Articles

Opérationnalisation de la loi camerounaise sur la protection des données : Un examen des principales dispositions et des impacts

TH ADMIN
Tuesday, February 4, 2025

Collaborateurs : Dorcas Tsebee, Precious Nwadike, Victoria Adaramola et Ridwan Oloyede

Introduction

En décembre 2024, le Parlement camerounais a officiellement publié la loi sur la protection des données (« la loi »). La promulgation de la loi conclut un processus qui a commencé en 2023 et a été repris avec la délibération du projet de loi sur la protection des données en mai 2024. La loi établit un cadre juridique complet pour le traitement des données à caractère personnel dans le pays. Elle crée des droits pour les personnes concernées et introduit de solides mécanismes de responsabilité. Un aspect essentiel de la loi est la création d'une autorité de protection des données personnelles (DPA) chargée de veiller au respect de la loi et de publier les règlements nécessaires à sa mise en œuvre. Cette étude met en lumière les principales dispositions de la loi et fournit une feuille de route opérationnelle pour les responsables du traitement des données et les sous-traitants au cours de la période de transition de 18 mois.

Champ d'application - Articles 2 et 3

La loi régit le traitement des données personnelles au Cameroun. Contrairement à d'autres lois sur la protection des données, elle n'a pas d'applicabilité extraterritoriale, excluant les activités de traitement des responsables du traitement et des sous-traitants établis en dehors du pays qui traitent les données des personnes concernées au Cameroun. La loi s'applique également sur un territoire où la loi camerounaise s'applique. La loi ne s'applique pas au traitement des données à caractère personnel pour des activités exclusivement personnelles et domestiques, à des fins littéraires, artistiques et journalistiques, ainsi qu'au traitement à des fins d'archivage dans l'intérêt du public.

Création de l'Autorité de protection des données personnelles - Article 53

La loi prévoit la création de l'Autorité de protection des données (« l'Autorité ») pour superviser sa mise en œuvre. L'Autorité jouera un rôle central dans la mise en œuvre de la loi en émettant des règlements, en publiant des décisions d'adéquation pour les transferts internationaux de données et en veillant au respect général de la loi. Sa création sera officialisée par un décret présidentiel.

Principes de traitement - Articles 6-13 & 15

La loi met l'accent sur des principes de traitement fondamentaux tels que le respect de la vie privée, la légalité, la loyauté, la limitation des finalités, l'exactitude, la limitation du stockage, la confidentialité et la sécurité. Le responsable du traitement et le sous-traitant doivent également garantir un traitement non frauduleux des données à caractère personnel.

Traitement des données à caractère personnel d'un mineur - articles 9 et 19, paragraphe 2

La loi prévoit des protections pour les mineurs (personnes âgées de moins de 18 ans). Le traitement de leurs données nécessite le consentement des parents ou des tuteurs, lorsque celui-ci constitue la base légale. Le traitement des données pour offrir des services aux mineurs doit être adéquat, pertinent et limité à ce qui est nécessaire à cette fin. Les représentants légaux peuvent s'opposer à tout traitement sans consentement. En outre, l'autorisation préalable de l'autorité doit être obtenue pour traiter les données sensibles d'un mineur.

Information de la personne concernée - articles 14 et 21

La loi oblige les responsables du traitement à fournir aux personnes concernées des informations complètes sur les activités de traitement. Ces informations doivent comprendre la finalité du traitement, les destinataires tiers, les droits de la personne concernée, la durée de conservation et les directives relatives au traitement post-mortem. Ces informations doivent être fournies par le biais d'un avis de confidentialité et d'autres documents de transparence.

Autorisation préalable de traitement - Article 19

La loi impose que le traitement des données personnelles soit soumis à l'autorisation préalable de l'Autorité. La procédure détaillée d'obtention de cette autorisation sera décrite dans les futurs règlements publiés par l'Autorité. La loi prévoit par exemple le traitement de données sensibles concernant des mineurs.

Sécurité des données - Article 22(2) & 27

La loi exige que les responsables du traitement des données et les sous-traitants mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données à caractère personnel. Ces mesures comprennent la gestion des accès, la sauvegarde des données, la vérification par des tiers et la prévention de l'accès non autorisé aux données à caractère personnel. En outre, les responsables du traitement sont tenus de présenter des rapports annuels sur la mise en œuvre de ces mesures, sur la base d'un cadre de référence qui sera publié par l'Autorité.

Notification de violation - Article 22

La loi exige que les responsables du traitement des données et les sous-traitants notifient l'Autorité et les personnes concernées en cas de violation des données. Contrairement à de nombreuses autres lois sur la protection des données qui font peser cette obligation uniquement sur le responsable du traitement, la loi tient les sous-traitants également responsables. En outre, la loi ne fait pas de distinction entre le type de risque (risque élevé ou risque) qui doit donner lieu à une notification, ce qui peut être source d'incertitude.

Périodes de rétention - Article 28

La loi met l'accent sur le respect de durées maximales de conservation des données personnelles, qui seront précisées dans le cadre de référence qui sera élaboré par l'Autorité. Les organisations sont censées aligner leurs calendriers de conservation sur ces délais.

Registre des activités de traitement (RoPA) - Article 29

La loi impose aux responsables du traitement des données et aux sous-traitants de tenir un registre détaillé des activités de traitement, sous forme numérique ou physique. Le registre doit indiquer le nom et les coordonnées de l'entité, la finalité du traitement, les catégories de destinataires des données et les documents attestant de l'existence de garanties appropriées ou le numéro d'autorisation du traitement.

Accords sur le traitement des données - Articles 16, 30 et 31

Les responsables du traitement doivent signer des contrats avec les sous-traitants, garantissant des mesures appropriées pour se conformer à la loi. Ces contrats doivent préciser des détails tels que les catégories de personnes concernées, les types de données traitées, ainsi que les droits et obligations des parties. En outre, les responsables conjoints du traitement sont tenus de signer des contrats régissant leurs responsabilités partagées.

Transfert international de données - Article 32

Les transferts transfrontaliers de données à caractère personnel sont soumis à l'autorisation préalable de l'Autorité. Pour accorder cette autorisation, l'Autorité doit examiner si le pays destinataire dispose d'un niveau de protection adéquat et si un contrat préalable a été conclu avec le pays de destination, en collaboration avec les autorités compétentes.

Analyse d'impact relative à la protection des données (DPIA) - Article 33

Lorsque le traitement est susceptible d'entraîner un risque élevé pour la personne concernée, le responsable du traitement est tenu d'effectuer une DPIA. Les conditions et la procédure de réalisation d'une DPIA seront précisées par l'Autorité dans un règlement ultérieur.

Droits des personnes concernées - Articles 23, 37-44, 46

La loi prévoit plusieurs droits pour les personnes concernées, notamment le droit d'accès, de rectification, d'effacement, de portabilité des données et la possibilité de s'opposer au traitement ou de le restreindre. Elle prévoit également des protections contre le traitement exclusivement automatisé et le profilage, ainsi que des droits post-mortem permettant aux bénéficiaires de mettre à jour les données d'une personne décédée dans des conditions spécifiques. Le délai et la procédure de réponse aux demandes de droits des personnes concernées seront fixés par voie réglementaire.

Droit au respect de la vie privée après la mort - Article 45

La loi exige la cessation du traitement des données d'une personne décédée dès que son décès est confirmé. Toutefois, le traitement peut se poursuivre si une obligation légale l'exige, pour la défense d'une action en justice contre le responsable du traitement, ou conformément aux instructions post-mortem spécifiques de la personne décédée. Pour exercer les droits d'une personne concernée décédée, les bénéficiaires sont autorisés à demander la mise à jour des informations relatives à la personne décédée, les coûts associés étant pris en charge par le responsable du traitement.

Mécanisme de certification - Articles 34 et 35

L'Autorité est habilitée à créer un mécanisme de certification pour valider le respect de la loi. En outre, les procédures de suivi et de contrôle du respect de la loi par les responsables du traitement et les sous-traitants sont fixées par voie réglementaire.

Activités de traitement interdites -Articles 48- 51

La loi impose plusieurs interdictions sur le traitement des données afin de garantir le respect de la vie privée et la conformité. Elle interdit le traitement des données personnelles sensibles, y compris les informations relatives aux opinions et activités religieuses, philosophiques, politiques ou syndicales, ainsi que les données relatives à l'origine raciale ou ethnique, à l'origine linguistique ou régionale, à la vie sexuelle, à la génétique, à la santé et aux données biométriques. Le traitement des données financières sans l'autorisation des autorités compétentes est également interdit, sous réserve des conditions légales applicables. En outre, il est interdit de traiter des données sans le consentement préalable de la personne concernée ou l'autorisation de l'Autorité. Le traitement est également interdit si l'Autorité a ordonné l'effacement ou s'il est contraire à l'ordre public, aux intérêts ou aux bonnes mœurs.

Sanctions - Articles 54 à 71

La loi impose des responsabilités civiles et pénales en cas de non-respect de la loi, ce qui garantit l'obligation de rendre des comptes. Le non-respect de la loi est passible d'une amende pouvant aller jusqu'à 100 000 000 CFA (environ 156 865 USD) ou d'une peine d'emprisonnement pouvant aller jusqu'à 10 ans.

Mise en œuvre de la nouvelle loi:Pour se conformer aux dispositions de la loi avant la fin de la période de transition en juin 2026, les responsables du traitement des données et les sous-traitants doivent prendre les mesures suivantes.

  • Obtenir l'autorisation de traiter les données:Les responsables du traitement des données et les sous-traitants doivent demander l'autorisation préalable de l'Autorité avant de traiter des données à caractère personnel. Cela permet de garantir le respect du cadre juridique. L'Autorité publiera la procédure d'obtention des autorisations, mais les responsables du traitement et les sous-traitants doivent documenter les activités de traitement dans le cadre de la préparation de la demande.
  • Mettre en place un mécanisme de consentement fonctionnel: La loi semble élever le consentement au rang de seule base légale, mais cela ne minimise pas le rôle des obligations de protection des données créées en vertu d'autres lois qui seront soumises à une obligation légale. Les responsables du traitement des données et les sous-traitants doivent créer des mécanismes de consentement clairs et accessibles qui garantissent que les personnes concernées donnent un consentement éclairé, spécifique et volontaire au traitement des données. Il s'agit notamment de mettre en place un système d'enregistrement du consentement et de fournir aux utilisateurs un moyen simple et efficace de retirer leur consentement. Les responsables du traitement doivent garantir la transparence dans la manière dont le consentement est obtenu et fournir des informations détaillées sur la manière dont les données seront utilisées.
  • Mettre en place des garanties pour le traitement des données relatives aux enfants: Les responsables du traitement et les sous-traitants doivent prendre des précautions supplémentaires lorsqu'ils traitent des données relatives à des mineurs (enfants de moins de 18 ans), notamment en obtenant le consentement des parents ou des tuteurs et en vérifiant l'identité du tuteur ou du parent. Le traitement doit être limité à ce qui est nécessaire pour le service spécifique offert au mineur. La mise en œuvre de systèmes de vérification de l'âge et de mécanismes clairs de consentement parental est essentielle pour protéger les données des enfants.
  • Mettre en œuvre des mesures de sécurité: Les responsables du traitement des données et les sous-traitants sont tenus d'adopter des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel, telles que le cryptage, le contrôle d'accès, les évaluations régulières de la sécurité et la surveillance. Les organisations doivent évaluer leurs cadres de sécurité actuels, mettre en œuvre les améliorations nécessaires et s'assurer qu'elles sont prêtes à soumettre à l'Autorité des rapports annuels sur l'état de leurs mesures de sécurité, comme l'exige la loi.
  • Réaliser une cartographie des données: Les organisations doivent procéder à une cartographie complète des données afin de documenter toutes les activités de traitement des données à caractère personnel, y compris leurs finalités, leurs sources, les catégories de données et les personnes concernées, les garanties mises en place et toutes les autorisations obtenues. Cette cartographie aidera les organisations à élaborer un plan d'action pour la protection des données, comme l'exige la loi.
  • Demander l'autorisation pour les transferts internationaux de données: Tout transfert international de données à caractère personnel doit être autorisé par l'Autorité. Par conséquent, les organisations qui ont l'intention de transférer des données à caractère personnel en dehors du Cameroun doivent obtenir une autorisation préalable.
  • Réaliser des évaluations de l'impact de la protection des données (DPIA): Pour les activités de traitement susceptibles de présenter des risques élevés pour les droits et libertés des personnes concernées, il est nécessaire d'effectuer une DPIA. Les DPIA doivent être effectuées avant le début du traitement. L'Autorité publiera des orientations supplémentaires sur les activités susceptibles de donner lieu à une DPIA.
  • Adopter une procédure de diligence raisonnable à l'égard des fournisseurs: Les responsables du traitement des données doivent mettre en œuvre une procédure de diligence raisonnable pour évaluer et s'assurer que les sous-traitants tiers respectent les obligations en matière de protection des données. Il s'agit notamment d'exécuter des accords de traitement des données qui documentent les obligations des deux parties, décrivent les garanties et veillent à ce que les sous-traitants prennent les mesures appropriées en matière de protection des données. Il est essentiel que les responsables du traitement vérifient les pratiques de tous les sous-traitants en matière de protection des données avant de les engager.
  • Adopter une procédure de notification des violations de données: Les responsables du traitement des données et les sous-traitants doivent mettre en œuvre des procédures claires pour notifier l'Autorité et les personnes concernées en cas de violation des données. La loi exige la notification immédiate de toute violation, quelle que soit sa gravité. Les organisations doivent mettre en place un plan d'intervention en cas de violation qui comprend un protocole clair pour signaler les violations dans un délai raisonnable, en veillant à ce que l'autorité de protection des données et les personnes concernées soient informées en temps utile.
  • Rendre opérationnels les droits des personnes concernées: Les responsables du traitement des données doivent veiller à ce que les personnes concernées puissent facilement exercer leurs droits en vertu de la loi. Les organisations doivent créer des systèmes qui rationalisent ces demandes, en veillant à ce que les réponses soient apportées dans les délais requis et que toutes les demandes soient traitées conformément aux obligations légales.

Bien que la loi établisse des garanties solides pour les données personnelles, certaines de ses dispositions peuvent poser des problèmes de conformité importants pour les organisations. La dépendance à l'égard de l'Autorité pour de multiples autorisations et règlements d'application pourrait entraîner des retards dans la mise en œuvre de la conformité. En outre, la création de l'Autorité dépend d'un décret présidentiel, ce qui peut retarder la publication des lignes directrices et des autorisations d'application si elles ne sont pas créées rapidement. En outre, les interdictions étendues concernant le traitement des données sensibles et des données financières peuvent entraver l'innovation et imposer des difficultés opérationnelles aux industries qui dépendent de ces données, comme le secteur de la santé et le secteur financier. Enfin, la loi semble élever le consentement au-dessus d'autres bases légales de traitement telles que le contrat, l'obligation légale, l'intérêt légitime et d'autres, qui sont plus appropriées dans certaines situations, où le consentement n'est peut-être pas idéal. Cela poserait un problème d'opérationnalité, mais n'invaliderait pas non plus les dispositions spécifiques d'autres lois qui créent une obligation légale, comme la loi contre le blanchiment d'argent et la loi contre le terrorisme.

Conclusion

Alors que la loi fournit un cadre complet pour la protection des données au Cameroun, sa mise en œuvre réussie dépend des lignes directrices et des règlements à venir de l'Autorité. Il s'agit notamment de la procédure d'autorisation, du cadre de référence pour les mesures de sécurité techniques et organisationnelles, des conditions de réalisation des DPIA, des procédures d'autorisation des transferts internationaux de données et de la liste d'adéquation, des délais et du processus de traitement des demandes des personnes concernées, entre autres. Ces règlements clarifieront davantage les obligations de conformité et aideront les organisations à aligner leurs pratiques sur les exigences de la loi avant la fin de la période de transition de 18 mois.

Who we are
About us
Privacy Notice
Contact
Services
Privacy and Data Protection
Startup Advisory
Cybersecurity
Regulatory Intelligence
Research and Public Policy
Resources
Insights
Reports
Training
Tech Hive Advisory Africa

We are a technology policy advisory and research firm focusing on the intersection of law, business, and technology.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Copyright ©2025 Tech Hive Advisory Africa