Le Bureau du commissaire à la protection des données (ODPC) a mis en garde les entreprises de sécurité privées au Kenya contre la collecte illégale de données personnelles excessives auprès des visiteurs. Dans une note d'orientation provisoire, l'ODPC indique que seuls les noms, numéros d'identification et heures d'entrée doivent être collectés pour l'accès aux bâtiments. Cet avertissement intervient alors que les cybermenaces et les violations massives de données augmentent dans le pays.
Le Bureau du commissaire à la protection des données (ODPC) a exprimé une profonde préoccupation concernant les pratiques routinières de collecte de données aux postes de sécurité, les qualifiant de risques majeurs pour la vie privée. Dans une note d'orientation provisoire publiée le 19 décembre 2025, l'ODPC souligne que les entreprises de sécurité privées doivent cesser de demander aux visiteurs leurs numéros de téléphone, adresses domiciliaires, état civil et autres détails personnels, car cela viole la loi sur la protection des données de 2019.
Selon le régulateur, les seules informations autorisées pour un accès de base sont le nom du visiteur, son numéro d'identification et l'heure d'entrée. Les entreprises sont exhortées à limiter la collecte à ce qui est strictement nécessaire et à supprimer toute donnée sans base légale.
Cet avertissement survient sur fond d'escalade des violations de données au Kenya. En octobre 2025, une application de santé populaire a été piratée, exposant les dossiers médicaux de 4,8 millions d'utilisateurs. Un incident en février 2025 au service d'enregistrement des entreprises a divulgué les détails de plus de deux millions d'entreprises. Des sites gouvernementaux ont fait l'objet de défigurations lors d'attaques cybernétiques coordonnées en novembre 2025.
L'Autorité de régulation des communications a signalé la détection de plus de 4,5 milliards d'événements de menaces cybernétiques entre avril et juin 2025. L'ODPC insiste sur le renforcement des droits des individus, y compris la possibilité de demander l'accès aux images de vidéosurveillance ou aux journaux de visiteurs les concernant. Cette disposition s'applique à toutes les entreprises relevant de la loi sur la régulation de la sécurité privée de 2016.
Les préoccupations s'étendent également à l'utilisation abusive des données, comme l'utilisation des détails des visiteurs à des fins de marketing non sollicité ou de partage public, ce qui enfreint les principes de limitation des finalités. Le projet est ouvert aux contributions du public avant sa finalisation, signalant une poussée vers un contrôle plus strict des pratiques quotidiennes de données.
Alors que le Kenya fait face à la souveraineté des données, aux transferts transfrontaliers et aux cybermenaces croissantes, l'ODPC considère la limitation de la collecte inutile aux points de sécurité comme une première ligne de défense vitale.
