La loi n°2024/017 du 23 décembre 2024 marque un tournant majeur dans le paysage juridique camerounais en matière de protection des données à caractère personnel. Son adoption survient dans un contexte de mondialisation de l’information, de cybermenaces accrues et d’une demande croissante de transparence dans les échanges numériques. Elle renforce la loi n°2010/012 du 21 décembre 2010 relative à la cybersécurité et la cybercriminalité au Cameroun, qui instaurait déjà des mesures rigoureuses en matière de protection des données personnelles. Cet article a pour objectif de présenter une analyse détaillée des principales dispositions de la loi et d’en extraire les principaux aspects les plus pertinents.

1. Définitions:

• Données : représentation de faits, d’informations ou de notions sous une forme susceptible d’être traitée par un équipement terminal ou un programme.
• Données sensibles: information relative notamment aux opinions et activités religieuses, philosophiques, politiques, syndicales, aux transactions bancaires, à l’origine raciale ou éthique, linguistique ou régional, à la vie sexuelle, à la génétique, à la biométrie, à la santé, aux poursuites judiciaires et aux sanctions pénales.
• Données à caractère personnel: information se rapportant à une personne permettant de l’identifier directement ou indirectement, notamment  par référence à toute forme d’identifiant ou à un ou plusieurs éléments, propres à son identité physique, psychologique, génétique, psychique, culturelle, socio-professionnelle ou économique ,notamment un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, un identifiant numérique, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal.
• Violation de données à caractère personnel: toute atteinte à la sécurité des données à caractère personnel  entrainant, de manière accidentelle ou illicite, la destruction, la perte, l’altération , la divulgation non autorisée desdits données transmises, conservées ou traitées d’une autre manière , ou l’accès non autorisé à de telles données.

2. Le champ d’application de la loi

La loi vise à protéger les droits et libertés fondamentaux des individus en matière de traitement de leurs données personnelles, quel que soit le responsable du traitement (article 1).

Elle s’applique à tout traitement de données effectué par l’État, les collectivités territoriales, ou toute personne physique ou morale, ainsi qu’aux traitements concernant des personnes établies, résidant ou en transit au Cameroun (article 2).

Cependant, elle ne s’applique pas (article 3) :

• Aux traitements effectués par une personne dans le cadre de ses activités personnelles ou domestiques, sans communication systématique à un tiers ;
• Aux copies temporaires réalisées dans le cadre de la transmission et de l’accès aux données pour assurer un meilleur accès aux utilisateurs ;
• Aux traitements à des fins littéraires, artistiques, archivistiques, de recherche scientifique, historique, statistique ou journalistique, dans le respect des règles déontologiques et de sécurité, notamment pour le secret des sources ;
• Aux traitements effectués par les autorités compétentes en matière de sécurité et de défense, régis par une législation spécifique.

3. Le principe du traitement des données à caractère personnel (article 6 et suivant)

Le traitement des données personnelles doit respecter les principes suivants :

• La protection de la vie privée de la personne concernée ;
• La garantie de la confidentialité des communications numériques ou autres supports ;
• Le respect de la licéité et de la probité des données personnelles.

3.1 Modalités de traitement des données

Le traitement des données personnelles est subordonné à un consentement préalable, libre, éclairé, spécifique et univoque de la personne concernée.

Le consentement d’une personne mineure de moins de 18 ans est valable uniquement s’il est appuyé par celui de ses parents ou de son représentant légal.

3.2 Dérogations au consentement préalable

Le consentement préalable n’est pas requis dans les cas suivants :

• Lorsque le traitement est nécessaire au respect d’une obligation légale ;
• Lorsqu’il s’agit de l’exécution d’une mission d’intérêt public ou de l’exercice de l’autorité de protection des données ;
• Lorsqu’il est nécessaire à la préservation de la santé de la personne concernée.

4. Formalités préalables au traitement des données (article 19)

Le traitement des données à caractère personnel est soumis à une autorisation préalable délivrée par l’autorité de protection des données.

Toute interconnexion ou interopérabilité des fichiers de données sensibles concernant des mineurs doit également faire l’objet d’une autorisation préalable de l’autorité compétente.

Les modalités de délivrance de cette autorisation seront précisées par voie réglementaire.

5. Obligations du responsable du traitement et du sous-traitant (article 20 et suivant)

Le responsable du traitement et le sous-traitant ont les mêmes obligations en matière de protection des données personnelles. Avant de commencer tout traitement des données, le responsable doit fournir à la personne concernée les informations suivantes :

• Son identité.
• Les finalités déterminées du traitement.
• Les catégories de données traitées.
• Les destinataires des données.
• La possibilité de refuser d’être inclus dans le fichier.
• La personne concernée a également un droit d’accès, de rectification, d’effacement, d’opposition, de limitation et de portabilité des données (Article 21).

6. Mise en œuvre des moyens de protection des données (article 27 et suivant)

En cas de violation des données, le responsable du traitement ou son sous-traitant doit :

• Informer immédiatement l’autorité compétente.
• Mettre en œuvre les mesures de protection appropriées (techniques et organisationnelles).
• Garantir le droit à l’oubli ou l’effacement des données concernées ;
• Tenir un registre des activités de traitement effectuées sous leur responsabilité.

7. Les droits de la personne concernée (Article 37 et suivant)

La personne concernée par le traitement des données personnelles dispose des droits suivants :

• Droit à l’information et à la transparence : Les responsables doivent informer clairement les individus sur la collecte et l’utilisation de leurs données personnelles ;
• Droit d’accès, de rectification et d’effacement : Les individus peuvent accéder à leurs données, les rectifier en cas d’inexactitude et demander leur suppression ;
• Droit à la portabilité : Les personnes peuvent obtenir et réutiliser leurs données personnelles à des fins spécifique ;
• Droit de s’opposer au traitement de leurs données à tout moment.

8. Interdictions en matière de traitement des données (article 48 et 49)

Il est interdit de traiter des données relatives aux opinions religieuses, philosophiques, politiques, syndicales, raciales, linguistiques, la vie sexuelle, génétique, la santé ou les transactions bancaires sans autorisation préalable. Toute donnée supprimée par l’autorité de protection des données ou portant atteinte à l’ordre public ou à la dignité humaine est également interdite.

9. L’autorité compétente en matière de protection des données (article 53)

L’autorité de protection des données personnelles est un organisme public indépendant chargé de veiller à l’application de la législation et de traiter les plaintes des usagers. Sa création, organisation et fonctionnement sont fixés par décret présidentiel.

10. Sanctions en cas de non-respect de la loi (Article 54 et suivant)

Les violations des dispositions de cette loi peuvent entraîner :

• Sanctions administratives : Mise en demeure, suspension d’activité, retrait d’autorisation, amendes allant jusqu’à 100 millions FCFA.
• Sanctions civiles : Réparation des dommages en cas d’atteintes graves aux droits des individus.
• Sanctions pénales : Peines d’emprisonnement (de 6 mois à 10 ans) et amendes pouvant atteindre 1 milliard FCFA.

Cette législation permet au Cameroun de se conformer aux normes internationales en matière de protection des données personnelles, renforçant ainsi la sécurité des informations et la protection des droits des individus dans l’environnement numérique.

Conclusion

La loi n°2024/017 du 23 décembre 2024 constitue une avancée majeure pour la protection des données personnelles au Cameroun. Elle établit un cadre juridique moderne et conforme aux standards internationaux, tout en tenant compte des spécificités locales.

Cependant, pour assurer son efficacité, il est essentiel de renforcer l’autorité de contrôle, d’instaurer des dispositifs de sensibilisation et d’assurer une mise à jour continue face aux évolutions technologiques.