Fait partie de notre série Compliance & Regulation
Lire le guide completNigeria NDPR : Conformité à la réglementation sur la protection des données
Le Nigéria possède la plus grande économie et le pays le plus peuplé d’Afrique, ce qui en fait un marché essentiel pour les entreprises du continent. Le cadre nigérian de protection des données a connu des évolutions significatives : depuis le règlement nigérian sur la protection des données (NDPR) publié par l'Agence nationale de développement des technologies de l'information (NITDA) en janvier 2019, jusqu'à la loi nigériane sur la protection des données de 2023 (NDPA) — promulguée le 14 juin 2023 — qui a établi la Commission nigériane de protection des données (NDPC) en tant qu'autorité indépendante de protection des données et a élevé la protection des données au rang de loi statutaire.
Comprendre à la fois le NDPR (qui reste pertinent pour la conformité transitoire) et le nouveau cadre NDPA 2023 est essentiel pour toute organisation ayant des opérations, des employés ou des clients au Nigeria.
Points clés à retenir
- La loi nigériane sur la protection des données de 2023 (NDPA) remplace la NDPR et établit la NDPC en tant qu'autorité de contrôle indépendante.
- La NDPA s'applique au traitement des données personnelles au Nigeria et à l'extérieur du territoire où des biens/services sont proposés aux Nigérians ou où le comportement des individus nigérians est surveillé.
- Il existe six bases juridiques de traitement, le consentement étant la base principale des données des consommateurs
- Les données personnelles sensibles (santé, biométrie, race, religion, opinions politiques, orientation sexuelle) nécessitent un consentement explicite avec des exceptions limitées
- Les « sous-traitants » et les « responsables du traitement des données d'importance majeure » sont soumis à des obligations supplémentaires spécifiques, notamment des exigences d'audit et de dépôt de conformité.
- Les restrictions sur les transferts transfrontaliers nécessitent un caractère adéquat, des garanties appropriées ou un consentement
- La NDPC peut imposer des amendes allant jusqu'à 2 % du revenu brut annuel ou 10 millions de ₦, selon le montant le plus élevé, pour des violations générales ; jusqu'à 50 millions de ₦ pour les violations graves
- Tous les contrôleurs de données doivent effectuer des audits annuels de protection des données avec des auditeurs agréés NITDA
Le cadre de protection des données du Nigeria
Du NDPR au NDPA
NDPR 2019 (Règlement nigérian sur la protection des données) : publié dans le cadre du mandat de la NITDA, et non comme une loi formelle du Parlement. Appliqué aux personnes physiques et entités traitant les données personnelles des résidents nigérians. Établissement de principes de base en matière de protection des données, de droits individuels et d'exigences de conformité, y compris des audits annuels obligatoires par des auditeurs agréés par la NITDA.
NDPA 2023 (Nigeria Data Protection Act) : promulguée par l'Assemblée nationale et signée par le président le 14 juin 2023. Établit la NDPC en tant qu'organe statutaire indépendant ; élève les obligations en matière de protection des données au rang de législation primaire ; introduit de nouveaux droits et obligations; s'aligne plus étroitement sur le RGPD ; remplace les dispositions contradictoires du NDPR.
Transition : la NDPC a indiqué que les mécanismes et les directives de conformité du NDPR restent applicables pendant la période de transition. Les organisations qui étaient conformes à la NDPR devraient consulter la NDPA pour connaître les obligations supplémentaires.
Portée de la NDPA
La NDPA s’applique à :
- Traitement des données personnelles au Nigeria
- Traitement des données personnelles par des entités nigérianes, quel que soit le lieu où le traitement a lieu
- Traitement par des entités étrangères où des biens/services sont proposés à des particuliers au Nigeria, ou où le comportement de particuliers au Nigeria est surveillé
Définitions clés et catégories de données
Données personnelles : toute information relative à une personne identifiable — directement ou indirectement identifiable par référence à un nom, un numéro d'identification, des données de localisation ou un ou plusieurs facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale.
Données personnelles sensibles (Annexe 1 de la NDPA) : Nécessite une protection renforcée et un consentement explicite. Les catégories comprennent :
- Données génétiques ou biométriques
- Dossiers de santé ou médicaux
- Race ou origine ethnique
- Croyances religieuses ou politiques
- Affiliation syndicale
- Orientation ou activités sexuelles
- Données concernant un enfant
Données sur les enfants : des protections spécifiques s'appliquent aux données des enfants (définis comme des personnes de moins de 18 ans en vertu de la loi nigériane). Consentement parental ou tuteur requis pour le traitement des données personnelles des enfants. Des mécanismes de consentement parental vérifié doivent être mis en œuvre pour les services en ligne destinés aux enfants.
Bases légales du traitement
L’article 25 de la NDPA établit six bases juridiques :
-
Consentement : indication d'accord libre, spécifique, éclairée et sans ambiguïté. Doit être retirable à tout moment sans préjudice.
-
Contrat : Traitement nécessaire à l'exécution d'un contrat avec la personne concernée ou à l'exécution de mesures à la demande de la personne concernée avant de conclure un contrat.
-
Obligation légale : Traitement nécessaire au respect d'une obligation légale du responsable du traitement.
-
Intérêts vitaux : Traitement nécessaire à la protection des intérêts vitaux de la personne concernée ou d'une autre personne.
-
Intérêt public : Traitement nécessaire à l'exécution d'une mission effectuée dans l'intérêt public ou à l'exercice d'un mandat public officiel conféré au responsable du traitement.
-
Intérêts légitimes : traitement nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou un tiers, sauf lorsque les droits et libertés fondamentaux de la personne concernée l'emportent. (Remarque : cette base ne peut pas être invoquée par une autorité publique dans l’accomplissement de ses tâches.)
Exigences en matière de consentement : doivent être spécifiques à chaque finalité de traitement ; donné librement (aucune condition du contrat au consentement à un traitement non essentiel) ; enregistré et démontrable ; aussi facile à retirer qu'à donner. Les cases pré-cochées, le silence ou l'inactivité ne constituent pas un consentement valable.
Droits des personnes concernées
La NDPA accorde aux individus les droits suivants, pouvant être exercés sans délai injustifié auprès du responsable du traitement :
| Droite | Norme | Remarques |
|---|---|---|
| Droit d'être informé | Au moment ou avant la collecte | Avis de collecte requis |
| Droit d'accès | Sans retard injustifié | Peut demander une copie des données détenues |
| Droit de rectification | Sans retard injustifié | Corriger les données inexactes ou incomplètes |
| Droit à l'effacement | Sans retard injustifié | Lorsque les conditions de traitement ne s'appliquent plus |
| Droit de restreindre le traitement | Sans retard injustifié | Lorsque l'exactitude est contestée ou qu'une objection est en cours |
| Droit à la portabilité des données | Sans retard injustifié | Format lisible par machine, techniquement réalisable |
| Droit d'opposition | Sans retard injustifié | S'opposer au traitement fondé sur des intérêts légitimes ou l'intérêt public |
| Droits re. décisions automatisées | Sans retard injustifié | S'opposer aux décisions automatisées importantes ; demander un examen humain |
Délai de réponse : la NDPA exige des réponses « sans délai indu » — les directives de la NDPC indiquent 30 jours comme norme raisonnable, avec une extension à 60 jours pour les demandes complexes si la personne concernée est informée dans les 30 premiers jours.
Obligations du contrôleur
Avis de confidentialité
Les contrôleurs doivent fournir des informations de confidentialité au moment ou avant la collecte :
- Identité et coordonnées du responsable du traitement
- Coordonnées du délégué à la protection des données (le cas échéant)
- Finalités et bases juridiques du traitement
- Destinataires ou catégories de destinataires des données personnelles
- Transferts vers des pays tiers et garanties
- Durées de conservation ou critères permettant de les déterminer
- Droits des personnes concernées et comment les exercer
- Droit de retirer le consentement (lorsque le consentement est la base)
- Droit de déposer une plainte auprès de la NDPC
Langue : les avis de confidentialité pour les opérations nigérianes doivent être en anglais (la langue officielle du Nigéria) et peuvent devoir inclure des traductions vernaculaires pour les produits destinés aux consommateurs dans les zones comptant d'importantes populations non anglophones.
Délégué à la protection des données (DPD)
La NDPA exige la nomination d’un DPO pour :
- Titulaires de données ou sous-traitants d'importance majeure (définis comme ceux qui traitent les données de plus de 10 000 personnes concernées par mois, ou qui traitent des données sensibles en tant qu'activité principale)
- Pouvoirs publics
Responsabilités du DPO :
- Informer et conseiller sur les obligations en matière de protection des données
- Surveiller le respect de la NDPA et des politiques internes
- Agir en tant que point de contact pour les personnes concernées et le NDPC
- Coopérer avec les enquêtes du NDPC
Audit annuel de protection des données
L'une des exigences de conformité les plus distinctives du Nigéria : tous les contrôleurs de données doivent effectuer et déposer un audit annuel de protection des données auprès de la NDPC (anciennement NITDA sous NDPR). L’audit doit être effectué par une organisation de conformité à la protection des données (DPCO) agréée par le NITDA. Le DPCO publie un rapport d'audit couvrant les pratiques de protection des données du responsable du traitement, les lacunes en matière de conformité et les recommandations de mesures correctives. Celui-ci doit être déposé auprès du NDPC chaque année.
La portée de l'audit couvre :
- Inventaire des données et cartographie des flux
- Documentation de base légale
- Adéquation de la déclaration de confidentialité
- Mesures de sécurité
- Procédures relatives aux droits des personnes concernées
- Conformité des transferts transfrontaliers
- Procédures de notification des violations
- Formation du personnel
Coût : Les frais d'audit varient selon le DPCO ; attendez-vous à plus de 500 000 ₦ à 5 000 000 ₦ en fonction de la taille et de la complexité de l'organisation.
Évaluations d'impact sur la protection des données (DPIA)
L'article 30 exige des DPIA pour les activités de traitement à haut risque, notamment :
- Évaluation systématique des aspects personnels à l'aide de traitements automatisés, de profilages ou de prédictions
- Traitements à grande échelle de données personnelles sensibles
- Surveillance systématique des zones accessibles au public à grande échelle
Exigences de sécurité
L'article 38 de la NDPA exige des mesures de sécurité techniques et organisationnelles adaptées au risque. La NDPC et la NITDA ont publié des directives techniques précisant :
Mesures techniques minimales :
- Cryptage des données personnelles en stockage et transmission (TLS pour la transmission, AES-256 pour les données sensibles)
- Contrôle d'accès avec authentification et moindre privilège
- Pseudonymisation lorsque cela est possible
- Pistes d'audit du système et journaux d'accès
- Tests de sécurité réguliers (au moins une fois par an)
- Capacités de détection et de réponse aux incidents
- Sauvegarde et récupération sécurisées
Mesures organisationnelles minimales :
- Politiques de confidentialité et de sécurité documentées
- Formation du personnel sur les obligations en matière de protection des données
- Cadre de classification des données
- Évaluations de la sécurité des fournisseurs/processeurs
- Contrôles de sécurité physique des installations de traitement de données
Transferts de données transfrontaliers
L'article 43 de la NDPA restreint les transferts de données personnelles en dehors du Nigéria. Mécanismes autorisés :
- Décision d'adéquation du NDPC : Transfert vers un pays déterminé par le NDPC comme offrant une protection des données adéquate
- Garanties appropriées : Transfert sous garanties accordant des droits exécutoires aux personnes concernées, notamment :
- Instrument juridiquement contraignant entre les autorités publiques
- Règles d'entreprise contraignantes
- Clauses contractuelles types approuvées par NDPC
- Mécanisme de certification avec engagements contraignants
- Consentement explicite : consentement éclairé de la personne concernée concernant le transfert proposé, les risques et l'absence de décision ou de garanties adéquates
- Nécessité du contrat : transfert nécessaire au contrat entre la personne concernée et le responsable du traitement
- Intérêts vitaux : Protection des intérêts vitaux lorsque le consentement ne peut être obtenu
- Intérêt public : Transfert nécessaire pour un intérêt public important
Déterminations d'adéquation du NDPC : La Commission développe son cadre d'adéquation. Début 2026, aucune décision formelle d’adéquation n’avait été publiée. Les clauses contractuelles types constituent le mécanisme recommandé pour les transferts transfrontaliers de routine pendant que le cadre adéquat mûrit.
Notification de violation
L’article 40 de la NDPA exige la notification des violations de données personnelles :
Notification à NDPC : Dans les 72 heures suivant la prise de conscience d'une violation susceptible d'entraîner un risque pour les droits et libertés des individus.
Notification aux personnes concernées : sans retard injustifié, lorsque la violation est susceptible d'entraîner un risque élevé pour leurs droits et libertés.
Contenu de la notification à NDPC :
- Nature de la violation et catégories/nombre approximatif de personnes concernées
- Catégories et nombre approximatif d'enregistrements de données personnelles concernés
- Coordonnées du DPO
- Conséquences probables de la violation
- Mesures prises ou proposées pour remédier à la violation, y compris des mesures visant à atténuer les effets négatifs
Documentation : toutes les violations (même celles qui ne nécessitent pas de notification) doivent être documentées en interne avec les faits, les effets et les actions correctives.
Application et sanctions du NDPC
La Nigeria Data Protection Commission (NDPC) est une agence gouvernementale indépendante créée en vertu de la NDPA 2023. Ses pouvoirs comprennent :
- Réception et instruction des plaintes
- Réalisation d'audits (planifiés et inopinés)
- Émission des avis de conformité
- Imposer des sanctions administratives
- Signaler les infractions pénales au procureur général
Sanctions administratives :
| Catégorie d'infraction | Pénalité maximale |
|---|---|
| Violations générales des obligations de la NDPA | 2 % du chiffre d'affaires brut annuel ou 10 millions de ₦, selon le montant le plus élevé |
| Violations graves (données sensibles, données des enfants, transferts transfrontaliers) | 2 % du chiffre d'affaires brut annuel ou 50 millions de ₦, selon le montant le plus élevé |
| Violations répétées dans les 24 mois | Pénalité doublée |
Sanctions pénales : La NDPA prévoit la responsabilité pénale pour certaines violations, notamment le commerce illégal de données personnelles. L'article 48 de la NDPA prévoit des sanctions pénales, notamment l'emprisonnement.
Historique de l'application de la NITDA : en vertu du NDPR, la NITDA a imposé des amendes, notamment : Spenmo Technologies (10 millions de ₦), Julius Berger Nigeria (10 millions de ₦), Integrated Corporate Services Limited (4 millions de ₦). Celles-ci démontrent une application active s’étendant aux entreprises nationales et internationales opérant au Nigeria.
Liste de contrôle de conformité NDPA
- Applicabilité de la NDPA confirmée (opérations au Nigeria, clients/employés nigérians)
- Inventaire des données personnelles terminé
- Données personnelles sensibles identifiées — consentement explicite obtenu
- Données sur les enfants identifiées — mécanismes de consentement parental mis en œuvre
- Base juridique documentée pour chaque activité de traitement
- Avis de confidentialité préparé en anglais avec toutes les informations requises
- DPO nommé si nécessaire (plus de 10 000 personnes concernées/mois ou activité principale de données sensibles)
- Audit annuel de protection des données prévu avec un DPCO agréé NITDA
- Procédures relatives aux droits des personnes concernées documentées
- Évaluation des transferts transfrontaliers terminée — CSC ou autre mécanisme en place
- Mesures de sécurité mises en œuvre (cryptage, contrôle d'accès, journalisation d'audit)
- DPIA réalisée pour les activités de traitement à haut risque
- Procédure de notification de violation documentée (notification NDPC de 72 heures)
- Formation des employés sur les obligations de la NDPA terminée
- Accords de sous-traitant (accords de traitement des données) examinés et mis à jour
Questions fréquemment posées
Le NDPR est-il toujours pertinent maintenant que le NDPA 2023 a été promulgué ?
La NDPA 2023 remplace les dispositions contradictoires de la NDPR. Cependant, la NDPC a indiqué que les orientations et les mécanismes de conformité du NDPR restent applicables pendant la période de transition. Il est important de noter que l'exigence d'un audit annuel – l'une des caractéristiques les plus distinctives du NDPR – est maintenue dans le cadre de la NDPA. Les organisations qui ont construit leurs programmes de conformité autour du NDPR devraient examiner le NDPA pour connaître les obligations nouvelles ou renforcées, en particulier concernant les droits des personnes concernées, les données sensibles, les transferts transfrontaliers et l'exigence du DPO.
Qu'est-ce qu'une organisation de conformité à la protection des données (DPCO) et pourquoi en ai-je besoin ?
Un DPCO est une organisation agréée par NITDA/NDPC pour fournir des services d’audit et de conformité en matière de protection des données. L’audit annuel de protection des données requis par la loi nigériane doit être effectué par un DPCO agréé – l’auto-évaluation à elle seule ne satisfait pas à cette exigence. Les DPCO examinent vos pratiques de protection des données, émettent un rapport de conformité et déposent l'audit auprès du NDPC en votre nom. Une liste des DPCO agréés est disponible sur les sites Web du NITDA et du NDPC. Pour les entreprises étrangères ayant des activités au Nigeria, l’engagement d’un DPCO est essentiel pour respecter l’obligation d’audit annuel.
Que signifie « responsable du traitement d'importance majeure » et quelles sont les obligations supplémentaires ?
Les responsables du traitement des données d'importance majeure sont définis comme ceux qui traitent les données personnelles de plus de 10 000 personnes concernées par mois, ou qui traitent des données personnelles sensibles dans le cadre de leur activité principale. Les obligations supplémentaires pour ces entités comprennent : la nomination obligatoire d'un DPO, l'enregistrement auprès du NDPC (distincte du registre de type VERBİS), des exigences d'audit annuelle renforcées et d'éventuels dépôts de conformité supplémentaires. Les moyennes et grandes entreprises de commerce électronique, les sociétés de services financiers, les plateformes de santé et les opérateurs de télécommunications sont susceptibles d’être considérées comme des contrôleurs de données d’importance majeure.
Comment la NDPA du Nigéria se compare-t-elle au RGPD ?
La NDPA s'appuie largement sur la structure et le contenu du RGPD : six bases juridiques, les mêmes catégories de données sensibles (plus les données biométriques et génétiques), les droits similaires des personnes concernées, les exigences du DPO, les obligations DPIA et la notification des violations. Principales différences : (1) l'audit externe annuel obligatoire du Nigéria n'a pas d'équivalent au RGPD ; (2) les déterminations d'adéquation du NDPC sont moins développées que le cadre d'adéquation de la Commission européenne ; (3) l'infrastructure d'application du droit du Nigeria est plus récente et encore en développement ; (4) Les sanctions de la NDPA sont généralement inférieures en termes absolus aux maximums du RGPD pour les grandes entreprises ; (5) Les règles du Nigeria en matière de transferts transfrontaliers sont structurées de manière similaire au RGPD, mais les mécanismes spécifiques diffèrent dans leur mise en œuvre.
La NDPA s'applique-t-elle aux entreprises nigérianes opérant à l'étranger ?
Oui. La NDPA s'applique aux entités nigérianes, quel que soit le lieu où le traitement a lieu. Une entreprise nigériane disposant d'une infrastructure cloud offshore, de filiales à l'étranger ou d'opérations internationales reste soumise à la NDPA pour le traitement des données des individus nigérians. À l’inverse, les entités étrangères traitant les données des Nigérians au Nigéria ou offrant des biens/services aux Nigérians sont également soumises aux dispositions extraterritoriales de la NDPA. Cela crée une double obligation pour les multinationales nigérianes : le respect de la NDPA pour les données nigérianes et le respect des lois de chaque pays où elles opèrent.
Prochaines étapes
Le paysage de la protection des données au Nigeria évolue rapidement, avec la NDPA 2023 établissant un cadre statutaire plus solide et la NDPC renforçant les capacités d'application. Pour les entreprises ayant des activités au Nigeria – qu'il s'agisse d'entreprises locales ou d'entreprises internationales servant le marché nigérian – il est essentiel d'élaborer un programme de conformité complet qui satisfait à la fois à la NDPA et aux exigences continues de la NDPR.
ECOSIRE aide les entreprises opérant en Afrique à se conformer aux exigences de conformité de la NDPA du Nigeria, à mettre en œuvre la protection des données dès la conception et à établir les cadres de gouvernance requis par la NDPC.
En savoir plus : Services ECOSIRE
Avertissement : ce guide est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Le cadre de protection des données du Nigeria évolue à mesure que la NDPC publie des directives et des réglementations en matière de mise en œuvre. Consultez un conseiller juridique nigérian qualifié pour obtenir des conseils spécifiques à votre organisation.
Rédigé par
ECOSIRE Research and Development Team
Création de produits numériques de niveau entreprise chez ECOSIRE. Partage d'analyses sur les intégrations Odoo, l'automatisation e-commerce et les solutions d'entreprise propulsées par l'IA.
Articles connexes
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Plus de Compliance & Regulation
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.