Données personnelles · Burkina Faso · Guide complet 2026

Comprendre la protection des données personnelles au Burkina Faso

🔎 Tout savoir sur la CIL, la loi n°001-2021 sur les données personnelles au Burkina Faso, les droits des citoyens et les risques pour les entreprises en cas de non-conformité. Formalités préalables, sanctions, amendes — tout ce qu'il faut savoir.

✍️ Par André Agbevor 📅 Publié le 15 janvier 2024 🔄 Mis à jour le 21 mai 2026 ⏱ 15 min de lecture

Protection des données personnelles au Burkina Faso - CIL loi 001-2021 conformité

Introduction : la loi n°001-2021 au Burkina Faso

Déclarer vos traitements de données personnelles auprès de la Commission de l'informatique et des libertés (« CIL ») est obligatoire au Burkina Faso si votre startup traite des données à caractère personnel.

La loi n°001-2021/AN portant protection des personnes à l'égard du traitement des données à caractère personnel en date du 30 mars 2021 (la « Loi n°001-2021 ») prévoit en effet des obligations à votre charge lorsque vous traitez des données personnelles ou des données sensibles. Elle a pour objet de protéger les droits et libertés fondamentaux des personnes physiques en matière de traitement de leurs données à caractère personnel.

Qu'est-ce qu'un traitement de données personnelles ? Quel formulaire remplir ? Quelles sont mes autres obligations en qualité de startup en application de cette Loi n°001-2021 ? Si vous ne savez pas répondre à ces questions, cet article élargira considérablement vos connaissances sur le sujet.

👉 Si votre startup opère dans plusieurs pays africains, consultez aussi nos articles sur la protection des données au Maroc (CNDP) et au Sénégal (CDP).

À qui la loi n°001-2021 s'applique-t-elle ?

La Loi n°001-2021 s'applique :

aux traitements automatisés ou non de données à caractère personnel, dont le responsable de traitement ou sous-traitant est établi au Burkina Faso ou sans y être établi, relève du Burkina Faso selon le droit international public ;
au responsable de traitement ou au sous-traitant non établi sur le territoire du Burkina Faso, qui met en œuvre des opérations de traitement à partir du territoire national, à l'exclusion des données de transit.

Autrement dit, la Loi n°001-2021 vous est applicable si votre responsable de traitement est basé au Burkina Faso et traite des données à caractère personnel (noms, adresses, numéros de téléphone de vos clients). S'il n'est pas basé au Burkina Faso, il peut relever du Burkina Faso en vertu d'une convention internationale qu'aurait par exemple ratifié le Burkina Faso.

À qui la loi ne s'applique-t-elle pas ?

La Loi n°001-2021 ne s'applique pas :

aux traitements effectués par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques ;
aux copies temporaires qui sont faites dans le cadre des activités techniques de transmission et de fourniture d'accès à un réseau numérique en vue du stockage automatique intermédiaire et transitoire des données aux seules fins de permettre aux autres destinataires du service, le meilleur accès possible aux informations, sauf en ce qui concerne leur mise à jour et leur sécurité ;
aux traitements de données à caractère personnel effectués aux seules fins littéraires et artistiques ou de journalisme, dans le respect des règles déontologiques et éthiques de ces professions, des mesures de sécurité assurant le secret des sources journalistiques, ainsi que des règles de modération applicables aux forums de discussion mis en œuvre par des éditeurs d'informations journalistiques.

Qu'est-ce que la protection de données à caractère personnel ?

Qu'est-ce qu'une donnée personnelle au sens de la loi burkinabè ?

D'après l'article 5 de la Loi n°001-2021, une donnée personnelle désigne :

Article 5 — Définition légale

« Toutes informations relatives à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un numéro d'identification, à un ou plusieurs élément(s) propre(s) à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique. »

Cela peut inclure par exemple les informations suivantes : nom, adresse, numéro de téléphone, adresse e-mail, date de naissance, lieu de travail, habitudes d'achat, données de localisation, etc.

Comment déterminer si ma startup réalise un traitement de données personnelles ?

Aux termes de l'article 5 de la Loi n°001-2021, un traitement des données à caractère personnel désigne :

Définition du traitement

« Toute opération ou ensemble d'opérations effectuée à l'aide de procédés automatisés ou non et appliquée à des données à caractère personnel, tels que la collecte, l'organisation, la conservation, l'adaptation, la modification, la sauvegarde, la copie, la consultation, l'enregistrement, l'extraction, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, le verrouillage, le cryptage, l'effacement ou la destruction. »

Vous pouvez donc (sous réserve de quelques exceptions) être considéré comme réalisant un traitement de données personnelles si vous réalisez une des opérations visées ci-dessus.

Quelles sont les obligations à respecter ?

Catégories de traitements exemptées de formalités préalables

Vous êtes exemptés de formalités préalables auprès de la CIL pour les traitements de données personnelles :

dont la finalité particulière se limite à assurer la conservation de documents d'archives ;
mis en œuvre par une association ou tout organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical, dès lors que ces traitements correspondent à l'objet de cette association ou de cet organisme, qu'ils ne concernent que leurs membres et qu'ils ne doivent pas être communiqués à des tiers sans leur consentement.

Quelles sont les formalités préalables à respecter ?

Le traitement de données à caractère personnel (sous réserve des exemptions ci-dessus) est préalablement soumis à l'une des 4 formalités suivantes :

Demande d'avis

Pour les traitements nécessitant un avis préalable de la CIL.

Demande d'autorisation

Pour les traitements sensibles ou à risque élevé.

Déclaration normale

Régime de droit commun pour la plupart des traitements.

Déclaration simplifiée

Pour certains traitements standards préalablement définis.

Comment déterminer la formalité applicable ?

Vous devez soit :

Effectuer une déclaration normale si le traitement de données envisagé ne nécessite pas (i) une autorisation ou (ii) un acte législatif ou réglementaire ou n'entre pas dans le périmètre des traitements exemptés.
Obtenir une autorisation préalable si le traitement envisagé porte sur :
- des données génétiques ou biométriques dans le secteur privé et sur la recherche dans le domaine de la santé ;
- des données relatives aux infractions, condamnations ou mesures de sûreté dans le secteur privé ;
- une interconnexion de fichiers ;
- un numéro national d'identification ou tout autre identifiant de la même nature dans le secteur public ou privé ;
- des données biométriques dans le secteur privé ;
- des données ayant un motif d'intérêt public, notamment ceux destinés à des fins historiques, statistiques ou scientifiques ;
- l'aide à la décision administrative ou privée, impliquant une appréciation sur un comportement humain, donnant une définition du profil ou de la personnalité de l'intéressé ou reposant sur des techniques d'intelligence artificielle à des fins prédictives ;
- les transferts de données vers un pays étranger.
Obtenir une décision prise par acte législatif ou réglementaire lorsque les traitements des données sont opérés pour le compte d'un acteur public (État, établissement public, collectivité territoriale) ou d'une personne morale de droit privé gérant un service public. Il s'agit des traitements qui portent sur :
- la sûreté de l'État, la défense ou la sécurité publique ;
- la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté ;
- le recensement de la population ;
- les données à caractère personnel qui révèlent les convictions ou activités religieuses, philosophiques, politiques, syndicales, ethniques, la vie sexuelle, la race, la santé et les mœurs, les données génétiques ou biométriques, les mesures d'ordre social, les poursuites, les sanctions pénales ou administratives ;
- le traitement de salaires, pensions, impôts, taxes et autres liquidations.

Quelle que soit la démarche qui vous est applicable, votre startup doit respecter la procédure mise en place par la CIL.

Contenu et modalités de la déclaration préalable

La déclaration préalable peut être adressée à la CIL par voie électronique ou sur support papier. Elle doit préciser les informations que vous trouverez sur le site internet de la CIL.

Délai pour l'obtention du récépissé

Sauf décision particulière de celle-ci, le récépissé de déclaration est délivré sans délai. Dès réception de ce récépissé, le demandeur peut mettre en œuvre le traitement de données à caractère personnel. Toutefois, il n'est exonéré d'aucune de ses responsabilités prévues par la Loi.

📋 Vous souhaitez être accompagné·e ?

Besoin d'aide pour déclarer vos traitements de données au Burkina Faso ?

Si vous souhaitez être accompagné·e dans vos formalités auprès de la CIL, remplissez ce questionnaire et nous reviendrons vers vous rapidement.

Qu'est-ce que la CIL ?

Au Burkina Faso, la protection des données personnelles est assurée par la CIL (Commission de l'informatique et des libertés), créée en vertu de la Loi n°001-2021.

La CIL est l'autorité de contrôle chargée de veiller au respect des dispositions de la Loi n°001-2021, notamment en :

informant toutes les personnes concernées et les responsables de traitements de leurs droits et obligations ;
contrôlant l'usage des technologies de l'information et de la communication appliqué aux traitements des données à caractère personnel.

📌 Statut juridique : la CIL est une autorité administrative indépendante dotée de l'autonomie administrative et de gestion. Elle dispose d'un pouvoir réglementaire et d'un pouvoir de sanction.

Pouvoirs et attributions de la CIL

Missions de la CIL

La CIL dispose de plusieurs pouvoirs et attributions pour s'acquitter de sa mission. Elle s'assure que l'utilisation des technologies de l'information et de la communication à des fins de traitement de données à caractère personnel ne comporte aucune menace aux libertés individuelles ou publiques et à la vie privée.

La CIL peut, en cas de besoin, charger ses membres, assistés des agents et, le cas échéant, d'experts, de procéder sur place à des missions de vérifications et de contrôles à l'égard de tout traitement de données à caractère personnel.

Mesures que peut prendre la CIL en cas de non-respect

En cas de violation de la Loi n°001-2021, la CIL peut prendre les sanctions administratives suivantes :

Avertissement ;
Mise en demeure ;
Injonction de cesser le traitement de données effectué ;
Verrouillage de certaines données à caractère personnel ;
Amende forfaitaire ;
Retrait de l'autorisation.

Les manquements aux dispositions de la Loi sont punis par le code pénal en ses dispositions qui traitent des infractions en matière informatique et au moyen des technologies de l'information et de la communication.

⚠️ Référé d'urgence : en cas d'atteinte grave et immédiate aux droits des personnes concernées, le Président de la CIL ou la personne dont les droits et libertés sont violés peut demander par voie de référé à la juridiction compétente d'ordonner, le cas échéant et sous astreinte, toute mesure nécessaire à la sauvegarde de ces droits. Ces personnes peuvent demander réparation des dommages subis.

Manquements graves

Les actes suivants constituent des manquements graves :

collecte déloyale ou communication à un tiers non autorisé des données personnelles ;
collecte des données sensibles en violation des conditions légales ;
collecte ou utilisation des données personnelles ayant pour conséquence de provoquer une atteinte grave aux libertés et droits fondamentaux, y compris à l'intimité de la vie privée de la personne concernée.

Qui sont les responsables au sein de la startup ?

Au titre de la Loi n°001-2021, votre startup agit en qualité de :

Responsable du traitement si, seul ou conjointement avec d'autres, elle prend la décision de collecter et de traiter des données à caractère personnel, en détermine les finalités et les modalités de mise en œuvre ;
Sous-traitant, si elle traite des données pour le compte du responsable du traitement.

Il incombe au responsable de traitement ainsi qu'au sous-traitant de veiller au respect de l'obligation de sécurité et de confidentialité.

Obligations et devoirs du responsable du traitement

Le responsable du traitement est soumis aux obligations et devoirs suivants :

Obligation de déclaration préalable des traitements de données à caractère personnel ;
Obligation d'obtenir le consentement de la personne concernée ;
Devoir de légitimité et de licéité d'un traitement de données à caractère personnel ;
Devoir d'informer la personne concernée ;
Devoir de sécurité des traitements de données à caractère personnel.

Pour aller plus loin, vous pouvez consulter le détail de ces obligations sur le site internet de la CIL.

Relation entre responsable du traitement et sous-traitant

Lorsque le traitement est mis en œuvre pour le compte du responsable de traitement, celui-ci doit choisir un sous-traitant qui apporte des garanties de protection suffisantes. Il doit conclure avec lui une convention précisant notamment les seules opérations de traitements autorisées et le sort des données à l'issue du contrat.

Qu'est-ce que le Délégué à la Protection des Données (DPO) ?

Tout responsable de traitement peut désigner au sein de son organisme un délégué à la protection des données (DPO) chargé d'assurer le respect des obligations prévues par la loi.

Quels risques si je ne respecte pas la loi ?

Les amendes pouvant être prononcées par la CIL à l'encontre de tout responsable de traitement ayant enfreint les dispositions de la Loi sont listées ci-après (liste non exhaustive) :

Infractions	Amendes (FCFA)
Entrave aux actions de la CIL, à travers les actes suivants : Opposition à l'exercice des missions de la CIL ; Refus de communiquer ou dissimulation à la CIL des renseignements et documents utiles à sa mission ; Communication à la CIL d'informations non conformes au contenu des enregistrements.	5 à 10 M
Traitement de données effectué sans (i) l'accomplissement des formalités légales ou (ii) en dehors des précautions utiles pour préserver la sécurité desdites données ; Conservation de données au-delà de la durée prévue dans la déclaration, la demande d'autorisation préalable à la mise en œuvre du traitement ; Collecte à l'occasion de leur enregistrement, classement, transmission de données dont la divulgation aurait pour effet de porter atteinte à l'honneur et à la considération de la personne concernée ou à l'intimité de sa vie privée et transmission, sans son autorisation, à un tiers qui n'a pas qualité pour les recevoir.	5 à 20 M
Détournement de la finalité d'une collecte ou d'un traitement de données à caractère personnel ; Collecte des données à caractère personnel par un moyen frauduleux, déloyal ou illicite.	5 à 100 M
Traitement de données à caractère personnel concernant une personne physique, malgré son opposition, lorsque cette opposition est fondée sur des raisons légitimes.	2 à 5 M
Le fait, hors les cas prévus par la loi, de mettre ou conserver en mémoire informatisée, sans l'accord exprès de la personne concernée, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, appartenances syndicales ou mœurs des personnes.	10 à 100 M

En outre, la CIL peut prononcer :

la confiscation de tous supports matériels des données à caractère personnel objet de la violation de la réglementation (fichiers manuels, disques et bandes magnétiques) ou ordonner l'effacement de ces données ;
l'interdiction au responsable de traitement condamné de gérer pour deux ans au maximum, tout traitement de données à caractère personnel.

✅ Avantage compétitif : il est indispensable de se mettre en conformité avec la Loi n°001-2021. Cela permet de vous démarquer de vos concurrents au niveau national et international. Vous obtenez ainsi un avantage concurrentiel extrêmement positif, en termes de réputation et d'image de marque pour votre entreprise. Cela démontre notamment une gestion exemplaire des données personnelles traitées pour le compte de vos clients ainsi que le respect de mesures de sécurité et de confidentialité.

👀 Pour aller plus loin

📋 Vous souhaitez être accompagné·e ?

Vous recherchez un accompagnement juridique au Burkina Faso ?

Si vous souhaitez être accompagné·e sur vos sujets de données personnelles au Burkina Faso (déclarations CIL, autorisations, transferts), remplissez ce questionnaire et nous reviendrons vers vous rapidement.

Formulaire : je souhaite déclarer mes traitements de données personnelles au Burkina Faso

Nous vous accompagnons afin de pouvoir déclarer mes traitements de données personnelles au Burkina Faso. Remplissez ce formulaire en ligne pour être immédiatement recontacté par nos équipes.

En remplissant ce formulaire de contact, African Legal Factory recueille et traite vos données à caractère personnel en tant que responsable de traitement afin de répondre à toutes vos interrogations. Vous disposez sur vos données d’un droit d’accès, de rectification, d’opposition, à l’effacement, à la limitation, à la portabilité et de donner des directives sur le sort de vos données après votre décès. Pour plus d’information relative au traitement de vos données personnelles veuillez consulter notre Politique de Confidentialité. [Politique de confidentialité]

Cookie	Duration	Description
__stripe_mid	1 an	Stripe installe ce cookie pour traiter les paiements.
__stripe_sid	30 minutes	Stripe installe ce cookie pour traiter les paiements.
_abck	1 an	Ce cookie est utilisé pour détecter et se défendre lorsqu'un client tente de rejouer un cookie. Ce cookie gère l'interaction avec les robots en ligne et prend les mesures appropriées.
ak_bmsc	2 heures	Ce cookie est utilisé par Akamai pour optimiser la sécurité du site en faisant la distinction entre les humains et les robots.
bm_sz	4 heures	Ce cookie est défini par le fournisseur Akamai Bot Manager. Ce cookie est utilisé pour gérer l'interaction avec les bots en ligne. Il contribue également à la prévention des fraudes.
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Analytique " .
cookielawinfo-checkbox-fonctionnel	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Fonctionnel".
cookielawinfo-checkbox-indispensable	1 an	Le cookie est défini par le plugin de consentement aux cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Indispensable ".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie " Nécessaire " .
cookielawinfo-checkbox-others	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie " Autres ".
CookieLawInfoConsent	1 an	Enregistre l'état du bouton par défaut de la catégorie correspondante et l'état du CCPA. Il ne fonctionne qu'en coordination avec le cookie primaire.
redux_blast	3 jours	Ce cookie est nécessaire pour le fonctionnement de certains éléments de thèmes WordPress qui font que le site web apparaît de la manière la plus optimale pour l'appareil du visiteur.

Cookie	Duration	Description
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données relatives aux visiteurs, aux sessions et aux campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke les informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_ga_5BN1MYEN2Y	2 ans	Ce cookie est installé par Google Analytics.
_gat_gtag_UA_157972103_1	1 minute	Défini par Google pour distinguer les utilisateurs.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la manière dont les visiteurs utilisent un site Web, tout en créant un rapport analytique des performances du site. Parmi les données collectées figurent le nombre de visiteurs, leur provenance et les pages qu'ils visitent de manière anonyme.
CONSENT	2 ans	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
last_pys_landing_page	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
last_pysTrafficSource	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_first_visit	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_landing_page	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_session_limit	1 heure	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
pys_start_session	session	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.

Cookie	Duration	Description
_mcid	1 an	Il s'agit d'un cookie de fonctionnalité Mailchimp utilisé pour évaluer l'interaction UI/UX avec sa plateforme.
bm_sv	session	Ce cookie est nécessaire pour la fonction de cache d'Akamai. Un cache est utilisé par le site web pour optimiser le temps de réponse entre le visiteur et le site web. Le cache est généralement stocké sur le navigateur du visiteur. Les résultats de la bande passante de l'utilisateur sont stockés dans ce cookie afin de s'assurer que le test de bande passante n'est pas répété pour le même utilisateur à plusieurs reprises pour la fonction de cache Akamai.
cookies.js	session	Aucune description disponible.
m	2 ans	Ce cookie est installé par stripe.
mailchimp_landing_site	1 mois	Ce cookie est placé par MailChimp pour enregistrer la page que l'utilisateur a visitée pour la première fois.
pysTrafficSource	7 jours	Cookie anonyme utilisé pour faciliter le plugin "PixelYourSite" qui gère nos services analytiques.
stm_lms_courses_watched	2 ans 5 mois 17 jours	Pas de description
wmc_current_currency	1 jour	enregistrer les paramètres de la devise.
wp_woocommerce_session_b80c8f798ec84ed7476594d4acafc57c	2 jours	Contient un code unique pour chaque client afin de savoir où trouver les données du panier dans la base de données pour chaque client.

Comprendre la protection des données personnelles au Burkina Faso

Introduction : la loi n°001-2021 au Burkina Faso

À qui la loi n°001-2021 s'applique-t-elle ?

À qui la loi ne s'applique-t-elle pas ?

Qu'est-ce que la protection de données à caractère personnel ?

Qu'est-ce qu'une donnée personnelle au sens de la loi burkinabè ?

Comment déterminer si ma startup réalise un traitement de données personnelles ?

Quelles sont les obligations à respecter ?

Catégories de traitements exemptées de formalités préalables

Quelles sont les formalités préalables à respecter ?

Demande d'avis

Demande d'autorisation

Déclaration normale

Déclaration simplifiée

Comment déterminer la formalité applicable ?

Contenu et modalités de la déclaration préalable

Délai pour l'obtention du récépissé

Besoin d'aide pour déclarer vos traitements de données au Burkina Faso ?

Qu'est-ce que la CIL ?

Pouvoirs et attributions de la CIL

Missions de la CIL

Mesures que peut prendre la CIL en cas de non-respect

Manquements graves

Qui sont les responsables au sein de la startup ?

Obligations et devoirs du responsable du traitement

Relation entre responsable du traitement et sous-traitant

Qu'est-ce que le Délégué à la Protection des Données (DPO) ?

Quels risques si je ne respecte pas la loi ?

👀 Pour aller plus loin

Vous recherchez un accompagnement juridique au Burkina Faso ?

Articles liés sur les données personnelles en Afrique

Protection des données personnelles au Maroc

Protection des données personnelles au Sénégal

Typologies des levées de fonds en Afrique

Autorisations préalables pour lancer une fintech

Formulaire : je souhaite déclarer mes traitements de données personnelles au Burkina Faso