Le 30 mai 2023, le Coordonnateur du Projet d’Accélération de la Transformation Numérique au Cameroun (PATNUC) a informé l’opinion du lancement d’un Appel à consultation publique pour révision des textes de loi comprenant l’Avant-projet de loi relative à la protection des données à caractère personnel et le Projet de décret pris pour l’application de la loi relative à la protection des données à caractère personnel au Cameroun.
Au terme d’une longue période d’attente, le Cameroun s’inscrit sur la liste des pays africains ayant publié une loi ou un projet de loi portant sur la protection des données à caractère personnel.
Ces projets de loi marquent la volonté de s’arrimer aux standards internationaux en matière de protection des données.
Quels sont concrètement les apports et les points d’alerte observés dans ces projets de loi ?
- LES APPORTS MAJEURS :
- L’institution de l’Autorité Nationale de Protection des Données à Caractère Personnel
Article 48 de l’Avant-projet de loi relative à la protection des données à caractère personnel
L’institution d’une autorité́ administrative indépendante dédiée à la protection des données à caractère personnel et bénéficiant d’une autonomie de gestion et d’une autonomie financière permettra de mieux protéger les droits fondamentaux et les libertés des personnes physiques dans le cadre du traitement de leurs données à caractère personnel.
Cette autorité aura pour vocation majeure de faciliter l’exercice des droits des personnes physiques dans le cadre du traitement de leurs données personnelles et d’évaluer la conformité dudit traitement avec la loi.
- La désignation d’un Délégué à la Protection des Données
Article 38 alinéa 1 de l’Avant-projet de loi relative à la protection des données à caractère personnel
L’avant-projet de loi relative à la protection des données à caractère personnel au Cameroun prévoit que la désignation d’un Délégué à la protection des données s’impose lorsque :
– le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
– les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
– les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de données sensibles ou des données à caractère personnel relatives à des condamnations pénales et à des infractions.
- Une définition assez étendue du terme « donnée sensible » incluant « l’origine linguistique ou régionale »
Article 4 de l’Avant-projet de loi relative à la protection des données à caractère personnel
Les « données sensibles » couvrent généralement les informations relatives à l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques ou biométriques, les données de santé et les transactions bancaires.
En incluant « l’origine linguistique ou régionale » à la définition de « donnée sensible », le projet de loi reconnait expressément la diversité culturelle et linguistique du Cameroun et met un point d’honneur à protéger ces données qui pourraient favoriser les discours de haine.
- Les compétences requises pour être Agent de l’Autorité de Protection des Données
Article 6 du Projet de Décret pris pour l’application de la loi relative à la protection des données à caractère personnel au Cameroun
Les Agents de l’Autorité́ de Protection des Données seront nommés par le Président de l’Autorité́ de Protection en tenant compte de l’honorabilité́, des connaissances, des compétences, mais surtout :
- de l’expérience technique et
- de l’expertise juridique en matière de systèmes d’information et/ou de protection des données à caractère personnel.
Ces critères de sélection objectifs renseignent sur la rigueur qui sera de mise dans l’exercice des fonctions d’Agent de l’Autorité de Protection des Données.
- La reconnaissance de la majorité numérique à 16 ans pour valablement recueillir le consentement lorsque des services sont offerts aux enfants en ligne
Article 6 de l’Avant-projet de loi relative à la protection des données à caractère personnel
Dans le cadre des offres directes de services adressées aux enfants en ligne, le traitement des données à caractère personnel relatif à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans.
En dessous de cet âge, le responsable du traitement devra raisonnablement vérifier que le consentement est donné ou autorisé par le titulaire de la responsabilité́ parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles.
En d’autres termes avant 16 ans, l’utilisateur ne saurait valablement donner son consentement lorsqu’il effectue des transactions en ligne. L’accord parental sera requis.
- Le transfert des données
Article 20de l’Avant-projet de loi relative à la protection des données à caractère personnel
Pour le transfert des données, l’Avant-projet de loi relative à la protection des données à caractère personnel en son article 20 alinéa 1, a mis en place des mesures similaires à celles prévues par le Règlement Général sur la Protection des Données de l’Union Européenne (RGPD).
Le transfert de données à caractère personnel vers un Etat étranger ou à une organisation internationale sera licite si le responsable du traitement ou le sous-traitant d’un pays étranger ou d’une organisation internationale est en mesure de fournir les garanties appropriées et de garantir le respect des droits et voies de recours de la personne concernée.
II- LES POINTS D’ALERTE :
- La nécessité d’un délai de mise en conformité plus long
Article 74 de l’Avant-projet de loi relative à la protection des données à caractère personnel
L’Avant- projet de loi prévoit que les personnes physiques ou morales en charge du traitement des données à caractère personnel disposent d’un délai de 10 mois à̀ compter de la date de publication de la loi, pour se mettre en conformité́ avec ses dispositions.
Ce délai est assez court, lorsqu’on a observé que le Règlement Général de la Protection des Données accordait un délai de 2 ans aux responsables du traitement des données à caractère personnel dans l’Union Européenne, pour se conformer.
La loi sur la protection des données personnelles du consommateur en Californie (CPRA) accorde également un délai plus long que 10 mois.
- La nécessité de ne retenir qu’un seul âge de majorité numérique
Article 6 de l’Avant-projet de loi relative à la protection des données à caractère personnel
Cet article retient seize (16) ans comme âge de majorité numérique à l’alinéa premier et dix-huit (18) ans à l’alinéa 2.
Il est indispensable de ne retenir qu’un seul des deux âges.
- La nécessité de soumettre à certaines conditions, l’obligation de déclaration
préalable sur tout traitement de données à caractère personnel
Article 22 alinéa 1 de l’Avant-projet de loi relative à la protection des données à
caractère personnel
L’article 22 alinéa 1 de l’Avant-projet de loi relative à la protection des données à caractère personnel, dispose que : « Le traitement des données à caractère personnel est soumis à une déclaration auprès de l’Autorité de Protection ».
Cet article semble conférer un caractère obligatoire à la déclaration préalable de tout traitement de données à caractère personnel.
Pourtant, considérant le volume important de déclarations que l’Autorité Nationale de Protection des Données à Caractère Personnel, serait amenée à analyser si tout traitement de données devait être précédé d’une déclaration systématique,
il serait judicieux de compléter l’Article 22 de l’Avant-projet de loi en précisant :
- ceux des traitements pour lesquels la déclaration préalable est obligatoire, et
- les traitements dispensés de la formalité de déclaration préalable à l’Autorité.
A titre d’illustration, la déclaration préalable pourrait être obligatoire dans des cas spécifiques tels que :
- les traitements susceptibles d’engendrer des risques élevés sur la vie privée,
- les opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leur finalité, exigent un suivi régulier et systématique à grande échelle des personnes concernées,
- les traitements à grande échelle de données sensibles.
Auteurs :
Danielle MOUKOURI DJENGUE Associée Gérante du Cabinet d’Avocats D.MOUKOURI AND PARTNERS
Cathy-Eitel NZUME Certified Information Privacy Professional| IAPP KnowledgeNet Chair
Lien vers l’avant projet de loi : https://www.minpostel.gov.cm/images/Documentation/patnuc/textes_preparation_pour_consultation_publique/protection_data/230516_Loi%20Data%20_FIN_CLEAN.pdf
Lien vers Le Projet de décret pris pour l’application de la loi relative à la protection des données à caractère personnel au Cameroun : https://www.minpostel.gov.cm/images/Documentation/patnuc/textes_preparation_pour_consultation_publique/protection_data/230518%20Decret_APD%20FIN%20_CLEAN.pdf
