Protection des données et cybersécurité : le cadre à la traîne

L'Afrique de l'Ouest se numérise plus vite qu'elle ne se protège. En quelques années, plusieurs de ses États ont hissé leurs scores de cybersécurité parmi les meilleurs du continent : le Bénin atteint 91,5/100 à l'Indice mondial de cybersécurité 2024 de l'Union internationale des télécommunications (ITU), contre 80,1 en 2020, et le Ghana culmine à 99,3/100, l'un des rares pays africains classés au niveau 1 (« role-modelling »). Mais cette progression mesure des engagements et des textes, pas la solidité réelle des défenses. Derrière les bons scores, un cadre juridique inachevé, des autorités de contrôle sous-dotées et une coopération régionale fragmentée laissent la porte ouverte à une cybercriminalité qui, elle, ne connaît pas de frontières. La question n'est plus d'adopter des lois, mais de les faire vivre.
Une région à deux vitesses
L'Indice mondial de cybersécurité (GCI) 2024 de l'ITU dessine une Afrique de l'Ouest fracturée. En tête, le Ghana (99,3/100), le Bénin (91,5) et le Togo (90,1) figurent parmi les pays les mieux notés du continent. Au milieu, le Nigeria (82,4), la Côte d'Ivoire (78,9) et le Burkina Faso (70,4) affichent des engagements solides. À l'autre extrémité, le Niger (41,9) et surtout le Mali (29,5) restent en retrait, avec un cadre de cybersécurité encore embryonnaire. Entre le premier et le dernier de la région, l'écart dépasse 69 points sur 100 : deux réalités numériques coexistent dans un même espace économique et douanier.
Une décennie de rattrapage, mais un seuil encore bas
La dynamique est réelle et rapide. À l'échelle du continent, le score moyen de cybersécurité est passé de 21 en 2017 à 57 en 2024, presque un triplement en sept ans. Le Bénin a gagné plus de 11 points depuis 2020, le Sénégal a presque doublé son score (de 35,9 à 67,3) et le Mali, parti de très bas (10,1 en 2020), a triplé le sien pour atteindre 29,5. Cette accélération traduit un effort d'institutionnalisation : stratégies nationales, agences dédiées, lois adoptées. Mais le point d'arrivée reste modeste. La moyenne africaine de 57 demeure environ 9 points sous la moyenne mondiale d'environ 66, et les progrès partent souvent d'un niveau si faible qu'ils ne suffisent pas encore à garantir une protection effective.
Il faut lire cette accélération pour ce qu'elle est : un rattrapage d'architecture, pas une montée en résilience. Adopter une stratégie nationale, créer une agence, voter une loi, ce sont des actes qui se décrètent en quelques mois et qui font bondir le score GCI, parce que l'indice récompense l'existence de ces briques institutionnelles. Bâtir une équipe de réponse aux incidents rodée, former des magistrats à la preuve numérique, équiper une autorité de protection pour qu'elle instruise réellement des plaintes, tout cela se compte en années et n'apparaît qu'imparfaitement dans le chiffre. Le risque, pour les décideurs, est de lire dans la courbe ascendante un signal de sécurité alors qu'elle mesure surtout la vitesse à laquelle on a posé les fondations. Le vrai test viendra plus tard, quand ces institutions seront confrontées à une attaque de grande ampleur : c'est là, et non dans le classement, que se révélera la solidité du dispositif.
Ce que le score GCI mesure vraiment
Comprendre l'indice, c'est comprendre sa limite. Le GCI n'évalue pas le niveau de sécurité réel des systèmes d'information d'un pays : il mesure l'engagement des États sur cinq piliers, à savoir le cadre juridique, les mesures techniques, les structures organisationnelles, le développement des capacités et la coopération. Un pays peut donc afficher un excellent score parce qu'il a voté des lois, créé une agence et signé des accords, sans que ses administrations ou ses entreprises soient effectivement protégées contre une attaque. C'est un indice d'intention et d'architecture, précieux pour comparer les trajectoires, mais qui ne dit rien de la capacité opérationnelle à détecter, contenir et poursuivre une intrusion.
Un score de cybersécurité élevé mesure ce qu'un État a décidé, pas ce qu'il sait défendre. Entre la loi votée et l'attaque déjouée, il reste tout l'espace de la mise en œuvre.
Le fossé entre la loi et l'autorité
C'est à l'échelle continentale que l'écart entre le texte et l'application devient le plus visible. Fin 2024, 39 des 55 pays africains disposent d'une loi de protection des données personnelles, un progrès considérable. Mais seulement 34 ont mis en place une autorité de protection des données (DPA) opérationnelle. La différence, cinq pays au moins, n'est pas anodine : une loi sans autorité pour l'appliquer, l'interpréter et sanctionner ses manquements reste largement lettre morte. Et le décompte des autorités existantes ne dit rien de leurs moyens : nombre de DPA africaines fonctionnent avec des budgets et des effectifs sans commune mesure avec le volume de données qu'elles sont censées superviser.
Le Bénin fait ici figure de bon élève régional. Son cadre repose sur le Code du numérique (loi 2017-20) et sur une autorité dédiée, l'APDP, qui exerce un contrôle effectif sur les traitements de données. C'est cette combinaison, loi robuste et autorité active, qui explique en partie son score GCI élevé. Mais l'exemple béninois est aussi un révélateur : il montre que le sommet du classement régional se mesure à l'existence d'une gouvernance opérationnelle, pas seulement d'un texte au Journal officiel.
Que produit une autorité réellement dotée, la démonstration en est venue du géant régional lui-même. En 2024, la Nigeria Data Protection Commission a infligé à une grande banque nigériane une amende de plus de 500 millions de nairas pour manquement à ses obligations de protection des données. L'événement compte moins par son montant que par ce qu'il signale : une autorité qui instruit, qualifie un manquement et sanctionne un acteur puissant fait basculer la loi du registre déclaratif au registre exécutoire. Tant qu'aucune sanction n'est prononcée, une loi de protection reste un affichage ; le jour où une autorité sanctionne, elle devient un risque juridique que les responsables de traitement intègrent à leurs décisions. C'est cette bascule, et non le vote de la loi, qui change réellement les comportements. Or elle suppose des moyens d'enquête et une indépendance dont la plupart des DPA de la région manquent encore.
Malabo : une réponse régionale qui peine à s'imposer
La cybercriminalité ignore les frontières ; la réponse juridique, elle, y reste largement enfermée. La Convention de l'Union africaine sur la cybersécurité et la protection des données à caractère personnel, dite Convention de Malabo, adoptée en 2014, devait fournir le socle commun d'une coopération continentale. Il aura fallu près d'une décennie pour réunir les ratifications nécessaires à son entrée en vigueur, intervenue le 8 juin 2023. Au 8 juillet 2024, seuls 16 États sur 55 l'avaient ratifiée. Autrement dit, moins d'un tiers des pays africains sont formellement liés par le cadre censé organiser l'entraide face à des attaques qui, elles, circulent librement d'un pays à l'autre.
Cette fragmentation a un coût opérationnel direct. Sans cadre commun ratifié, l'échange de preuves numériques, l'entraide judiciaire et la poursuite d'auteurs opérant depuis un pays tiers deviennent lents et incertains. Un réseau d'escroquerie hébergé dans un État non lié par Malabo peut viser les citoyens d'un pays voisin en toute quasi-impunité. La cybersécurité d'un pays performant est ainsi plafonnée par la faiblesse de ses voisins, ce qui fait de la coopération régionale non pas un supplément, mais une condition de l'efficacité.
L'analogie douanière éclaire l'enjeu. La CEDEAO a mis des décennies à construire un espace de libre circulation des biens et des personnes, avec ses règles communes et ses mécanismes d'entraide ; la circulation des données et des flux criminels qui les accompagnent, elle, s'est faite en quelques années, sans le cadre correspondant. Le résultat est une asymétrie dangereuse : les fraudeurs opèrent déjà à l'échelle régionale, quand les enquêteurs restent enfermés dans des procédures nationales et des délais d'entraide qui se comptent en mois. Chaque frontière non couverte par un cadre commun devient un sas d'impunité, et il suffit d'un maillon faible dans la chaîne régionale pour que l'ensemble du dispositif perde en crédibilité. Combler ce retard n'est pas une question de souveraineté à défendre, mais de souveraineté à mettre en commun.
Le coût de l'inaction se chiffre déjà
L'inaction n'est pas neutre : elle se paie. Dans son évaluation 2025 de la cybermenace en Afrique, INTERPOL estime le coût de la cybercriminalité pour le continent à environ 3 milliards de dollars par an, d'autres sources avançant des fourchettes plus larges, de 4 à 10 milliards. Au-delà du montant, la structure du phénomène inquiète : en Afrique de l'Ouest et de l'Est, les infractions cyber représentent jusqu'à 30 % des crimes signalés, et environ deux tiers des pays du continent déclarent une part moyenne à élevée de cybercriminalité dans leur criminalité totale. Le numérique n'est plus un risque émergent : il est devenu une composante lourde de l'insécurité tout court.
La dynamique est explosive. Selon des données Kaspersky reprises par INTERPOL, les signalements suspects d'arnaques en ligne ont bondi, dans certains pays africains, de jusqu'à 3 000 % sur une seule année. Hameçonnage, fraudes à l'investissement, usurpation d'identité : ces attaques ciblent d'abord des populations récemment connectées, peu sensibilisées et faiblement protégées par un cadre encore jeune. Face à cette vague, 75 % des pays africains interrogés jugent eux-mêmes leur cadre juridique et leur capacité de poursuite insuffisants. L'aveu vient des États eux-mêmes : le droit et la justice courent derrière la menace.
Trois quarts des pays africains reconnaissent que leur cadre juridique et leur capacité à poursuivre la cybercriminalité doivent être renforcés. Le retard n'est pas une hypothèse extérieure : c'est un constat que les États dressent sur eux-mêmes.
Le mobile money, ou le cyber-risque à l'échelle de milliards de transactions
Nulle part le décalage entre l'usage et la protection n'est plus spectaculaire que dans l'argent mobile. L'Afrique subsaharienne est devenue le cœur mondial du mobile money : selon la GSMA, la région concentre en 2024 environ 1,1 milliard de comptes enregistrés et a traité près de 1 100 milliards de dollars de transactions, soit environ 65 % de la valeur mondiale et près des trois quarts du volume mondial d'opérations. L'Afrique de l'Ouest en est l'un des moteurs. Ce succès financier, salué à juste titre comme un levier d'inclusion, est aussi une gigantesque surface d'exposition : des centaines de millions d'utilisateurs manient chaque jour un instrument de paiement rattaché à leur identité, à leur numéro et à leur historique financier, souvent sans la moindre culture de sécurité numérique.
L'écart devient alors vertigineux. D'un côté, des flux financiers qui se comptent en centaines de milliards de dollars et qui pèsent lourd dans le PIB régional ; de l'autre, un cadre de protection des données et une capacité de poursuite pénale qui, de l'aveu des États eux-mêmes, ne sont pas à la hauteur. C'est précisément dans cet écart que prospèrent l'hameçonnage par SMS, les faux agents, l'usurpation de comptes et les fraudes à l'investissement. Le mobile money illustre la thèse centrale de cet article à une échelle massive : ce n'est pas l'adoption technologique qui manque à l'Afrique de l'Ouest, c'est la gouvernance qui devrait l'encadrer. Plus le volume de transactions croît, plus le retard de protection se traduit en pertes réelles pour les ménages les plus modestes, qui sont aussi les nouveaux entrants les plus exposés.
La surface d'exposition s'élargit plus vite que la défense
Le paradoxe ouest-africain tient en une phrase : la région se connecte massivement au moment même où son cadre de protection reste inachevé. Au Bénin, le taux de pénétration d'Internet a atteint 32,4 % de la population en 2023, contre 11,3 % seulement en 2015, soit un quasi-triplement en huit ans. Chaque nouvel internaute, chaque nouveau service en ligne, chaque base de données administrative numérisée élargit la surface d'exposition aux cyber-risques. Or l'expérience montre que la maturité des défenses progresse plus lentement que l'adoption des usages : le risque croît d'abord, la protection rattrape ensuite. C'est précisément dans cet intervalle que se concentrent les attaques les plus rentables.
Cette surface ne se limite pas aux individus : elle englobe désormais les registres publics eux-mêmes. Au Nigeria, plusieurs enquêtes ont documenté en 2024 la mise en vente en ligne de données personnelles issues d'agences officielles, parfois pour quelques dizaines de nairas seulement, avec des sites de revente comptabilisant des centaines de milliers de visites mensuelles. Quand des registres d'identité, fiscaux ou électoraux fuient, ce n'est pas la vie privée d'un individu qui est en cause, mais la confiance dans l'État numérique tout entier, et la matière première de fraudes en cascade. Ces incidents rappellent une évidence trop souvent oubliée dans les stratégies nationales : les bases de données publiques sont des infrastructures critiques, au même titre qu'un réseau électrique, et leur compromission a des effets systémiques.
Ce que les scores agrégés cachent
Comme tout indicateur composite, le GCI comporte un angle mort. Un score élevé additionne des engagements sur cinq piliers, mais il peut masquer des déséquilibres majeurs : un pays fort en cadre juridique et faible en capacité opérationnelle affichera la même note globale qu'un pays à l'équilibre inverse. Deux États au score identique peuvent ainsi présenter des vulnérabilités radicalement différentes. De même, la moyenne africaine de 57 dissimule un continent coupé en deux, où quelques champions tirent la moyenne vers le haut pendant qu'une majorité de pays reste sous le seuil de résilience. Se fier au chiffre global, c'est risquer de croire protégé un système qui ne l'est qu'en partie.
- Le texte n'est pas l'autorité. Une loi de protection des données ne protège rien tant qu'aucune autorité dotée de moyens n'est là pour l'appliquer : 39 pays africains ont une loi, mais seulement 34 une DPA opérationnelle.
- L'engagement n'est pas la capacité. Le GCI note ce que les États ont décidé de mettre en place, pas leur aptitude réelle à détecter et à contenir une attaque en temps réel.
- La moyenne n'est pas la réalité. Le 57/100 continental masque un écart de plus de 69 points entre le Ghana et le Mali au sein d'une même région.
- L'adoption n'est pas la protection. La région concentre près des trois quarts du volume mondial de mobile money, mais son cadre de cybersécurité reste, de l'aveu des États, en retrait.
La donnée d'enquête, une infrastructure critique à protéger
À mesure que la connexion progresse, la donnée cesse d'être un sous-produit de l'action publique pour devenir une infrastructure critique en soi. Les sondages, les enquêtes ménages, les bases sectorielles et les registres administratifs concentrent désormais des informations personnelles sensibles à grande échelle : identités, revenus, santé, localisation. Leur collecte, souvent numérique et géolocalisée, et leur hébergement font peser une responsabilité nouvelle sur les producteurs de données. Une enquête de terrain mal sécurisée n'est plus seulement un risque méthodologique : c'est une brèche potentielle dans la vie privée de milliers de ménages, et un manquement à des obligations légales désormais opposables.
C'est le cœur du travail du CRAD, et l'angle sous lequel le cabinet aborde la question. La production de données d'enquête exige aujourd'hui une conformité native, intégrée dès la conception du dispositif : recueil du consentement éclairé, minimisation des données collectées, sécurisation du stockage et des transferts, et, au Bénin, déclaration des traitements à l'APDP. Ce n'est pas une contrainte administrative ajoutée après coup, mais une exigence de qualité au même titre que la représentativité de l'échantillon. Une donnée collectée hors du cadre légal est une donnée fragilisée, quelle que soit sa rigueur statistique.
Dans la pratique, cette conformité se traduit par des choix concrets à chaque maillon de la chaîne. Sur le terrain, la collecte mobile chiffre les données dès la saisie sur la tablette de l'enquêteur, avant même toute transmission. Le consentement est recueilli et horodaté, et l'enquêté sait à quoi serviront ses réponses. La pseudonymisation sépare les identités directes des variables d'analyse, de sorte qu'une base perdue ou volée ne révèle pas immédiatement qui a répondu quoi. L'hébergement privilégie des serveurs dont la localisation et le régime juridique sont maîtrisés, et les accès sont tracés et restreints au strict nécessaire. Aucun de ces gestes n'est spectaculaire ; leur absence, elle, transforme une simple enquête en incident de protection des données. La différence entre un dispositif conforme et un dispositif exposé ne tient pas à la technologie disponible, mais à la discipline de mise en œuvre, exactement le même écart que celui qui sépare, à l'échelle des États, la loi votée de la protection réelle.
L'enjeu dépasse la conformité de chaque étude. Bailleurs et États déploient des dispositifs de suivi-évaluation qui brassent des volumes croissants de données personnelles, souvent sans que ces dispositifs soient explicitement arrimés aux cadres nationaux de protection. Le CRAD peut aider à combler cet écart, en concevant des chaînes de collecte, de traitement et de restitution conformes par construction, et en outillant les commanditaires pour qu'ils passent de la loi adoptée à la gouvernance effective. C'est précisément dans cet intervalle, entre le texte et l'application, que se joue la crédibilité de toute politique fondée sur la donnée.
Cette exigence a aussi une dimension d'équité rarement soulignée. Les populations les plus enquêtées, ménages vulnérables, bénéficiaires de programmes sociaux, femmes et jeunes ruraux ciblés par les projets de développement, sont aussi celles qui maîtrisent le moins les enjeux de protection de leurs données et qui subiraient le plus durement une fuite. Protéger la donnée d'enquête, ce n'est donc pas seulement respecter une obligation légale : c'est honorer un contrat de confiance avec les personnes qui, en répondant, rendent la mesure possible. Une politique de développement qui néglige ce contrat scie la branche sur laquelle elle est assise, car la qualité des données futures dépend de la confiance accordée aujourd'hui. La conformité n'est pas l'ennemie de la mesure : elle en est la condition de durabilité.
Au fond, le retard ouest-africain en matière de protection des données et de cybersécurité n'est pas un problème de textes : les lois existent, les scores montent, les stratégies se multiplient. C'est un problème de mise en œuvre, de moyens et de coopération. Les pays qui protégeront réellement leurs citoyens et leurs données ne seront pas ceux qui auront voté le plus vite, mais ceux qui auront doté leurs autorités, tenu leurs engagements dans la durée et accepté de coopérer par-delà les frontières. Combler l'écart, c'est cesser de confondre la loi avec la protection qu'elle promet.
À retenir
- Les scores montent vite : le Bénin passe de 80,1 à 91,5/100 au GCI de l'ITU entre 2020 et 2024, et la moyenne africaine de 21 (2017) à 57 (2024), mais reste 9 points sous la moyenne mondiale.
- La région est à deux vitesses : du Ghana (99,3) au Mali (29,5), l'écart dépasse 69 points sur 100 au sein d'un même espace économique.
- Le score GCI mesure l'engagement des États sur cinq piliers, pas la sécurité réelle des systèmes : il note ce qui est décidé, pas ce qui est défendu.
- L'écart entre texte et application est structurel : 39 pays africains ont une loi de protection des données, mais 34 seulement une autorité opérationnelle, et 16 seulement ont ratifié la Convention de Malabo.
- L'exposition explose : la région concentre près des trois quarts du volume mondial de mobile money (environ 1 100 milliards USD en 2024), et le coût de la cybercriminalité atteint déjà environ 3 milliards USD par an pour l'Afrique selon INTERPOL.
Recommandations aux décideurs ouest-africains
- Doter les autorités de protection des données (DPA) de budgets, d'effectifs et de pouvoirs de sanction à la hauteur des volumes qu'elles supervisent, pour transformer les lois adoptées en protection effective plutôt qu'en textes dormants.
- Ratifier et transposer la Convention de Malabo, afin de bâtir un socle commun d'entraide judiciaire et d'échange de preuves numériques, seule réponse crédible à une criminalité qui ignore les frontières.
- Investir dans la capacité opérationnelle, et pas seulement dans le cadre juridique : équipes de réponse aux incidents (CSIRT/CERT) dotées, formation continue et exercices réguliers, pour combler l'écart entre le score d'engagement et la résilience réelle.
- Sécuriser en priorité le mobile money et les registres publics, devenus des infrastructures critiques : audits réguliers, obligations de notification des incidents et responsabilisation des opérateurs face à des centaines de millions d'utilisateurs exposés.
- Imposer la conformité native (consentement, minimisation, sécurisation, déclaration à l'autorité) à tous les dispositifs publics et financés par les bailleurs qui collectent des données personnelles, notamment les systèmes de suivi-évaluation.
- Mettre en place des indicateurs de résultat désagrégés (incidents détectés, délais de réponse, plaintes traitées par la DPA) pour piloter la cybersécurité par la preuve, et non par le seul score composite qui masque les déséquilibres internes.
Sources
- ITU, Global Cybersecurity Index 2024 (rapport officiel)
- World Bank Data360, ITU Global Cybersecurity Index, Overall Score (données par pays)
- Banque Mondiale, Individuals using the Internet (% de la population), IT.NET.USER.ZS
- Union africaine, Convention on Cyber Security and Personal Data Protection (Malabo) et statut
- INTERPOL, Africa Cyberthreat Assessment Report 2025 (PDF)
- INTERPOL, communiqué New report warns of sharp rise in cybercrime in Africa (2025)
- GSMA, State of the Industry Report on Mobile Money 2025 (données 2024)
- Africa Privacy Roundup 2024, bilan de la protection des données en Afrique
- Data Protection Africa (ALT Advisory), suivi des lois et autorités par pays
- Paradigm Initiative, fuite de données d'agences publiques nigérianes (2024)
- APDP Bénin, cadre légal (Code du numérique, loi 2017-20) via NADPA-RAPDP
- Ministère ghanéen des Communications, Ghana ranked Tier 1 in ITU GCI





