Loi égyptienne sur la protection des données personnelles 151 de 2020 – Guide de conformité au consentement des cookies : le manuel des éditeurs pour 2026

La loi égyptienne sur la protection des données personnelles n° 151 de 2020 – généralement désignée comme le PDPL égyptien – a été promulguée le 15 juillet 2020 et est entrée en vigueur le 14 octobre 2020. Pendant la majeure partie de la période écoulée depuis lors, l'absence de décrets d'application a signifié que la Loi restait davantage une déclaration de principes qu'un régime applicable. Cela a changé lorsque le Centre de protection des données personnelles – le régulateur créé en vertu de la Loi, rattaché au ministère des Communications et des Technologies de l'information – a publié son cadre opérationnel, ses exigences de licences et les décrets d'application que la Loi avait laissés à édicter. En 2026, le régime est pleinement opérationnel, la filière de licences pour les responsables et sous-traitants de traitement est active, et les éditeurs opérant en Égypte ou ciblant l'Égypte sont soumis à un standard de consentement national plus proche du GDPR que de tout modèle régional plus ancien. L'implication pour le consentement aux cookies est directe : un bandeau qui fonctionnait en Égypte sous l'ancien régime n'est plus suffisant, et un bandeau satisfaisant le GDPR ne satisfera le PDPL que lorsque l'intégration tient compte des points où les deux cadres divergent.

Ce que le PDPL égyptien exige réellement

La Loi s'applique au traitement des données personnelles des résidents égyptiens, quel que soit le lieu d'établissement du responsable ou du sous-traitant, ainsi qu'aux responsables et sous-traitants établis en Égypte, quel que soit l'endroit où se trouvent les personnes concernées. Cette portée extraterritoriale reflète l'article 3 du GDPR et signifie qu'un éditeur dont le siège est hors d'Égypte mais qui a des lecteurs égyptiens, des installations d'applications ou des clients payants est fermement dans le champ d'application. Les données personnelles sont définies largement comme toute donnée relative à une personne physique identifiée ou identifiable ; les données personnelles sensibles – notamment les données de santé, biométriques, génétiques, de santé mentale, financières, de croyances religieuses, d'opinions politiques et de condamnations pénales – sont soumises à un seuil de consentement plus élevé et à des garanties supplémentaires.

La Loi établit les bases légales du traitement, l'éventail standard des droits des personnes concernées – accès, rectification, effacement, limitation, opposition et portabilité –, un cadre de responsabilité responsable-sous-traitant, des obligations de notification des violations, des contrôles des transferts transfrontaliers et un régime de sanctions administratives avec des amendes allant de 100 000 EGP pour les infractions mineures à 5 millions EGP pour les violations graves ou répétées. Des sanctions pénales s'appliquent aux catégories les plus graves, notamment les transferts transfrontaliers sans licence et le traitement de données sensibles sans autorisation.

Comment le PDPL traite spécifiquement le consentement aux cookies

Contrairement à la directive ePrivacy de l'UE, le PDPL ne contient pas de disposition distincte sur les cookies. Les cookies et les technologies analogues de stockage et d'accès relèvent du cadre général du consentement : tout traitement de données personnelles qui repose sur le consentement comme base légale doit être obtenu sur la base d'une expression explicite, volontaire, spécifique et documentée du consentement de la personne concernée. Le Centre de protection des données personnelles, dans ses orientations émises lors de l'entrée en vigueur progressive des réglementations, a confirmé que les cases pré-cochées, le consentement implicite déduit d'une navigation continue et les bandeaux de consentement groupés ne répondent pas au standard de la Loi. Cela place l'Égypte fermement dans la ligne de la trajectoire mondiale et signifie que la posture pratique que les éditeurs maintiennent déjà pour le trafic EEA est le bon point de départ pour le trafic égyptien.

L'effet pratique est que les cookies et toute technologie analogue qui ne sont pas strictement nécessaires à la fourniture du service ne doivent pas être définis avant que l'utilisateur ait activement consenti. Les cookies strictement nécessaires – identifiants de session, contenu du panier, jetons de sécurité, cookies d'équilibrage de charge – peuvent être définis sans consentement au motif que l'utilisateur a activement demandé le service. Tout le reste – analytique, publicité, personnalisation, tests A/B, lecture de session, et toute balise tierce – nécessite un consentement préalable.

Comment le PDPL diverge du GDPR en pratique

Trois différences comptent au niveau de la couche d'intégration. Premièrement, le PDPL exige que le consentement au traitement des données personnelles sensibles soit obtenu par écrit ou par un équivalent électronique documenté que le responsable peut produire sur demande – un standard probatoire plus élevé que l'exigence de consentement explicite du GDPR. Deuxièmement, le PDPL impose un régime de licences : les responsables et sous-traitants doivent s'enregistrer auprès du Centre de protection des données personnelles, et certaines catégories de traitement – notamment les transferts transfrontaliers et le marketing direct – nécessitent une licence opérationnelle distincte. Troisièmement, les règles de transferts transfrontaliers du PDPL exigent soit une décision d'adéquation du Centre, une garantie contractuelle approuvée, soit le consentement explicite de la personne concernée ; les transferts vers des juridictions sans décisions ni garanties sont restreints quelle que soit la posture de conformité propre du destinataire.

À quoi ressemble un bandeau cookie conforme au PDPL

Les exigences techniques convergent avec ce que chaque CMP moderne produit déjà, mais l'étiquetage, la documentation et le journal des consentements doivent refléter les spécificités égyptiennes. Le bandeau de première couche doit présenter à l'utilisateur un vrai choix – accepter, refuser, gérer – où l'option de refus est au moins aussi visible que l'option d'acceptation. Le consentement groupé est interdit, donc la seconde couche doit permettre un opt-in par catégorie couvrant au minimum l'analytique, la publicité et tout traitement dépendant de transferts transfrontaliers. Les catégories doivent être désactivées par défaut ; le bandeau ne doit pas charger les balises avant que l'utilisateur les ait activement activées.

L'avis de confidentialité affiché depuis le bandeau doit identifier le responsable du traitement, le numéro de licence PDPL du responsable le cas échéant, les catégories de données personnelles collectées, la base légale de chaque finalité de traitement, la durée de conservation des données, les catégories de destinataires y compris les sous-traitants situés hors d'Égypte, les droits de la personne concernée en vertu de la Loi, et les coordonnées du Centre de protection des données personnelles pour les réclamations. Un avis satisfaisant le standard de l'article 13 du GDPR se recoupera substantiellement, mais les lignes sur la licence égyptienne et les coordonnées du Centre doivent être ajoutées explicitement.

Le modèle d'intégration qui passe un contrôle du Centre de protection des données personnelles

L'implémentation de référence comporte quatre éléments mobiles. Le premier est un CMP qui prend en charge un opt-in par catégorie, désactivé par défaut, et expose le choix de l'utilisateur via une chaîne de consentement structurée que l'éditeur peut persister. Le second est une couche de chargement des balises – un gestionnaire de balises côté serveur ou une porte native CMP – qui applique strictement l'état du consentement avant qu'un cookie non essentiel ne soit défini. Le troisième est un journal de consentement, stocké côté serveur, qui enregistre pour chaque événement de consentement le choix de l'utilisateur par catégorie, l'horodatage, la version du bandeau et un identifiant IP tronqué ou haché tel que le responsable peut produire le relevé à la demande du Centre. Le quatrième est un chemin de retrait au moins aussi facile que l'octroi initial – généralement un lien persistant de réouverture du bandeau dans le pied de page.

Validation, licences et posture d'audit pour 2026

Un déploiement égyptien défendable en 2026 doit passer quatre contrôles techniques. Premièrement, une session de navigateur propre servie depuis une adresse IP égyptienne doit produire zéro cookie non essentiel avant que le bandeau ait été actionné. Deuxièmement, le parcours de refus total doit aboutir à la même posture qu'une session sans action – pas de balises analytiques, pas de balises publicitaires, pas de scripts de lecture de session. Troisièmement, un flux d'acceptation totale ne doit produire que les balises auxquelles l'utilisateur a consenti, et le journal de consentement doit contenir un enregistrement correspondant. Quatrièmement, un flux de retrait doit immédiatement arrêter d'autres déclenchements de balises, faire expirer les cookies définis pendant la session consentie, et déclencher les signaux de suppression ou d'opt-out en aval requis par les partenaires destinataires.

Au-delà des contrôles techniques, la posture de licence et d'audit est ce qui rend un déploiement défendable. Les responsables traitant les données personnelles des résidents égyptiens au-dessus des seuils fixés par les décrets d'application doivent être enregistrés auprès du Centre de protection des données personnelles, et le dossier d'enregistrement – accompagné du journal de consentement, de l'avis de confidentialité, des résultats des analyses d'impact sur la protection des données pour les traitements à risque plus élevé, et de toute autorisation de transfert transfrontalier – forme la documentation que le Centre peut demander lors d'un contrôle de conformité. Un CMP correctement configuré avec un journal côté serveur, une couche de chargement des balises appliquant l'état du consentement, un avis de confidentialité désignant chaque destination de transfert transfrontalier, et les documents de licence en dossier, voilà ce qui transforme le PDPL égyptien d'une inconnue réglementaire en une partie défendable de la posture de consentement d'un éditeur dans la région MENA.

← Blog Tout lire →