Guide de conformité au consentement des cookies de la loi kényane sur la protection des données 2019 pour les éditeurs en 2026

Le Kenya a adopté la loi sur la protection des données 2019 en novembre de cette année-là, devenant ainsi le premier pays d'Afrique de l'Est à promulguer un statut de confidentialité complet de style GDPR. La loi a établi l'Office of the Data Protection Commissioner (ODPC) comme régulateur autonome et lui a conféré des pouvoirs d'application significatifs dès le premier jour. Contrairement à de nombreux régimes de confidentialité plus récents dans la région, l'ODPC n'a pas progressivement pris en main son rôle — il a été l'une des autorités africaines de protection des données les plus actives depuis 2021, émettant des avis de conformité, imposant des amendes administratives et publiant des conseils détaillés sur des catégories de traitement spécifiques. Pour les éditeurs, les opérateurs fintech et les fournisseurs SaaS desservant le trafic kényan — Nairobi seule abrite l'une des plus grandes concentrations d'emplois technologiques africains, et le Kenya est un centre stratégique pour les services numériques panafricains — le DPA représente un risque d'application réel et actif. Ce guide examine ce que la loi exige, comment l'ODPC l'a interprétée pour le suivi en ligne, et à quoi ressemble le travail pratique de conformité en 2026.

La loi sur la protection des données 2019 en résumé

Le DPA kényan est structuré autour de huit principes à la Section 25 qui s'alignent étroitement avec l'Article 5 du GDPR : licéité, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité, responsabilité et un ajout kényan affirmant explicitement le droit constitutionnel à la vie privée. Les bases légales de la Section 30 reproduisent le GDPR : consentement, contrat, obligation légale, intérêts vitaux, intérêt public et intérêt légitime. La loi s'applique à tout responsable de traitement ou sous-traitant qui traite des données personnelles de personnes concernées situées au Kenya, avec une portée extraterritoriale qui couvre les éditeurs étrangers desservant des visiteurs kényans.

Deux caractéristiques structurelles de la loi sont importantes sur le plan opérationnel. Premièrement, les responsables de traitement et sous-traitants dépassant les seuils spécifiés doivent s'enregistrer auprès de l'ODPC, et le Commissaire a été visible dans la poursuite des opérateurs non enregistrés. Deuxièmement, la loi exige la désignation d'un délégué à la protection des données lorsque la portée du traitement dépasse les seuils définis — y compris tout traitement à grande échelle de données personnelles, ce qui couvre la plupart des éditeurs financés par la publicité et les opérateurs SaaS.

Comment le DPA traite les cookies et le suivi en ligne

Le DPA ne contient pas de disposition spécifique aux cookies ; les obligations de consentement et d'information découlent des Sections 25, 30 et 32 de la loi. La note d'orientation 2024 Guidance Note de l'ODPC sur le marketing numérique et la publicité comportementale a articulé des attentes spécifiques pour le suivi en ligne que les éditeurs desservant le trafic kényan doivent prendre en compte dans leur conception.

Consentement affirmatif pour les cookies non essentiels

La position de l'ODPC est sans équivoque : le défilement en tant que consentement et l'utilisation continue en tant que consentement ne satisfont pas aux critères de consentement librement donné et sans ambiguïté de la Section 32. Une action affirmative explicite est requise pour les cookies non essentiels. L'interprétation suit de près la position du groupe de travail sur les bannières de cookies de l'EDPB.

Contrôles granulaires des catégories

Les directives de 2024 sont explicites que les bannières doivent permettre à l'utilisateur d'accepter et de rejeter les catégories de manière indépendante. Un « Tout accepter » groupé sans un « Tout refuser » équivalent sur la même surface est traité comme un défaut, tout comme l'étiquetage erroné des cookies d'analyse ou de marketing comme strictement nécessaires.

Données des enfants et capacité de consentement

Le DPA traite les personnes concernées de moins de 18 ans comme des enfants aux fins du consentement, avec une autorisation parentale requise pour le traitement. Pour les éditeurs dont les publics comprennent des mineurs kényans, le cadre de consentement aux cookies nécessite un parcours tenant compte de l'âge qui ne présuppose pas une capacité adulte.

Règles de transfert transfrontalier

La Section 48 de la loi régit les transferts hors du Kenya. Les transferts peuvent s'effectuer en vertu de plusieurs mécanismes : désignation d'adéquation par le Commissaire, garanties appropriées (y compris les clauses contractuelles types de l'ODPC, émises en 2023), consentement explicite ou dérogations spécifiques. L'ODPC a été de plus en plus explicite que « nous utilisons Google Analytics » n'est pas une réponse suffisante à une demande de transfert transfrontalier ; l'éditeur doit être en mesure d'identifier le mécanisme réel qui autorise le flux.

Posture d'application de l'ODPC

L'ODPC a été le régulateur africain de protection des données le plus actif depuis 2022, tant en volume absolu de cas que dans la visibilité de ses actions. Trois schémas façonnent son approche d'application.

Amendes précoces visibles

L'ODPC a imposé des amendes administratives à plusieurs opérateurs fintech, de prêt numérique et de bureau de crédit à partir de 2022, établissant un précédent pour les recours monétaires en vertu de la loi. Les communications autour de ces affaires ont été délibérément publiques, signalant que l'application est réelle et non simplement théorique.

Concentration sectorielle sur fintech et crédit

Le secteur fintech et du crédit numérique — qui est inhabituellement grand au Kenya par rapport à l'économie globale du pays — a reçu la plus grande attention concentrée de l'ODPC. Pour les éditeurs opérant des entreprises financées par la publicité ciblant les utilisateurs fintech, l'atmosphère réglementaire autour du public est plus chargée que dans de nombreux marchés comparables.

Coordination avec les régulateurs régionaux

L'ODPC participe au African Network of Data Protection Authorities et maintient des relations de travail avec l'EDPB et le NDPC nigérian. Les enquêtes transfrontalières impliquant le trafic kényan et européen sont traitées par des procédures coordonnées.

Une liste de contrôle pratique de conformité

Six questions concrètes auxquelles répondre pour toute bannière de cookies desservant le trafic kényan.

La place du Kenya dans une architecture multi-juridictionnelle

Le Kenya est l'un des quatre régimes de protection des données africains les plus opérationnellement conséquents — aux côtés du Nigeria, de l'Afrique du Sud et du cadre émergent de l'Égypte — et son avance de 2019 s'est traduite par la posture d'application la plus mature du continent. Pour les éditeurs qui s'orientent vers des opérations panafricaines, le DPA kényan est le modèle de facto qu'ont utilisé les lois régionales plus récentes : exigences d'enregistrement, DPO obligatoires au-dessus des seuils, bases légales de style GDPR et règles de transfert transfrontalier qui reproduisent le Chapitre V du GDPR avec des adaptations régionales. Le travail de conformité pour le Kenya est parallèle à la norme européenne avec trois ajouts significatifs : enregistrement auprès de l'ODPC, capacité de consentement tenant compte de l'âge et clauses contractuelles types spécifiques de l'ODPC pour les transferts transfrontaliers. Une plateforme de gestion du consentement construite selon les normes européennes gère la majeure partie du travail ; les ajouts kényans sont des couches opérationnelles supplémentaires, non des reconstructions architecturales.

← Blog Tout lire →