Loi Nigeria Data Protection Act 2023 sur le consentement aux cookies : Guide de conformité pour les éditeurs en 2026

Le Nigeria a fonctionné pendant des années sous l'égide du Nigeria Data Protection Regulation 2019 (NDPR), un règlement subsidiaire émis par NITDA qui imposait des obligations d'inspiration GDPR sans l'autorité législative pleine et entière d'une véritable loi sur la protection des données. Le Nigeria Data Protection Act 2023 (NDPA) a changé cela. Adopté par l'Assemblée nationale et promulgué en June 2023, la loi est le premier texte législatif complet du Nigeria en matière de protection des données, et elle a établi la Nigeria Data Protection Commission (NDPC) en tant qu'autorité de contrôle indépendante dotée de pouvoirs d'exécution sensiblement plus étendus que ceux de NITDA sous l'ancien régime. Pour les éditeurs, les opérateurs SaaS et les acteurs de l'ad-tech qui servent le trafic nigérian — un marché qui s'est rapidement développé avec l'essor de la fintech, du commerce électronique et de l'économie numérique plus large d'Afrique de l'Ouest — le NDPA a redéfini les exigences de conformité. Ce guide passe en revue ce que la loi exige, la manière dont le NDPC l'a interprétée pour le suivi en ligne, et à quoi ressemble concrètement le travail de mise en conformité en 2026.

Le NDPA en résumé

Le NDPA s'articule autour de six principes fondamentaux qui correspondent clairement aux dispositions de l'Article 5 du GDPR : licéité, équité et transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation et sécurité. La loi s'applique à tout responsable du traitement ou sous-traitant qui traite des données à caractère personnel de personnes situées au Nigeria, avec une portée extraterritoriale qui reflète celle de l'Article 3 du GDPR. Un éditeur établi hors du Nigeria mais servant des visiteurs nigérians entre pleinement dans le champ d'application, quel que soit le lieu d'établissement de l'éditeur.

Les bases légales du traitement prévues à la Section 25 sont également familières : le consentement, l'exécution d'un contrat, une obligation légale, les intérêts vitaux, l'intérêt public et l'intérêt légitime. Pour le suivi en ligne, les bases pertinentes sont le consentement et — dans des circonstances étroitement délimitées et dûment documentées — l'intérêt légitime. Le GAID 2025 du NDPC a précisé que la norme de consentement pour les cookies non essentiels est fonctionnellement identique à celle du GDPR : libre, spécifique, éclairé, non ambigu, et pouvant être retiré aussi facilement qu'il a été donné.

Le passage du NDPR au NDPA

Trois changements entre l'ancien régime du NDPR et le nouveau NDPA sont les plus importants pour les éditeurs en ligne.

Pouvoirs d'exécution législatifs

L'autorité de NITDA au titre du NDPR reposait sur un règlement subsidiaire, ce qui limitait la portée des sanctions que l'agence pouvait engager. Le NDPC opère en vertu d'une législation primaire et peut émettre des injonctions de mise en conformité, infliger des amendes administratives calculées en pourcentage du chiffre d'affaires annuel, et engager des procédures pénales en cas de violations délibérées. Le passage de la persuasion réglementaire à l'exécution législative constitue le changement opérationnel le plus déterminant.

Obligations relatives au délégué à la protection des données

Le NDPA impose aux responsables du traitement dépassant certains seuils de traitement de désigner un Data Protection Officer (DPO) et de s'enregistrer auprès du NDPC. Ces seuils concernent la plupart des éditeurs en ligne et opérateurs SaaS d'envergure qui servent des utilisateurs nigérians.

Cadre des transferts transfrontaliers

Le NDPA a codifié des règles de transfert transfrontalier que le NDPR n'avait traitées que de manière approximative. Les Section 41-43 exigent que les transferts vers des juridictions non adéquates s'effectuent dans le cadre de l'un des mécanismes expressément énumérés — décision d'adéquation, règles d'entreprise contraignantes, garanties contractuelles ou dérogations spécifiques — le NDPC publiant une liste des instruments approuvés.

Comment le NDPA traite les cookies et le suivi en ligne

Le NDPA ne contient pas de disposition spécifique aux cookies ; les obligations de consentement et d'information découlent du cadre général. Le GAID du NDPC et une série de notes d'orientation publiques publiées au cours des années 2024 et 2025 ont précisé les attentes concrètes en matière de suivi en ligne.

Consentement explicite pour les cookies non essentiels

La position du NDPC s'aligne sur celle du groupe de travail Cookie Banner Taskforce de l'EDPB et sur les positions équivalentes des régulateurs africains comparables (l'ODPC kényan, le Régulateur de l'information sud-africain). Le défilement comme consentement, la poursuite de l'utilisation comme consentement et les cases pré-cochées constituent des défauts explicites.

Contrôles par catégorie granulaires

Les bandeaux doivent distinguer les cookies strictement nécessaires des cookies analytiques et des cookies marketing, chaque catégorie devant être contrôlable indépendamment. Un accord global sans granularité est considéré comme un manquement au critère de spécificité de la norme de consentement.

Base légale documentée

La Section 26 du NDPA codifie le principe de responsabilité — les responsables du traitement doivent être en mesure de démontrer à tout moment leur base légale pour chaque activité de traitement. Pour les déploiements de cookies, cela se traduit par une journalisation du consentement de qualité probatoire : horodatage, version du bandeau, choix de l'utilisateur et base légale invoquée pour chaque catégorie activée.

Divulgation des transferts transfrontaliers

Pour les cookies qui acheminent des données vers des prestataires établis hors du Nigeria — la plupart des acteurs de l'ad-tech basés aux États-Unis, les plateformes d'analyse basées dans l'EU — la notice de confidentialité doit identifier le destinataire du transfert et la garantie au titre de laquelle ce transfert est effectué. Un libellé générique du type « nous faisons appel à des tiers » ne satisfait pas aux exigences du NDPC.

La posture d'exécution de la Nigeria Data Protection Commission

Le NDPC a délibérément adopté une posture publique depuis son installation en 2023. Sa politique d'exécution suit trois schémas observables.

Affaires précoces à forte visibilité

Le NDPC a privilégié des affaires emblématiques contre des opérateurs bien connus pour établir des précédents et signaler le sérieux de son action. Plusieurs opérateurs de fintech et de télécommunications ont reçu des injonctions de mise en conformité en 2024 et 2025, assorties de communications publiques sur les mesures correctives.

Contrôles sectoriels

Au-delà des affaires initiées sur plainte, le NDPC a conduit des examens sectoriels portant sur les opérateurs de fintech, de santé et de commerce électronique. Ces contrôles débutent généralement par une demande de documentation (notices de confidentialité, journaux de consentement, listes de prestataires) et s'intensifient en fonction de ce que la documentation révèle.

Coordination avec les régulateurs africains et européens

Le NDPC participe au groupe de travail sur les flux de données du Continental Free Trade Area de l'African Union et entretient des relations de travail avec l'EDPB et les principales autorités nationales de protection des données. Les enquêtes transfrontalières impliquant du trafic nigérian et européen sont de plus en plus traitées dans le cadre de procédures coordonnées.

Une liste de contrôle pratique de la conformité

Six questions concrètes à se poser pour tout bandeau de cookies servant le trafic nigérian.

La place du Nigeria dans un dispositif multi-juridictions

Le Nigeria est le plus grand marché numérique d'Africa en nombre d'utilisateurs, et le NDPA est de plus en plus le modèle que d'autres juridictions africaines citent en référence lorsqu'elles modernisent leurs propres cadres. Une architecture de conformité construite selon les normes européennes prend en charge la conformité nigériane avec le même type d'ajustements de configuration mineurs que ceux requis par la Nouvelle-Zélande : désignation d'un DPO lorsque les seuils s'appliquent, documentation des transferts à la manière du NDPC, et divulgations en langue anglaise respectant les conventions linguistiques nigérianes. Pour les éditeurs qui construisent des opérations pan-africaines, le NDPA se situe aux côtés de la DPA 2019 du Kenya, de la POPIA sud-africaine et du cadre émergent égyptien comme l'un des quatre régimes africains les plus contraignants sur le plan opérationnel. Assurer la conformité nigériane est significatif en soi sur ce marché et témoigne d'une maturité continentale pour le reste du continent.

← Blog Tout lire →