![[Cameroun] Inexistence de l'autorité de protection des données personnelles : les acteurs du traitement sont-ils exempts de sanctions ? Par Laurent-Fabrice Zengue, Juriste.](local/cache-gd2/db/b113971fc88178b05041d28051658e.jpg?1757946299)
Premièrement, il y a les responsables du traitement et les sous-traitants [1], qui ont la tâche et la responsabilité de se conformer à la loi de protection des données à caractère personnel [2]. À ce titre, ils doivent respecter et appliquer les dispositions relatives aux principes du traitement [3], aux bases légales du traitement [4], et aux obligations des responsables du traitement et des sous-traitants [5].
Deuxièmement, il y a les personnes concernées, à qui la loi a attribué des droits [6], qu’ils peuvent exercer en tant que de besoin, dès lors qu’il y aurait une présomption de non-respect des dispositions légales et/ou de compromission ou violations de leurs données à caractère personnel, à l’occasion de la réalisation des activités de traitement. Troisièmement, il y a l’Autorité de protection des données à caractère personnel, dont les missions sont, notamment de contrôler l’application de la loi par les personnes physiques ou morales en charge des activités de traitement [7], et d’infliger certaines sanctions administratives, le cas échéant [8]. Quatrièmement enfin, il y a les juridictions étatiques qui infligent les sanctions ne relevant pas de l’Autorité de protection des données à caractère personnel.
Nonobstant la distribution des rôles et des prérogatives des acteurs, ci-dessus mentionnée, demeure la question de savoir quelle peut être l’incidence sur l’inexistence de l’Autorité camerounaise de protection des données à caractère personnel, sur l’application ou non de la loi au regard des dispositions de prescription du délai de mise en conformité, et sur la mise en œuvre éventuelle des sanctions.
A. L’incidence sur l’application ou non de la loi au regard des dispositions de prescription du délai de mise en conformité.
La loi camerounaise relative à la protection des données à caractère personnel prescrit un délai aux personnes physiques et morales pour s’y conformer [9]. Ainsi, y a-t-il suspension de l’exécution de la loi jusqu’au terme des 18 mois de délai prescrits pour la mise en conformité ? A défaut, quelle solution est possible ?
1. Y a-t-il suspension de l’exécution de la loi jusqu’au terme des 18 mois de délai prescrits pour la mise en conformité ?
Les dispositions de la loi camerounaise prescrivent un point de départ de la mise en vigueur de la loi qui est sa date de promulgation, et une date limite de mise en conformité. En revanche, il n’y a aucune disposition suspendant l’application de ladite loi, jusqu’à l’échéance du délai de mise en conformité.
2. Solution possible : l’application du principe de précaution.
Par principe et de pratique, le délai de rigueur de mise en conformité à une loi ne saurait être assimilée à un délai de suspension d’exécution de ladite loi. Autrement dit, en l’absence d’une disposition légale spéciale de suspension de l’exécution des dispositions ou d’une partie des dispositions de la loi camerounaise relative à la protection des données à caractère personnel, et bien qu’il y ait un délai de mise en conformité au profit des personnes physiques et morales en charge des activités de traitement des données personnelles, il serait opportun de s’appliquer le principe de précaution [10], en se mettant en conformité. Ce d’autant plus qu’il serait difficile d’évoquer l’absence de prévisibilité [11], en matière de sanction relative à la non-protection des données à caractère personnel au Cameroun.
B. L’incidence sur l’inexistence de l’Autorité camerounaise de protection des données à caractère personnel.
L’intervention de l’Autorité de protection des données à caractère personnel, dans le cadre de l’exécution d’une loi de protection des données personnelles, concerne notamment la mise en place des outils de conformité dont le premier est l’autorisation dans le présent cas.
1. L’absence de délivrance d’autorisation pas l’autorité de protection des données à caractère personnel empêche-t-elle la réalisation des activités de traitement ?
Cette question appelle une analyse pragmatique de la situation sur trois points : toutes les personnes physiques ou morales réalisent des traitements tout le temps, le cas des traitements sous l’empire de législations étrangères, et les régimes de contrôle de la conformité.
a. Toutes les personnes physiques ou morales traitent les données à caractère personnel sans autorisation.
La loi camerounaise de protection des données personnelles subordonne ou soumet tout traitement de données à caractère personnel à l’obtention préalable d’une autorisation délivrée par l’Autorité de protection des données à caractère personnel [12]. Or, selon la définition du traitement [13] établie dans ladite loi, il est absolument impossible à une personne physique ou morale exerçant ou agissant dans le champ d’application déterminé [14] de ne pas traiter les données à caractère personnel. Au quotidien, tout le monde traite les données personnelles, d’une manière ou d’une autre, même sans en avoir bien conscience, sinon aucune activité ou presque n’est possible. En outre, l’autorisation n’est pas le seul outil de conformité. Il y a une batterie de mesures prescrites par la loi camerounaise permettant de se mettre en conformité, aussi bien avant qu’après l’obtention de l’autorisation voire sans lien avec l’autorisation, dès lors que l’on réalise des activités de traitement des données personnelles, y compris dans le cas des transferts internationaux.
b. Les régimes de contrôle de la conformité.
Il existe, universellement, deux principaux régimes de contrôle de la conformité à la protection des données personnelles : l’accountabilty et l’autorisation/déclaration.
Le régime de l’autorisation et/ou de la déclaration repose sur une logique de formalités préalables, en posant le principe selon lequel, tout traitement devrait préalablement soit être autorisé par l’autorité nationale en charge du contrôle de la protection des données soit être déclaré par le responsable du traitement ou le sous-traitant, le cas échéant.
Le régime d’accountability repose sur une logique de conformité continue, tout au long du cycle de vie opérationnelle de la donnée, rendant les acteurs responsables, sous le contrôle et avec l’accompagnement de l’autorité de protection des données personnelles, avec une double obligation. Premièrement, tout acteur du traitement doit de façon permanente être tenu à son propre auto-contrôle, sa responsabilité et la reddition de compte pour les traitements qu’il réalise, permettant ainsi de protéger la donnée tout au long de son cycle de vie. En second lieu, la conformité doit être prouvée, démontrée, notamment par la documentation, en ce qui concerne l’effectivité et la consignation des mesures relatives au respect des principes du traitement et du respect des droits des personnes concernées.
2. Quelle solution en cas d’absence d’autorisation délivrée par l’autorité de protection des données à caractère personnel ?
L’Autorité camerounaise de protection des données à caractère personnel n’ayant été ni créée ni organisée, et n’étant donc pas fonctionnelle [15], le régime de conformité dit de l’autorisation/déclaration est inopérant, puisque c’est l’Autorité de protection qui doit délivrer ledit outil de conformité. En revanche, rien n’interdit aux personnes physiques et morales en charge du traitement des données personnelles d’adopter la mise en conformité par un accountability spontané. C’est une solution pragmatique qui permet de se mettre à l’abri d’éventuelles sanctions. Encore faudrait-il prendre en compte le fait que le régime dit d’accountability n’est peut-être pas complètement inexistant dans la loi camerounaise car, il existe une sorte d’accountability sous la forme d’obligation d’adresser un rapport annuel [16].
c. Le cas des activités de traitement des données personnelles sous l’empire des législations étrangères.
Au moyen de la fiction juridique du champ d’application ou de compétence de la législation de protection de données personnelles par l’extension territoriale, les représentations diplomatiques et consulaires des pays étrangers au Cameroun peuvent être sous l’empire de la loi des pays qu’elles représentent. Par conséquent, leurs données personnelles traitées par les personnes physiques ou morales en charge des activités de traitement, bien qu’étant sous l’empire de la loi camerounaise pourraient être amenées à réaliser lesdits traitements conformément aux dispositions des lois étrangères considérées. Ainsi, par exemple, un opérateur de téléphonie procédant à la collecte des données personnelles dans le cadre de l’exécution de l’obligation légale d’identification de ses clients, ressortissants étrangers en service dans les représentations diplomatiques, peuvent être contraints de respecter les dispositions légales de ces pays étrangers, en ce qui concerne la protection des données personnelles. De ce fait, le non-respect desdites dispositions peut entraîner des sanctions prévues par la législation desdits pays étrangers, y compris devant les juridictions camerounaises alors même que la loi camerounaise, par hypothèse n’est pas encore applicable. Néanmoins, il peut y avoir des exceptions en présence, notamment de garanties appropriées, de décisions d’adéquation, d’arrangements administratifs entre le Cameroun et ces pays étrangers, aussi bien au niveau étatique qu’au niveau privé.
C. L’incidence sur l’application des sanctions.
Considérons le premier postulat de l’analyse, selon lequel en cas d’absence de dispositions expresses suspensives d’application de la loi relative à la protection des données personnelles durant le délai de mise en conformité. Alors, ledit délai de mise en conformité ne saurait être assimilable à une suspension d’application implicite de la loi camerounaise. Et donc, l’application des sanctions est parfaitement possible dès la promulgation et la mise en vigueur de la loi. Ce qui conduirait à examiner les questions relatives à la mise en œuvre effective des sanctions légalement prévues.
1. Les sanctions camerounaises encourues par les personnes physiques et morales en charge des activités de traitement des données personnelles.
Il y a lieu d’examiner à la fois l’éventualité des sanctions encourues sous l’empire de la loi camerounaise et les sanctions encourues sous l’empire des lois étrangères, le cas échéant.
a. Les sanctions encourues sous l’empire du droit camerounais.
Sur la nature des sanctions, il y a des sanctions administratives, pénales et civiles prévues, ainsi que des mesures d’accompagnement visant, soit à rendre lesdites sanctions effectives, persuasives et proportionnées, d’une part, soit à assurer une meilleure administration de la justice, d’autre part. Sur les motifs des sanctions, il y a le motif de traitement des données personnelles sans le respect des outils de conformité à édicter par l’Autorité de protection des données à caractère personnel, y compris l’autorisation [17].
b. Les sanctions encourues sous l’empire du droit étranger.
Les sanctions encourues sous l’empire des législations étrangères sont celles déterminées par lesdites législations, par des instruments juridiques contraignants de quelque nature que ce soit, entre les personnes physiques ou morales camerounaises et celles desdits pays étrangers.
2. Les organes en charge de sanctionner.
L’aspect relatif aux organes en charge de sanctionner n’est pas le moindre, puisqu’il prend en compte non seulement la difficulté due au fait de l’absence de précision sur l’étendue du pouvoir de sanction de l’Autorité de protection des données à caractère personnel, mais aussi sur l’existence du pouvoir de sanctionner dévolu aux juridictions étatiques.
a. L’absence de précision sur le pouvoir de sanction de l’Autorité de protection des données à caractère personnel.
Bien que dans l’énumération de ses missions et pouvoirs, l’Autorité camerounaise de protection des données à caractère personnel n’a pas un pouvoir, explicite large, de sanction à proprement parler, son rôle se limitant à l’instruction des réclamations pétitions et plaintes introduites auprès d’elle [18], elle hérite, explicitement, tout de même du pouvoir de prononcer la suspension de l’activité, objet de l’autorisation, et/ou le retrait de l’autorisation, ainsi que l’interdiction d’exercer toute activité de traitement de données à caractère personnel [19]. En revanche, il n’y a aucune précision sur son pouvoir d’infliger des pénalités administratives pécuniaires, encore moins des sanctions civiles et pénales.
b. Le pouvoir de sanction implicitement dévolu aux juridictions étatiques.
Par la nature des sanctions et en raison des dispositions légales non-contraires, le pouvoir d’infliger des sanctions revient aux juridictions de l’ordre administratif pour les sanctions administratives, d’une part, et aux juridictions de l’ordre judiciaire pour les sanctions civiles et pénales, d’autre part. Cela emporte logiquement les règles procédurales propres à chacune desdites catégories de juridictions.
Quant au droit applicable au fond, avec le principe de la légalité, il s’agit a priori du droit camerounais pour les fautes relevant de la loi camerounaise, et du droit étranger pour les fautes relevant des lois étrangères, dans l’hypothèse de la prise en considération du champ d’application ou de compétence des lois étrangères par l’extension territoriale des pays considérés, le cas échéant.
D. Les précautions préalables manquantes dans la loi camerounaise de protection des données personnelles.
Les dispositions de la loi camerounaise auraient pu atteindre d’emblée leur pleine efficacité, au moyen de leur clarté, sur divers points : la précision d’un délai d’application et la mise en place de mesures transitoires en attendant la mise en place de l’Autorité camerounaise de protection des données à caractère personnel.
1. L’utilité de précision d’un délai de départ d’exécution de la loi.
Le législateur camerounais aurait pu préciser, premièrement, que le délai de rigueur d’exigibilité de la conformité était ou non assimilable à une suspension d’exécution de la loi. Dès ce moment, il serait venu à l’idée de déterminer des délais de suspension d’application de la loi relative à la protection des données à caractère personnel, soit de manière générale soit de manière spécifique pour certaines catégories de données et/ou catégories de traitements, ou encore pour la mise en œuvre des sanctions ou certaines d’entre elles.
2. L’opportunité des mesures palliatives de l’inexistence de l’Autorité de protection des données à caractère personnel.
En dehors de son choix explicite de création ex-nihilo d’une autorité nationale de contrôle de la protection des données personnelles, deux autres possibilités s’offraient à l’imagination du législateur camerounais : l’intérimat soit le greffage.
L’intérimat signifie qu’une structure ou une entité assure, par intérim, le contrôle de la protection des données à caractère personnel, en attendant la mise en place de l’autorité nationale de contrôle instituée et créée à cet effet. Pour ce qui concerne l’exercice des missions et pouvoirs dévolus à l’Autorité de protection des données à caractère personnel, elle pourrait être assurée par une entité intérimaire, jusqu’à la création, l’organisation et le fonctionnement de l’autorité ci-dessus mentionnée. Cette solution a le mérite de survivre au dépassement du délai prescrit par la loi relative à la protection des données à caractère personnel.
Le greffage, quant à lui, est le cas où les missions et les pouvoirs d’une autorité déjà existante sont enrichis de ceux de l’autorité de protection des données personnelles. Cette approche est celle choisie par la Côte d’Ivoire où l’on avait confié à l’Autorité de Régulation des Télécommunications/TIC, les missions et pouvoirs de l’autorité nationale de contrôle de la protection des données à caractère personnel [20]. C’est aussi le cas de la législation zimbabwéenne qui confie le contrôle de la protection des données à caractère personnel à Postal and Telecommunications Regulatory Authority [21]. L’on peut encore citer le cas de l’Ethiopie où l’Ethiopian Communications Authority est désignée autorité nationale de contrôle de la protection des données personnelles [22]. Aussi, l’Autorité de Régulation des Télécommunications et des Technologies de l’Information et de la Communication ivoirienne, et la Postal and Telecommunications Regulatory Authority zimbabwéenne, mènent, à la fois, leurs missions originelles, et les missions additives relatives à la protection des données personnelles. Il en est de même de l’Eswatini Communications Commission [23], de l’Autorité de Régulation de la Poste et des Télécommunications du Congo [24] et de la Malawi Communications Regulatory Authority [25], ci-devant autorités nationales de contrôle d’Eswatini, d’Ethiopie, de la République Démocratique du Congo, et du Malawi.
Pour le cas du Cameroun, trois entités auraient pu ou pourraient servir de régulateur de la protection des données personnelles : la Commission Nationale des Droits de l’Homme, l’Agence de Régulation des Télécommunications, et l’Agence Nationale des Technologies de l’information et de la Communication. Deux motifs peuvent militer dans ce sens : la connexité de leurs missions avec la problématique de la protection des données et de la vie privée, et leur expérience en matière d’exercice des pouvoirs d’enquête, du pouvoir normatif, du pouvoir de sanction, ainsi que de la mission d’information et de reddition de compte.
Ce qu’il faut retenir.
Le Cameroun fait partie du dernier quart des pays africains à s’octroyer une loi relative à la protection des données à caractère personnel. Sans préjuger de la pertinence du contenu de ladite loi, l’on constate que certains aspects primordiaux, concernant son objectif et sa mise en œuvre, ont échappé à la vigilance du législateur, ouvrant ainsi un univers de possibles dans le contexte d’une éventuelle tolérance administrative. Le vin est tiré…
