Nigeria : la NITDA inflige sa première amende significative sous le NDPR
La NITDA a condamné une fintech nigériane à une amende de 50 millions de nairas pour violation du Nigeria Data Protection Regulation. C'est la première sanction d'ampleur depuis l'entrée en vigueur de la NDPA en 2023.
Publié le
26 mai 2026
Lecture
~2 min
Score Afrique
Sévérité
Partager
↗
La décision
Le 22 mai 2026, la Nigeria Data Protection Commission (NDPC) a rendu publique une décision de sanction contre Kredify, une fintech de crédit instantané active à Lagos, pour violation de plusieurs dispositions du Nigeria Data Protection Act (NDPA) 2023.
L'amende s'élève à 50 millions de nairas (environ 31 000 dollars au cours actuel). Ce montant est symboliquement important : c'est la première sanction publique et conséquente émise sous le nouveau régime NDPA, qui remplace la NDPR de 2019.
Les violations retenues
Trois manquements ont été retenus contre Kredify :
1. Collecte excessive de données. Kredify exigeait l'accès aux contacts téléphoniques complets, à la galerie photo et à l'historique d'appels de ses utilisateurs. Ces données étaient utilisées pour des pratiques de recouvrement agressives — contactant les proches des emprunteurs en défaut.
2. Absence de base légale pour le partage de données. Kredify partageait les données de crédit de ses clients avec sept partenaires sans base légale documentée ni information préalable des utilisateurs.
3. Délai de réponse aux demandes d'accès. La NDPC a constaté que Kredify ignorait systématiquement les demandes d'accès aux données personnelles, en violation de l'article 34 de la NDPA qui impose un délai de réponse de 72 heures.
Pourquoi cette décision est importante
Cette amende établit un précédent clair : la NDPC est prête à sanctionner les fintechs sur des pratiques qui étaient jusqu'ici tolérées ou ignorées.
Les pratiques visées — collecte de contacts pour le recouvrement, partage non consenti avec des tiers — sont extrêmement répandues dans l'écosystème des prêteurs numériques en Afrique de l'Ouest. Carbon, FairMoney, PalmCredit et plusieurs dizaines d'autres acteurs utilisent des mécaniques similaires.
Implications pour l'écosystème
Pour les fintechs opérant au Nigeria, les priorités de mise en conformité immédiates sont :
— Revoir les permissions demandées à l'installation des applications mobiles. — Documenter la base légale de chaque traitement de données partagé avec des tiers. — Mettre en place un processus de réponse aux demandes d'accès dans les 72 heures. — Cesser toute pratique de contact des tiers (famille, collègues) dans les opérations de recouvrement.
Le signal régional
La NDPC nigériane devient la première autorité de protection des données d'Afrique subsaharienne à émettre des sanctions publiques significatives. La PDPC du Sénégal et le CIPD de Côte d'Ivoire observent le précédent. Une vague de mise en conformité forcée dans les fintechs d'Afrique de l'Ouest est probable dans les 12 à 18 mois.
— ◆ —