La loi camerounaise relative à la protection des données à caractère personnel a été promulguée. L’analyse de ladite loi, est réalisée sur la base des quatre piliers ci-après : son contexte, l’intégration des universalités relatives à la protection des données personnelles et de la vie privée, les approches de contextualisation nationale et d’intégration internationale, ainsi que les insuffisances observées. Lesdits piliers sont vérifiables au fil de l’analyse, en prenant en compte, la nature transfrontière de la circulation des desdites données, et les principes fondamentaux internationaux universellement partagés.

Introduction.

La problématique de la protection des données personnelles est devenue, peu à peu, une préoccupation mondiale dont la quasi-totalité des Etats se saisit progressivement, au moyen des principaux instruments fondateurs de la protection des données personnelles et de la vie privée, notamment la Déclaration universelle des droits de l’homme des Nations Unies et les Lignes directrices de l’OCDE.

La protection des données personnelles est un droit fondamental qui relève du droit à la vie privée. Le premier instrument reconnu dans le monde entier est la Déclaration universelle des droits de l’homme [1].

A la suite de la Déclaration des droits de l’Homme, l’Organisation des Nations Unies (ONU) a fait élaborer, par United Nations Privacy Policy Group (UN PPG) [2], les principes des Nations Unies sur la protection des données personnelles et de la vie privée, qui visent à : harmoniser les normes de protection des données à caractère personnel dans l’ensemble des organisations du système des Nations Unies ; faciliter le traitement responsable des données à caractère personnel aux fins de la mise en œuvre des mandats des organisations du système des Nations Unies ; et assurer le respect des droits de l’homme et des libertés fondamentales des individus, en particulier le droit à la vie privée.

Les lignes directrices de l’OCDE sur la protection de la vie privée et les flux transfrontières de données de caractère personnel [3], quant à elles, sont un consensus international sur les orientations générales concernant le recueil et la gestion d’informations de caractère personnel. Lesdites Lignes directrices définissent les principes essentiels applicables ; aident les gouvernements, les entreprises, la société civile et les représentants des consommateurs, à protéger la vie privée et les données personnelles, tout en évitant des restrictions inutiles aux flux transfrontières de données ; sont complétées par la Déclaration relative à la protection de la vie privée sur les réseaux. Les Lignes directrices de l’OCDE reposent sur les cinq points majeurs ci-après : les principes fondamentaux applicables sur le plan national sont la limitation en matière de collecte, la qualité des données, la spécification des finalités, la limitation de l’utilisation, les garanties de sécurité, la transparence, la participation individuelle, et la responsabilité ; l’exercice de la responsabilité incombe au responsable du traitement ; les principes fondamentaux applicables sur le plan international reposent sur la libre circulation et restrictions légitimes ; les pays membres devraient élaborer des stratégies nationales de protection de la vie privée ; les pays membres devraient prendre des mesures appropriées pour faciliter la coopération transfrontières.

La protection des données personnelles connaît un essor législatif, réglementaire et conventionnel considérable à travers le monde. Les législations et les réglementations peuvent être transversales, en s’appliquant à l’ensemble des secteurs d’activités. Elles peuvent aussi être sectorielles, c’est-à-dire être circonscrites sur le plan matériel, en ne concernant qu’un ou plusieurs secteur(s) d’activités, ou sur le plan personnel, en ne visant qu’une ou plusieurs catégories déterminées et restreintes de personnes.

La loi camerounaise relative à la protection des données à caractère personnel a été promulguée [4]. L’analyse de ladite loi, est réalisée sur la base des quatre piliers ci-après : son contexte, l’intégration des universalités relatives à la protection des données personnelles et de la vie privée, les approches de contextualisation nationale et d’intégration internationale, ainsi que les insuffisances observées. Lesdits piliers sont vérifiables au fil de l’analyse.

La protection des données personnelles est une problématique que l’on ne peut pas, de façon crédible aborder sans se référer à la nature transfrontière de la circulation des desdites données, avec un minimum de principes internationaux universellement partagés.

A. Les défis contemporains de la protection des données personnelles.

Les défis contemporains de la protection des données personnelles sont de deux ordres. D’un côté, il est impératif de protéger la vie privée des personnes physiques, et de l’autre côté, il est nécessaire de permettre aux données de circuler, pour obéir aux besoins des activités socio-économiques.

1. Les défis contemporains de nature non-économique de la protection des données personnelles.

La législation et la réglementation relative à l’exploitation des données personnelles oppose des intérêts divers et différents voire divergents. Il s’agit d’empêcher les pouvoirs publics de sacrifier unilatéralement les droits constitutionnels sur l’autel de la sécurité et la défense nationales, de trouver un équilibre entre l’intérêt public et l’intérêt privé, de permettre au pouvoir judiciaire de maintenir l’équilibre entre l’intérêt public et l’intérêt privé.

2. Les défis contemporains de nature économique de la protection des données personnelles.

Les défis contemporains de nature économique de la protection des données transparaissent à travers le rôle et l’esprit des Lignes directrices de l’OCDE. En effet, lesdites Lignes directrices visent à promouvoir les principes essentiels applicables, à éviter des restrictions inutiles aux flux transfrontières de données. Les nécessités économiques sont le principal moteur des dispositions et stipulations contenues dans les instruments dédiés aux transferts internationaux de données personnelles.

B. Les systèmes contemporains de protection des données personnelles.

1. La nomenclature mondiale des instruments juridiques de protection des données personnelles.

La protection des données à caractère personnel repose sur certains instruments fondateurs. Au niveau universel et onusien, il y a d’abord la Déclaration universelle des droits de l’homme, notamment son article 12 : « Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes ». Il y a en second lieu, la Résolution onusienne 45/95 du 14 décembre 1990 qui pose les Principes directeurs pour la règlementation des fichiers personnels informatisés.

En Afrique. C’est la Convention de l’Union africaine (UA) sur la cybersécurité et la protection des données à caractère personnel, appelée aussi « Convention de Malabo », adoptée le 27 juin 2014 qui est le principal instrument fédérateur à vocation continentale dans le domaine. Toutefois, les trois tiers de pays africains sont aujourd’hui d’instruments législatifs relatifs à la protection des données personnelles.

En Amérique, Antarctique et Océanie. Aux Etats-Unis, la protection des données à caractère personnel est assurée au niveau fédéral par le Data Privacy Framework, et les législations diverses des Etats fédérés dont la plus emblématique est le California Consumer Privacy Act of 2018. En Amérique, en Antarctique et en Océanie, diverses lois existent à ce sujet.

En Asie. La Chine a la Personal Information Protection Law, assez similaire au RGPD européen. L’Inde se base sur son Digital Personal Data Protection Act 2023, pour protéger ses données personnelles. Le Japon avait élaboré et renforcé sa loi sur la protection des données, dite Protection of Personal Information Act. La Corée du Sud fonctionne avec le Personal Information Protection Act.

En Europe. Dans l’Espace économique européen (EEE), c’est le RGPD qui tient le haut du pavé. Néanmoins, certains pays du continent européen disposent de leur propre loi de protection des données personnelles non affiliée au RGPD, notamment ceux non-membres de l’EEE.

2. Les approches de saisie de la problématique de la protection des données à caractère personnel.

Deux approches peuvent sont identifiables : celle dimensionnelle et celle objective.

a. L’approche dimensionnelle.

L’approche dimensionnelle permet de saisir la protection des données à caractère personnel sous un angle soit sectoriel soit global. Sur le plan sectoriel, la saisie de la protection des données à caractère personnel s’effectue en considération de certains types de données ou alors en considération de certains secteurs d’activité avec des textes sectoriels : c’est le cas des Etats-Unis d’Amérique, aussi bien au niveau fédéral qu’au niveau des Etats fédérés, à l’exemple de la Californie qui s’est intéressée à la consommation et au marché [5]. L’inconvénient d’une telle approche peut-être le manque de cohérence.

Néanmoins, l’Union européenne n’en est pas exempte au regard des dispositions de son article 45 du RGPD, qui ouvre la voie à l’adéquation partielle et à l’adoption des Binding Corporate Rules. L’Union européenne a préféré une approche globale ou transversale de la problématique de protection des données personnelles : c’est aussi le cas de Hong Kong, Taiwan, Philippines ou Singapour.

b. L’approche objective.

L’approche objective saisit la problématique de la protection des données à caractère personnel par son utilité ou ce à quoi elle est destinée. Ainsi, il y a la protection des données à caractère personnel à des fins idéalistes et sécuritaires, qui vise la protection de la vie privée et des droits fondamentaux : c’est le penchant européen.

D’un autre côté, il existe l’approche objective consumériste et mercantiliste qui fait de la donnée une marchandise. Cette approche est le principal vecteur du protectionnisme économique qui est né dans la cadre de la circulation et de l’accès aux données à caractère personnel dans les espaces économiques : c’est le penchant étasunien et canadien.

c. Evolutivité et orientations contemporaines de la protection des données à caractère personnel.

L’évolutivité domaniale.

Initialement sur le terrain de la protection de la vie privée et donc avec des aspects très culturels, les questions relatives à la protection des données personnelles sont désormais solidement ancrées dans la sphère économique. De même, la protection des libertés cède peu à peu le pas aux exigences de la sécurité publique et à la sûreté de l’Etat.

L’évolutivité des logiques.

Au départ la logique avait été celle de la protection de la vie privée et de la libre circulation, les données à caractère personnel questionnent, à l’heure actuelle, la monétisation et la patrimonialisation, ainsi que la rémunération de la personne dont les données sont traitées, ainsi que la possibilité, pour une personne de payer les services de la société de l’information avec ses propres données.

L’évolutivité géographique.

En principe, la protection des données avait été celle des citoyens d’un espace étatique souverain. Mais, l’on observe un décentrement, qui conduit à l’explosion des barrières étatiques pour adopter la logique des espaces économiques. Ce qui est de nature à crédibiliser la thèse désormais prégnante de la logique économique dans la protection des données à caractère personnel. Les dispositifs de transferts à l’étranger des données personnelles y contribuent grandement.

Logique de conformité continue.

La logique devrait être celle d’une conformité continue, tout au long du cycle de vie opérationnelle de la donnée à caractère personnel, rendant les acteurs de façon permanente responsables, sous le contrôle et avec l’accompagnement d’un régulateur indépendant. Ce serait une option importante et complètement différente de la logique des formalités préalables de la déclaration et de l’autorisation des acteurs, et qui est moins contraignante au regard du respect des dispositions de protection, une fois lesdites formalités satisfaites. Il s’agit aussi d’opter pour la minimisation du contrôle en amont au moyen des formalités, et pour l’optimisation des pouvoirs de contrôle et de sanction.

a. La nécessité de convergence et d’intelligibilité normative, et de coopérativité internationale.

La protection des données personnelles ne peut pas évoluer en vase clos. Il est nécessaire qu’une loi dédiée aient des points de convergence des niveaux d’exigence légale en ce qui concerne le respect des principes, la facilitation de l’exercice des droits des personnes, l’infliction des sanctions, afin de crédibiliser le dispositif.

Ladite convergence de niveaux d’exigences n’est possible que si deux défis préalables sont relevés : l’existence d’une loi suffisamment forte et protectrice des personnes concernées ; et, l’existence d’une autorité de contrôle indépendante et suffisamment efficace à faire respecter les droits des personnes concernées, et faire appliquer les principes érigés, les droits et libertés reconnus aux personnes concernées, la garantie et la réglementation de la libre circulation des données à caractère personnel.

Il en résulte plusieurs gains. Premièrement, il y a l’évitement de la situation de subordination vis-à-vis d’autres ordres juridiques. En deuxième lieu, on gagnerait au niveau des mécanismes de coopération, y compris celle judiciaire, qui s’en trouveraient renforcés, notamment avec les régulateurs et autorités de contrôle et de protection d’autres espaces juridiques, et en raison de ce que les dispositions sont intelligibles et compatibles les unes des autres. Troisièmement, il y a une mise à égalité normative entre les acteurs, y compris les géants de l’économie numérique traditionnellement appelés GAFAM (Google, Apple, Facebook, Amazon et Microsoft), principaux acteurs de la production, du stockage et de la circulation des données à caractère personnel.

Quatrièmement, il y a la convergence dans le cadre des opportunités d’offres de biens et services et de captation de prestations de services d’autres espaces économiques légalement compatibles. Enfin, il y a la convergence normative, qui est le gage de l’accès des prestataires camerounais des activités du numérique, aux marchés mondiaux de services de la société de l’information.

C. Le choix du législateur camerounais.

Le législateur camerounais a fait le choix d’avoir une loi transversale ou « omnibus ». Ladite loi contient néanmoins quelques exceptions et exclusions qui échappent à son champ d’application. Quoi qu’il en soit, la loi camerounaise relative à la protection des données personnelles, tout en intégrant sa contextualisation, présente une volonté d’y intégrer les universalités.

1. L’intégration des universalités : les concepts et les principes retenus.

Les universalités relatives à la protection des données à caractère personnel sont les éléments constitutifs que l’on retrouve communément dans la quasi-totalité des législations, règlementations, conventions et autres instruments juridiques dédiés. Lesdites universalités sont généralement les concepts et les principes [6].

a. Les universalités relatives aux concepts.

Pour ce qui est des concepts, l’on pourrait distinguer entre les concepts concernant les personnes, ceux concernant les matières, et un concept hybride.

Les concepts concernant les personnes.

Les concepts universels concernant les personnes sont l’autorité de protection, le destinataire des données, la personne concernée, le responsable du traitement, et le sous-traitant.

De manière générale, le législateur camerounais est resté en droite ligne des définitions courantes, usuelles et universelles des personnes impliquées dans le processus de traitement et de contrôle de la protection des données personnelles.

Les concepts concernant les matières.

Les concepts universels concernant les matières sont le consentement, les clauses contractuelles types, la donnée à caractère personnel, la donnée sensible, l’évaluation d’impact, les droits de la personne concernée, les obligations du responsable du traitement et du sous-traitant, le traitement, le transfert international de données, la violation de données, le principe du traitement, et les sanctions.
Il faudrait reconnaître au législateur camerounais le mérite d’avoir apporté une définition de donnée personnelle, moins chaotique que son homologue européen, dans le RGPD.

De même, il opte pour l’expression « évaluation » à la place de mot « analyse », en ce qui concerne l’impact sur la protection des données personnelles. Cette différence est particulièrement opportune parce qu’elle définit réellement l’objet réel de l’activité, se rapprochant de la sorte à la définition anglo-saxonne, qui est mieux disante avec le mot « assessment ».

Il est regrettable que le concept « sécurité » ou « mesure de sécurité » n’ait pas été défini de façon directe, mais plutôt indirectement par déduction dans le cadre de la définition de « violation de données à caractère personnel ». On aurait aussi pu s’attendre à avoir la définition de « droits de la personne concernée », plutôt que d’être limité à leur énumération et les modalités de leur mise en œuvre et d’exercice.

Le concept hybride : le champ d’application.

Le champ d’application concerne à la fois les matières et les personnes [7]. A ce propos, il existe généralement trois catégories majeures de champs d’application d’une législation sur la protection des données personnelles : l’établissement, le ciblage et l’extension territoriale. Le législateur camerounais a fait le choix d’en fixer quatre.

Premièrement, la loi s’applique à tout traitement effectué par l’Etat, les collectivités territoriales décentralisées ou toute autre personne physique ou morale.

Deuxièmement, la loi s’applique aux personnes établies, résidant ou en transit au Cameroun. L’on devrait en déduire la personne physique uniquement. Il n’aurait rien coûté d’ajouter « physique ».

Troisièmement, la loi s’applique à tout responsable du traitement ou à tout sous-traitant établi au Cameroun, autrement dit le lieu de son siège social. Généralement, cette condition est valable, indépendamment du fait que le traitement ait lieu à l’intérieur ou en dehors du territoire de l’Etat considéré : on parle alors du champ de compétence par l’établissement.

Quatrièmement, la législation étend son empire sur tout traitement de données personnelles réalisé dans un lieu où le droit du Cameroun s’applique, en vertu du droit international public, y compris les conventions internationales dument ratifiées par le Cameroun. Il peut s’agir d’une représentation diplomatique ou consulaire du Cameroun : c’est le champ de compétence par l’extension territoriale.

b. Les universalités relatives aux principes.

La loi camerounaise reprend les principes fondamentaux applicables à la protection des données personnelles : respect de la vie privé, confidentialité, licéité, consentement, finalité du traitement, qualité des données, limitation de la conservation des données, information et transparence à l’égard de la personne concernée, sécurité des données, minimisation de la collecte, détermination de la finalité, participation de la personne concernée, et la responsabilité. Certains de ces principes sont clairement affirmés tandis que d’autres sont déduits ou induits.

Les obligations des acteurs.

L’on peut distinguer deux types d’acteurs dans la sphère de la protection des données personnelles : les acteurs principaux et les acteurs secondaires, d’une part, les acteurs actifs et ceux passifs d’autre part.

Au titre d’acteurs principaux, l’on peut citer, l’autorité de protection des données personnelles et le responsable du traitement, tandis que les acteurs secondaires sont le sous-traitant et le chargé de la conformité. Les mêmes sont aussi des acteurs actifs. Les acteurs passifs sont la personne concernée et le destinataire. Le législateur camerounais a retenu, comme acteurs, l’Autorité de protection des données à caractère personnel, le responsable du traitement, le sous-traitant, la personne concernée et le destinataire.

Les obligations des acteurs actifs retenus sont clairement déterminées dans la loi camerounaise, aussi bien en ce qui concerne l’Autorité de protection des données personnelles [8], que pour ce qui est du responsable du traitement et du sous-traitant [9].

Les droits des personnes concernées.

Les droits de la personne concernée n’ont pas été omis dans la loi camerounaise. Premièrement, il y a les droits, ci-après, relatifs au traitement : la cessation, l’information, la transparence et la limitation. En second lieu, il y a les droits concernant les données, comme suit : le traitement, l’opposition, la rectification, la complétude, la mise à jour, le verrouillage, la suppression, la portabilité et la communication et la réception. Il y a, enfin, le droit de se faire représenter par une association.

Les sanctions.

Les sanctions sont la clé de voûte de l’efficience de la législation relative à la protection des données personnelles. Dans la loi camerounaise, l’on a expressément les sanctions administratives pécuniaires et non pécuniaires, les sanctions pénales pécuniaires et privatives de liberté, et les sanctions civiles. Il existe aussi des sanctions implicites, qui relèvent d’autres législations et qui pourraient être prononcées au titre de violation des règles de la protection des données personnelles.

2. La contextualisation des universalités : les interdictions, exclusions et absence.

Il y a de nombreuses contextualisations dans la loi camerounaise, dont la révélation fait l’objet d’observations tout au long de la présente analyse. Néanmoins, au titre d’universalités contextualisées, l’on peut déjà retenir les deux principales, ci-après : les interdictions, les exclusions et l’absence de chargé de la conformité de protection des données personnelles.

a. Les interdictions.

Les données personnelles interdites sont celles ci-après [10] : les données dont la suppression a été ordonnée par l’Autorité de protection des données à caractère personnel ; les données contraires à l’ordre public, aux bonnes mœurs ou aux intérêts de la communauté nationale [11] ; les données personnelles portant atteinte à la dignité et l’identité humaine, les données concernant les libertés individuelles et collectives ; les données concernant les transactions bancaires ; et, les données relatives aux droits humains.

Quant aux traitements interdits [12], il s’agit de ceux-ci-après : les traitements concernant les opinions religieuses, philosophiques, politiques, syndicales, à l’origine raciale ou ethnique, linguistique ou régionale, à la vie sexuelle, à la génétique, à la biométrie en matière de santé [13] ; les traitements réalisés dans le cadre des transactions bancaires sans autorisation préalable des administrations et structures compétentes [14] ; les traitements réalisés sans autorisation préalable des administrations et structures compétentes [15] ; et les données traitées sans le consentement de la personne concernée [16].

b. L’exclusion explicite de certains traitements.

Les traitements exclus [17] sont ceux relatifs à la sécurité, à la défense, à la santé, à la justice et à l’état civil. Ils devraient être sous l’empire de textes spécifiques. Cette option est une pratique législative courante et, par conséquent en cela, le législateur camerounais s’est aligné sur la quasi-totalité des autres législateurs. En revanche les données de santé sont généralement inscrites au titre de données sensibles, et dont les traitements sont souvent soit interdits soit traités sous réserve de mesures de sécurité drastiquement renforcées.

Deuxièmement, il y a l’exclusion des traitements personnels ou domestiques, effectués par une personne physique [18]. La condition est que lesdits traitements soient réalisés par une personne, dès lors que les données personnelles concernées ne sont pas destinées à une communication systématique, à un tiers ou à la diffusion.

Troisièmement, sont aussi exclus, les traitements de données personnelles effectués à des seules fins littéraires ou artistiques, archivistiques dans l’intérêt public, de recherche scientifique ou historique, statistique ou journalistique. Ces dispositions sont en lien direct avec celles sur l’archivage et les délais de conservation des données personnelles.

Il y a aussi l’exclusion des copies temporaires faites dans le cadre des activités techniques de transmission et de fourniture d’accès utilisant un réseau de communication en vue du stockage intermédiaire et transitoire des données, afin de permettre à d’autres destinataires du service, le meilleur accès possible aux informations transmises [19]. Cette exclusion ne semble reposer sur aucun argument crédible. Elle est en tout état de cause dangereuse, parce que c’est justement à l’occasion de la réalisation de copies temporaires, qui sont des opérations de traitement classiques et très récurrentes, que des violations de la confidentialité, de l’intégrité et de la disponibilité des données peuvent être commises.

Prenons l’exemple de copies temporaires réalisées par une administration, organisation ou entreprise étrangère, dont les services techniques de transmission, de fourniture d’accès ou de stockage sont installés à l’étranger. Non seulement une telle opération constitue un traitement, mais plus grave, il s’agit d’un transfert à l’étranger. Une telle exclusion absout le responsable du traitement de se soumettre aux règles générales du traitement et aux exigences spéciales des transferts à l’étranger.

c. L’absence de référent de la conformité.

La présence d’une personne chargée de la conformité au sein d’une administration, d’une organisation ou d’une entreprise est incontournable. Cette présence est aussi un outil de conformité et une mesure de sécurité organisationnelle.

Raisons pour lesquelles, certaines législations en font une exigence absolue dans certains cas de figure institutionnels. Ladite exigence ne se limite pas seulement à imposer au sein de l’administration, l’organisation ou l’entreprise, la présence dudit chargé de la conformité. L’exigence va au-delà, en déterminant le profil académique, professionnel et moral du chargé de la conformité, lui conférer un statut, prescrire ses conditions de travail et sa chaîne hiérarchique, et codifier ses interactions à l’interne et à l’externe, notamment avec l’autorité ou les autorités nationales compétente(s) de protection des données personnelles, le cas échéant.

Le Cameroun fait sa première expérience de mise en œuvre d’une législation purement dédiée à la protection des données personnelles. Logiquement, la quasi-totalité d’acteurs sont encore peu outillés en la matière. Par conséquent, il aurait été de bon aloi qu’il y ait l’institution voire l’obligation de la fonction de chargé de la conformité au sein. Le législateur camerounais en a décidé autrement.

Laurent-Fabrice Zengue Juriste-Data Privacy Manager, spécialiste de la protection des données personnelles, des activités de l’économie numérique, de l’arbitrage des différends, du droit international des affaires. Arbitre/Expert international, Chambre de Médiation, de Conciliation et d’Arbitrage d’Occitanie à Toulouse Chief Executive Officer Intercontinental Data privacy Enhancing Management for all (IDEM) Diplômé de l’Université Paris 1 Panthéon-Sorbonne Diplômé de l’Université Toulouse 1 Capitole [->laurentfabricezengue@gmail.com]

L'auteur déclare ne pas avoir utilisé l'IA générative pour la rédaction de cet article.

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion, plus d'infos dans nos mentions légales ( https://www.village-justice.com/articles/Mentions-legales,16300.html#droits ).