La loi égyptienne sur la protection des données cesse d'être un exercice sur papier le 1er novembre 2026. Le Sénat kényan débat un projet de loi dédié à l'intelligence artificielle qui créerait un commissaire à l'IA habilité à infliger des amendes pouvant atteindre 5 millions de shillings. Le régulateur nigérian a déjà averti les responsables de traitement qu'un audit de conformité manqué peut coûter 10 millions de nairas ou 2 % du chiffre d'affaires annuel, le montant le plus élevé étant retenu. Pourtant, seuls 16 des 55 États membres de l'Union africaine ont ratifié le seul traité censé harmoniser l'ensemble, la Convention de Malabo, et aucune des quatre plus grandes économies du continent, l'Afrique du Sud, le Nigeria, le Kenya ou l'Égypte, n'en fait partie.
Cet écart entre l'ambition continentale et la réalité nationale est la caractéristique déterminante de la gouvernance de l'IA et des données en Afrique en 2026. Les équipes de conformité ne peuvent pas s'appuyer sur un corpus de règles unique comme cela devient de plus en plus le cas dans l'UE. Elles doivent au contraire suivre quatre ou cinq régimes nationaux évoluant à des rythmes différents, une stratégie de l'Union africaine encore en phase de démarrage, et un AI Act européen dont la portée extraterritoriale touche déjà des entreprises africaines qui servent des clients européens.
Rien de tout cela n'est théorique. Cela détermine si le modèle de notation de crédit d'une fintech de Lagos doit faire l'objet d'une analyse d'impact relative à la protection des données avant son lancement, si une entreprise de technologie médicale de Johannesburg peut continuer à vendre ses logiciels de diagnostic à un groupe hospitalier européen, et si le système automatisé de décision de crédit d'un prêteur de Nairobi devra bientôt répondre à un régulateur dédié à l'IA plutôt qu'à une simple autorité de protection des données.
Existe-t-il une loi africaine unique régissant l'IA et les données ?
Non. La stratégie continentale de l'Union africaine sur l'intelligence artificielle, approuvée par le Conseil exécutif à Accra les 18 et 19 juillet 2024, fixe une orientation politique plutôt que des règles contraignantes, et son propre calendrier de mise en œuvre prévoit une phase 1, consistant à bâtir des structures de gouvernance et des stratégies nationales, courant de 2025 à 2026, l'exécution des projets essentiels ne débutant qu'en 2028. Le seul instrument doté d'une véritable force juridique, la Convention de Malabo sur la cybersécurité et la protection des données personnelles, est entrée en vigueur le 8 juin 2023 après que la Mauritanie est devenue son quinzième État ratificateur, mais en 2026, seuls 16 des 55 membres de l'UA l'ont ratifiée. Les entreprises opérant à l'échelle transfrontalière en Afrique naviguent donc encore pays par pays dans le droit national, et non dans un régime continental harmonisé.
Que requiert en 2026 la loi nigériane sur la protection des données ?
La loi nigériane sur la protection des données de 2023 a conféré à la Commission nigériane de protection des données des pouvoirs d'application statutaires autonomes, renforcés par la directive générale d'application et de mise en œuvre entrée en vigueur en septembre 2025. Toute organisation classée comme responsable de traitement ou sous-traitant de données d'importance majeure doit s'enregistrer auprès de la Commission et déposer chaque année un rapport d'audit de conformité en matière de protection des données, normalement attendu au plus tard le 31 mars, bien que la Commission ait prolongé le cycle de dépôt 2025 jusqu'au 30 mai 2026. Les responsables ont indiqué que les sanctions pour un rapport d'audit manqué ou déficient peuvent désormais atteindre 10 millions de nairas ou 2 % du chiffre d'affaires annuel brut, le montant le plus élevé étant retenu, un net changement par rapport à la posture consultative de l'ancien règlement nigérian sur la protection des données. Il n'existe encore aucune loi spécifique à l'IA, si bien que la prise de décision automatisée impliquant des données personnelles est régie par les dispositions générales de la loi relatives au traitement licite et aux droits des personnes concernées.
L'Afrique du Sud encadre-t-elle l'IA, ou seulement les données ?
Seulement les données, pour l'instant, et même ces orientations restent minces en ce qui concerne l'IA. L'article 71 de la loi sur la protection des informations personnelles restreint les décisions fondées uniquement sur un traitement automatisé ayant des effets juridiques ou des effets similaires significatifs, une disposition structurellement proche de l'article 22 du RGPD, mais le régulateur de l'information sud-africain n'avait publié, début 2026, aucune orientation dédiée, aucune jurisprudence ni aucune position d'application sur ce point. Le régulateur a confirmé qu'il publiera des orientations sur les analyses d'impact relatives aux informations personnelles au cours de l'exercice 2026/27, destinées à servir également de cadre pour l'évaluation des risques liés à l'IA. Par ailleurs, le ministère des Communications et des Technologies numériques a ouvert son projet de politique nationale sur l'IA à consultation publique en avril 2026, proposant un modèle pangouvernemental dans lequel les régulateurs existants, le régulateur de l'information, l'ICASA, la Commission de la concurrence et les régulateurs financiers, conservent leurs mandats actuels et se coordonnent via un nouveau Forum national de réglementation de l'IA plutôt que par une autorité unique de l'IA. Les pouvoirs de sanction restent bien réels au titre de la loi elle-même : l'amende administrative maximale est de 10 millions de rands par infraction, et le régulateur de l'information a infligé sa première amende, 5 millions de rands, au ministère de la Justice et du Développement constitutionnel, en juillet 2023.
À quel point le Kenya est-il proche d'une loi dédiée à l'IA ?
Plus proche que la majeure partie du continent, mais pas encore là. Le projet de loi kényan sur l'intelligence artificielle de 2026, porté par la sénatrice Karen Nyamu, créerait un bureau indépendant du commissaire à l'intelligence artificielle, doté du pouvoir d'inspecter les systèmes d'IA, de tenir un registre public des systèmes à haut risque et d'appliquer un régime fondé sur le risque en partie inspiré de l'AI Act européen. Le texte lie explicitement les obligations relatives à l'IA à haut risque à la loi existante sur la protection des données de 2019, exigeant des fournisseurs qu'ils réalisent des analyses d'impact relatives à la protection des données et, lorsque des décisions automatisées produisent des effets juridiques ou des effets similaires significatifs, qu'ils garantissent un droit à l'intervention humaine. Il doit encore être approuvé par l'Assemblée nationale et recevoir l'assentiment présidentiel avant de devenir loi. En attendant, le bureau du commissaire à la protection des données, opérant en vertu de la loi sur la protection des données et de la stratégie nationale kényane sur l'intelligence artificielle 2025 à 2030, reste le seul organe supervisant activement les traitements liés à l'IA, avec le pouvoir d'enquêter et d'imposer des sanctions administratives en cas de manquement.
Que change la pleine entrée en vigueur de la loi égyptienne sur les données pour les entreprises ?
La loi égyptienne sur la protection des données personnelles, en vigueur depuis 2020 mais jamais pleinement opérationnelle sans règlement d'application, a enfin obtenu ses règlements d'exécution par le décret n° 816 de 2025 du ministre des Télécommunications, publié en novembre 2025. Cette publication a déclenché une période de grâce d'un an s'achevant le 1er novembre 2026, après laquelle le Centre de protection des données personnelles obtient la pleine autorité pour délivrer des licences, effectuer des inspections et sanctionner les organisations traitant des données personnelles en Égypte. Les règlements traitent directement mais étroitement de l'IA : les responsables de traitement utilisant des données personnelles pour entraîner ou exploiter des modèles d'IA doivent les traiter conformément à des normes « reconnues localement, régionalement et internationalement », une référence à la charte égyptienne, non contraignante, pour une intelligence artificielle responsable, publiée par le Conseil national de l'intelligence artificielle. L'Égypte n'a toujours pas de loi autonome sur l'IA, si bien que la charte fonctionne comme une orientation souple venant s'ajouter à un droit de la protection des données contraignant.
Pourquoi l'AI Act européen concerne-t-il une entreprise sans bureau dans l'UE ?
Parce que le texte régit les résultats, pas les adresses. En vertu de l'article 2, paragraphe 1, point c, l'AI Act européen s'applique aux fournisseurs et déployeurs situés hors de l'Union dès que le résultat de leur système d'IA est utilisé à l'intérieur de celle-ci, la même logique extraterritoriale qui a fait du RGPD une référence de conformité mondiale plutôt qu'européenne. Une fintech nigériane exploitant une notation de crédit par IA pour des clients de la diaspora européenne, ou une entreprise sud-africaine de diagnostic licenciant son logiciel à un groupe hospitalier européen, entre dans le champ d'application quel que soit l'emplacement de ses serveurs. Les obligations pour les fournisseurs de modèles d'IA à usage général sont déjà entrées en vigueur en août 2025, et l'échéance de conformité majeure pour les systèmes à haut risque, couvrant entre autres les décisions en matière d'emploi, de crédit et d'assurance, arrive le 2 août 2026. Ces obligations s'ajoutent, sans le remplacer, au droit national de la protection des données déjà applicable.
| Juridiction | Loi principale | Régulateur | Échéance 2026 |
|---|---|---|---|
| Nigeria | Loi sur la protection des données 2023 + GAID 2025 | Commission nigériane de protection des données | Rapports d'audit 2025 attendus le 30 mai 2026, amendes jusqu'à 10 millions de nairas ou 2 % |
| Afrique du Sud | POPIA, projet de politique nationale sur l'IA | Régulateur de l'information | Orientations PIIA couvrant l'IA attendues pour l'exercice 2026/27 |
| Kenya | Loi sur la protection des données de 2019, projet de loi sur l'IA de 2026 en attente | Bureau du commissaire à la protection des données | Projet de loi sur l'IA en attente d'approbation de l'Assemblée nationale et d'assentiment présidentiel |
| Égypte | Loi sur la protection des données personnelles 151/2020 + règlements | Centre de protection des données personnelles | Fin de la période de grâce le 1er novembre 2026, application pleine à suivre |
Que doivent faire les équipes de conformité avant que la stratégie de l'UA ne rattrape le terrain ?
Il faut suivre chaque juridiction selon ses propres termes plutôt que d'attendre une harmonisation continentale qui, selon le propre calendrier de l'UA, ne mûrira pas avant 2028. Le protocole sur le commerce numérique de la ZLECAf, dont les huit annexes portant sur les flux de données, l'identité numérique et les technologies émergentes ont été adoptées en février 2025, laisse entrevoir une circulation transfrontalière des données plus libre, mais sa période de transition de cinq ans signifie que les règles nationales continueront de régir la conformité au quotidien pendant encore des années. Obsidian suit chacun de ces régimes, la NDPA et la GAID nigérianes, la POPIA sud-africaine et sa politique d'IA en évolution, la loi kényane sur la protection des données et son projet de loi sur l'IA en attente, la PDPL égyptienne et son échéance de novembre 2026, ainsi que les instruments de l'UA et de la ZLECAf qui les surplombent, en se référant à leurs sources officielles de niveau tier-0, avec des alertes dès qu'un journal officiel, un règlement ou un projet de loi change de statut. Pour les équipes qui doivent également comprendre comment ces régimes interagissent avec l'AI Act européen ou le RGPD, la compagne IA d'Obsidian répond aux questions à partir de cette même base de sources vérifiées plutôt qu'à partir des suppositions d'un modèle généraliste, et l'intégration MCP place ces mêmes données réglementaires directement dans les assistants IA que les équipes de conformité et juridiques utilisent déjà chaque jour.
Les douze prochains mois sépareront les juridictions qui passeront du document d'orientation à l'application effective de celles qui en resteront à la phase de rédaction. La période de grâce égyptienne s'achève en novembre, le projet de loi kényan pourrait être adopté avant la fin de l'année, et le régulateur de l'information sud-africain s'est engagé à publier ses premières orientations pertinentes en matière d'IA. Attendre que le cadre continental de l'Union africaine résolve ces différences n'est pas une stratégie de conformité. La veille continue par juridiction l'est, et il vaut la peine de vérifier ce que coûte un forfait construit précisément autour de cette couverture avant l'arrivée de la prochaine échéance.