnel.

La CDP est l'autorité de régulation indépendante chargée de veiller au respect de la loi sur la protection des données personnelles.

Elle a pour mission d'informer les personnes concernées et les responsables de traitement de leurs droits et obligations et s'assure que les TIC ne comportent pas de menace au regard des libertés publiques et de la vie privée.

Pouvoirs et attributions de la CDP

Missions principales de la CDP

La CDP dispose de plusieurs pouvoirs et attributions pour s'acquitter de sa mission, notamment :

Veiller à ce que les traitements des données à caractère personnel soient mis en œuvre conformément aux dispositions de la Loi n°2008-12 ;
Publier les autorisations accordées et les avis émis dans le répertoire des traitements des données à caractère personnel ;
Informer les personnes concernées et les responsables de traitement de leurs droits et obligations. À cet effet, elle :
- reçoit les formalités préalables à la création de traitements des données à caractère personnel ;
- reçoit les réclamations, pétitions et plaintes relatives à la mise en œuvre des traitements et informe leurs auteurs des suites données ;
- informe sans délai le procureur de la République des infractions dont elle a connaissance ;
- peut, par décision particulière, charger un ou plusieurs de ses membres ou des agents de ses services de procéder à des vérifications portant sur tout traitement et obtenir des copies de tout document utile à sa mission ;
- peut prononcer une sanction à l'égard d'un responsable de traitement ;
- répond à toute demande d'avis.

Mesures en cas de non-respect de la Loi 2008-12

En cas de violation de la loi sur la protection des données à caractère personnel, la CDP peut prendre différentes mesures :

Avertir ou mettre en demeure le responsable de traitement ;
Si le responsable de traitement ne se conforme pas à la mise en demeure, la CDP peut prononcer après procédure contradictoire les sanctions suivantes :
- Un retrait provisoire de l'autorisation accordée pour une durée de trois (3) mois à l'expiration de laquelle, le retrait devient définitif ;
- Une amende pécuniaire d'un (1) million à cent (100) millions de FCFA.
En cas d'urgence, lorsque la mise en œuvre d'un traitement ou l'exploitation de données personnelles entraîne une violation de droits et libertés, la CDP peut décider :
- l'interruption de la mise en œuvre du traitement pour une durée maximale de trois (3) mois ;
- le verrouillage de certaines données à caractère personnel traitées pour une durée maximale de trois mois ;
- l'interdiction temporaire ou définitive d'un traitement contraire aux dispositions de la loi.

La CDP joue donc un rôle crucial dans la protection des données personnelles au Sénégal et veille à ce que les responsables de traitement respectent les droits des personnes concernées.

Qui sont les personnes responsables au sein de l'entreprise ?

Les obligations du responsable de traitement

Selon l'article 4 de la Loi n°2008-12, toute personne physique ou morale, publique ou privée, tout autre organisme ou association qui, seul ou conjointement avec d'autres, prend la décision de collecter et de traiter des données à caractère personnel et en détermine les finalités est un responsable de traitement.

Le responsable du traitement doit respecter les droits des personnes concernées, notamment le droit d'accès, de rectification et d'opposition.

La loi sénégalaise sur la protection des données personnelles établit des obligations spécifiques pour les responsables de traitement, tels que :

l'obligation de notifier les violations de données ;
l'obligation de maintenir des registres des traitements de données.

Les obligations du sous-traitant

Selon l'article 4 de la Loi n°2008-12, toute personne physique ou morale, publique ou privée, tout autre organisme ou association qui traite des données pour le compte du responsable du traitement est un sous-traitant.

Les sous-traitants doivent également respecter ces droits en ce qui concerne les données qu'ils traitent pour le compte du responsable du traitement.

Tout traitement effectué pour le compte du responsable du traitement par un sous-traitant doit être régi par un contrat ou un acte juridique consigné par écrit qui lie le sous-traitant au responsable du traitement et qui prévoit notamment que le sous-traitant n'agit que sur la seule instruction du responsable du traitement et que les obligations visées au présent article incombent également à celui-ci.

Qu'est-ce que le Délégué à la Protection des Données (DPO) ?

Les entreprises peuvent nommer un délégué à la protection des données (DPO) pour veiller au respect de la loi sur la protection des données personnelles.

Le DPO peut conseiller l'entreprise sur les questions relatives à la protection des données personnelles et veiller à ce que les droits des personnes concernées soient respectés.

Quelles sont les sanctions applicables en cas de violation ?

En cas de violation de la loi sur la protection des données personnelles au Sénégal, des sanctions peuvent être appliquées. Ces sanctions sont prévues par l'article 39 de la loi n° 2008-12 du 25 janvier 2008 relative à la protection des données à caractère personnel.

⚠️ Sanctions pénales : outre les sanctions civiles et administratives listées ci-dessus, les infractions à la Loi n°2008-12 du 25 janvier 2008 sont prévues et réprimées par le code pénal ainsi que par la loi relative à la cybercriminalité.

✅ Avantage compétitif : il est donc indispensable de se mettre en conformité avec la Loi n°2008-12, cela d'autant plus que cela permet de vous démarquer de vos concurrents au niveau national et international. En effet, vous obtenez ainsi un avantage concurrentiel extrêmement positif, en termes de réputation et d'image de marque pour votre entreprise. Cela démontre notamment une gestion exemplaire des données personnelles traitées pour le compte de vos clients ainsi que le respect de mesures de sécurité et de confidentialité.

🚨 Les éléments listés ci-dessus ne constituent pas un conseil d'avocat. Afin d'avoir un avis juridique sur votre situation ou projet, nous vous recommandons de vous rapprocher d'un avocat.

📚 Pour aller plus loin

Pour aller plus loin, vous pouvez consulter les articles suivants :

📋 Vous souhaitez être accompagné·e ?

Vous recherchez un accompagnement juridique au Sénégal ?

Si vous souhaitez être accompagné·e sur vos sujets de données personnelles au Sénégal (déclarations CDP, autorisations, registres de traitement), remplissez ce questionnaire et nous reviendrons vers vous rapidement.

Formulaire : Je souhaite être accompagné juridiquement par ALF

Nous vous accompagnons juridiquement dans toutes vos problématiques liée au droit des affaires. Remplissez ce formulaire en ligne pour être immédiatement recontacté par nos équipes.

En remplissant ce formulaire de contact, African Legal Factory recueille et traite vos données à caractère personnel en tant que responsable de traitement afin de répondre à toutes vos interrogations. Vous disposez sur vos données d’un droit d’accès, de rectification, d’opposition, à l’effacement, à la limitation, à la portabilité et de donner des directives sur le sort de vos données après votre décès. Pour plus d’information relative au traitement de vos données personnelles veuillez consulter notre Politique de Confidentialité. [Politique de confidentialité]

Cookie	Duration	Description
__stripe_mid	1 an	Stripe installe ce cookie pour traiter les paiements.
__stripe_sid	30 minutes	Stripe installe ce cookie pour traiter les paiements.
_abck	1 an	Ce cookie est utilisé pour détecter et se défendre lorsqu'un client tente de rejouer un cookie. Ce cookie gère l'interaction avec les robots en ligne et prend les mesures appropriées.
ak_bmsc	2 heures	Ce cookie est utilisé par Akamai pour optimiser la sécurité du site en faisant la distinction entre les humains et les robots.
bm_sz	4 heures	Ce cookie est défini par le fournisseur Akamai Bot Manager. Ce cookie est utilisé pour gérer l'interaction avec les bots en ligne. Il contribue également à la prévention des fraudes.
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Analytique " .
cookielawinfo-checkbox-fonctionnel	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Fonctionnel".
cookielawinfo-checkbox-indispensable	1 an	Le cookie est défini par le plugin de consentement aux cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Indispensable ".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Nécessaire " .
cookielawinfo-checkbox-others	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie " Autres ".
CookieLawInfoConsent	1 an	Enregistre l'état du bouton par défaut de la catégorie correspondante et l'état du CCPA. Il ne fonctionne qu'en coordination avec le cookie primaire.
redux_blast	3 jours	Ce cookie est nécessaire pour le fonctionnement de certains éléments de thèmes WordPress qui font que le site web apparaît de la manière la plus optimale pour l'appareil du visiteur.

Cookie	Duration	Description
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données relatives aux visiteurs, aux sessions et aux campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke les informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_ga_5BN1MYEN2Y	2 ans	Ce cookie est installé par Google Analytics.
_gat_gtag_UA_157972103_1	1 minute	Défini par Google pour distinguer les utilisateurs.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la manière dont les visiteurs utilisent un site Web, tout en créant un rapport analytique des performances du site. Parmi les données collectées figurent le nombre de visiteurs, leur provenance et les pages qu'ils visitent de manière anonyme.
CONSENT	2 ans	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
last_pys_landing_page	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
last_pysTrafficSource	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_first_visit	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_landing_page	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_session_limit	1 heure	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_start_session	session	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.

Cookie	Duration	Description
_mcid	1 an	Il s'agit d'un cookie de fonctionnalité Mailchimp utilisé pour évaluer l'interaction UI/UX avec sa plateforme.
bm_sv	session	Ce cookie est nécessaire pour la fonction de cache d'Akamai. Un cache est utilisé par le site web pour optimiser le temps de réponse entre le visiteur et le site web. Le cache est généralement stocké sur le navigateur du visiteur. Les résultats de la bande passante de l'utilisateur sont stockés dans ce cookie afin de s'assurer que le test de bande passante n'est pas répété pour le même utilisateur à plusieurs reprises pour la fonction de cache Akamai.
cookies.js	session	Aucune description disponible.
m	2 ans	Ce cookie est installé par stripe.
mailchimp_landing_site	1 mois	Ce cookie est placé par MailChimp pour enregistrer la page que l'utilisateur a visitée pour la première fois.
pysTrafficSource	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
stm_lms_courses_watched	2 ans 5 mois 17 jours	Pas de description
wmc_current_currency	1 jour	enregistrer les paramètres de la devise.
wp_woocommerce_session_b80c8f798ec84ed7476594d4acafc57c	2 jours	Contient un code unique pour chaque client afin de savoir où trouver les données du panier dans la base de données pour chaque client.

Comprendre la protection des données personnelles au Sénégal

Introduction : la loi n°2008-12 au Sénégal

À qui la loi n°2008-12 s'applique-t-elle ?

Qu'est-ce qu'une donnée personnelle au sens de la loi sénégalaise ?

Comment déterminer si ma startup réalise un traitement de données personnelles ?

Quelles sont les formalités préalables à respecter ?

La déclaration préalable lors d'un traitement à caractère personnel

L'autorisation préalable à obtenir auprès de la CDP

Quelles sont les obligations vis-à-vis des consommateurs et clients ?

1. Collecte des données personnelles

2. Obtention du consentement

3. Sécurité et confidentialité

4. Accès aux données personnelles

5. Violation des données personnelles

6. Sous-traitants

Besoin d'aide pour déclarer vos traitements de données au Sénégal ?

Qu'est-ce que la CDP ?

Pouvoirs et attributions de la CDP

Missions principales de la CDP

Mesures en cas de non-respect de la Loi 2008-12

Qui sont les personnes responsables au sein de l'entreprise ?

Les obligations du responsable de traitement

Les obligations du sous-traitant

Qu'est-ce que le Délégué à la Protection des Données (DPO) ?

Quelles sont les sanctions applicables en cas de violation ?

📚 Pour aller plus loin

Vous recherchez un accompagnement juridique au Sénégal ?

Articles liés sur les données personnelles en Afrique

Protection des données personnelles au Burkina Faso

Protection des données personnelles au Maroc

Typologies des levées de fonds en Afrique

Autorisations préalables pour lancer une fintech

Formulaire : Je souhaite être accompagné juridiquement par ALF