En 2024, le directeur général d'un opérateur télécom ouest-africain découvre que les données financières consolidées de sa filiale, hébergées sur une plateforme BI cloud, sont physiquement stockées dans un datacenter en Irlande. Le régulateur national vient d'adopter un décret imposant la localisation des données financières sur le territoire. L'opérateur dispose de six mois pour se mettre en conformité — et doit choisir entre migrer son infrastructure, changer de plateforme, ou négocier une exemption incertaine.
Ce scénario n'est ni hypothétique ni rare. À mesure que les organisations africaines accélèrent leur transformation digitale, la question de la souveraineté des données devient un enjeu stratégique de premier plan — et un critère de choix technologique que la plupart des décideurs sous-estiment gravement.
La question n'est plus « avons-nous besoin du cloud ? » mais « savons-nous où vont nos données et qui peut y accéder ? »
Le cadre juridique : un patchwork en construction
La Convention de Malabo : l'ambition continentale
Adoptée en 2014 par l'Union Africaine, la Convention de Malabo sur la cybersécurité et la protection des données personnelles constitue le premier cadre continental. Elle impose aux États signataires de mettre en place des autorités de protection des données, de définir des règles sur la collecte et le traitement des données personnelles, et d'encadrer les transferts transfrontaliers.
Le problème : plus de dix ans après son adoption, la Convention n'a été ratifiée que par une quinzaine de pays. L'entrée en vigueur effective reste inégale. La plupart des États ont légiféré de manière indépendante, créant un paysage réglementaire fragmenté que les organisations multi-pays doivent naviguer avec précaution.
Les lois nationales : des approches divergentes
En Côte d'Ivoire, la loi n°2013-450 relative à la protection des données personnelles et son décret d'application de 2024 confient à l'ARTCI le rôle d'autorité de régulation. Le texte impose une déclaration préalable pour tout traitement de données personnelles et encadre les transferts vers des pays tiers — sans toutefois imposer explicitement la localisation des données sur le territoire ivoirien. Cependant, le Schéma Directeur des Systèmes d'Information (SDSI 2026-2030) mentionne la souveraineté numérique comme priorité stratégique, ce qui laisse présager un durcissement.
Au Sénégal, la Commission des Données Personnelles (CDP) applique une loi de 2008 qui prévoit une autorisation préalable pour les transferts hors du territoire. Le Nigeria, avec le Nigeria Data Protection Regulation (NDPR) de 2019 puis le Nigeria Data Protection Act de 2023, a adopté un cadre plus strict qui impose aux organisations de démontrer un "niveau de protection adéquat" dans le pays de destination. Le Kenya, avec son Data Protection Act de 2019, suit une logique similaire.
Le résultat : une organisation qui opère dans plusieurs pays africains doit potentiellement se conformer à autant de régimes différents qu'elle a de filiales. Et ces régimes évoluent rapidement — ce qui était légal il y a deux ans peut ne plus l'être aujourd'hui.
Où sont vos données ? La géographie invisible du cloud
Microsoft Azure et Power BI
Microsoft exploite deux régions Azure en Afrique : Afrique du Sud Nord (Johannesburg) et Afrique du Sud Ouest (Le Cap), opérationnelles depuis 2019. Une région au Nigeria a été annoncée mais n'est pas encore pleinement opérationnelle pour tous les services à la date de rédaction de cet article.
Concrètement, quand une organisation ivoirienne souscrit à Power BI ou à Microsoft Fabric, ses données sont hébergées par défaut dans la région Azure la plus proche ayant la capacité requise — souvent l'Europe (Pays-Bas ou Irlande) pour les tenants francophones. Il est techniquement possible de choisir la région Afrique du Sud, mais cela nécessite une configuration explicite du tenant et peut avoir des implications en termes de latence et de coût.
Le point critique : la majorité des organisations africaines ne savent pas dans quelle région Azure se trouvent leurs données, parce que personne ne leur a posé la question lors du provisionnement du tenant. C'est un risque juridique dormant.
Amazon Web Services et Google Cloud
AWS dispose d'une région en Afrique (Le Cap, depuis 2020). Google Cloud a annoncé des projets en Afrique du Sud et au Nigeria, mais la couverture reste limitée par rapport à l'Europe ou l'Amérique du Nord. Les organisations qui utilisent des outils comme Snowflake, Databricks ou Looker hébergés sur ces clouds doivent vérifier la région effective de déploiement — qui n'est pas toujours celle qu'elles imaginent.
Les cinq questions que tout dirigeant doit poser
Avant de choisir ou de renouveler un contrat avec une plateforme analytique, un dirigeant africain devrait poser cinq questions fondamentales à son DSI et à son fournisseur.
Première question : dans quelle juridiction physique sont stockées nos données ? Pas "dans le cloud" — dans quel datacenter, dans quel pays, sous quelle législation ? Si la réponse est "en Europe", cela signifie que vos données sont soumises au RGPD européen en plus de votre législation nationale. Ce n'est pas nécessairement un problème, mais c'est un fait que vous devez connaître et assumer.
Deuxième question : qui peut accéder à nos données et sous quelle autorité ? Le Cloud Act américain de 2018 permet aux autorités américaines de demander l'accès à des données stockées par un fournisseur américain, même si ces données sont physiquement hébergées hors des États-Unis. Si vous utilisez un service Microsoft, Google ou Amazon, cette réalité s'applique à vous. Les fournisseurs contestent régulièrement ces demandes, mais le cadre juridique existe.
Présence cloud des hyperscalers en Afrique (2025)
Sources : Microsoft Azure Geography Availability, AWS Infrastructure, Google Cloud Locations (2025). Les organisations ivoiriennes utilisant Azure sont par défaut hébergées aux Pays-Bas ou en Irlande.
Troisième question : que se passe-t-il si la réglementation change ? Les lois sur les données évoluent vite en Afrique. Si demain votre pays impose la localisation des données financières sur le territoire, pouvez-vous migrer votre infrastructure en six mois ? Un an ? Votre architecture actuelle le permet-elle techniquement ? Quel serait le coût ?
Quatrième question : avons-nous un plan de réversibilité ? Si vous devez changer de plateforme — pour des raisons réglementaires, de coût, ou de stratégie — pouvez-vous extraire vos données dans un format exploitable ? Les modèles sémantiques, les mesures DAX, les rapports — tout cela est-il portable ou êtes-vous captif d'un écosystème ?
Cinquième question : notre équipe comprend-elle ces enjeux ? La souveraineté des données n'est pas un sujet uniquement technique. C'est un sujet de gouvernance qui implique le DSI, le directeur juridique, le directeur financier et la direction générale. Si une seule de ces parties prenantes est absente de la conversation, vous avez un angle mort.
Architectures hybrides : le pragmatisme comme doctrine
Face à cette complexité, certaines organisations optent pour des architectures hybrides. Le principe est simple : les données sensibles (financières, personnelles, réglementaires) restent sur une infrastructure locale ou régionale, tandis que les données analytiques agrégées et anonymisées peuvent être traitées sur le cloud public pour bénéficier de la puissance de calcul et des outils avancés.
Microsoft Fabric, par exemple, permet cette approche grâce à OneLake et aux capacités de passerelle (data gateway) qui connectent des sources de données on-premise au cloud sans déplacer physiquement les données brutes. Les calculs d'agrégation se font localement, et seuls les résultats remontent vers le dashboard cloud.
Cette architecture n'est pas idéale — elle ajoute de la complexité et du coût. Mais elle offre un compromis pragmatique entre la puissance analytique du cloud et les exigences de souveraineté. Et surtout, elle achète du temps pour que les organisations s'adaptent à un cadre réglementaire encore en mouvement.
Ce que cela change pour votre projet BI
Si vous lancez ou relancez un projet de Business Intelligence, la souveraineté des données n'est plus un sujet "pour plus tard". C'est un critère de conception qui influence le choix de la plateforme, l'architecture technique, le budget, et la gouvernance du projet.
Ignorer ce sujet, c'est prendre le risque de devoir tout refaire dans deux ans quand la réglementation rattrapera votre infrastructure. L'intégrer dès le départ, c'est construire un système qui sera encore conforme dans cinq ans — quel que soit le sens dans lequel les lois évoluent.
NJIADATA intègre systématiquement l'analyse de souveraineté dans la phase de diagnostic. Parce qu'un dashboard qui livre les bonnes données au bon moment, mais qui les stocke au mauvais endroit, est un problème qui attend de se manifester.
Sources et références
Cet article compile des informations issues de sources publiques et de la documentation officielle des plateformes cloud. Il ne constitue pas un avis juridique.
Cadre continental : Union Africaine — Convention de Malabo sur la cybersécurité et la protection des données à caractère personnel (2014) · African Union — Status of ratification (mis à jour 2025).
Législations nationales : Côte d'Ivoire — Loi n°2013-450 · ARTCI — Décrets d'application (2024) · Sénégal — Loi n°2008-12 sur la protection des données · Nigeria — Nigeria Data Protection Act (2023) · Kenya — Data Protection Act (2019).
Cloud et infrastructure : Microsoft — Azure Geography Availability (2025) · AWS — Africa (Cape Town) Region · US Congress — Clarifying Lawful Overseas Use of Data Act (Cloud Act, 2018).
Stratégie nationale : République de Côte d'Ivoire — Schéma Directeur des Systèmes d'Information 2026-2030 (SDSI) · Agence Ecofin — Couverture du SDSI (déc. 2025).