La nouvelle loi sur la protection des données du pays central-africain consacre de nombreuses normes internationales, mais a des caractéristiques uniques qui auront besoin d’une attention particulière des contrôleurs de données, écrivent Aissatou Sylla de Dentons et Tina Brenda Koti Amundam de KMN.
Le 23 décembre 2024, le Cameroun est devenu le 38ème Le pays africain a promulgué une législation complète sur la protection des données, avec la loi n ° 2024/017 concernant la protection des données personnelles au Cameroun.
La Loi couvre plusieurs aspects généraux de règlement sur la protection des données (RGPD) de la protection des données, tels que le droit de portabilité, l’obligation de mener des évaluations d’impact ou l’obligation de tenir des registres de traitement. Il comprend également des règles, des principes, des sanctions et des obligations administratives comparables à celles d’un certain nombre de pays africains, tels que les interactions avec les autorités de supervision, les conditions de transferts transfrontaliers, etc.
La loi prévoit la création d’une autorité de supervision nommée Personal Data Protection Authority (L’Autorité de Protection des Données à Caractère) qui est responsable, entre autres, de réglementer la protection des données et d’émettre d’autres règles et processus comme requis en vertu de la loi. La législation doit être complétée par un règlement dont le but est de fournir plus de détails concernant sa mise en œuvre.
Termes définis
Parmi les caractéristiques clés de l’ACT, le «contrôleur de données» est défini comme «la personne naturelle ou légale qui, uniquement ou avec d’autres, recueille et traite des données personnelles et détermine les moyens et les objectifs de cette collecte et du traitement». Cette définition s’écarte légèrement des normes internationales car elle ajoute que le contrôleur collecte et traite les données. Une interprétation étroite de cette définition pourrait conduire à conclure que, lorsqu’une partie ne collecte pas ou ne traite pas elle-même les données personnelles (par exemple, lorsque la collection est effectuée par un tiers au nom du contrôleur), cette partie ne peut pas être un contrôleur. Une interprétation plus flexible comprendrait les activités de collecte et de traitement par une personne engagée par le contrôleur.
«Sous-processeur» est le terme utilisé dans la version anglaise de la loi pour faire référence aux processeurs de données. Ce terme est défini comme «toute personne naturelle ou légale qui traite des données personnelles au nom et sous la direction du contrôleur».
Les «données sensibles» signifient «(i) les informations relatives en particulier aux opinions et activités religieuses, philosophiques, politiques ou commerciales, les transactions bancaires, l’origine raciale ou ethnique, linguistique ou régionale, la vie sexuelle, la génétique, la biométrie, la santé, les procédures judiciaires et les sanctions criminelles». Cette définition se distingue comme elle comprend les données de transaction bancaire, qui est rare dans une perspective internationale de protection des données. Il fait également référence à l’origine linguistique, qui se trouve rarement dans les lois sur la vie privée, mais s’aligne sur les réalités multilingues de la plupart des pays africains. Le Cameroun, en effet, abrite plus de 250 groupes ethniques et environ 280 langues, dont l’anglais et le français comme langues officielles.
Portée de la loi
La portée du matériel de la Loi s’applique au traitement des données personnelles par les autorités de l’État, régionales et locales et toute autre personne naturelle ou juridique. Il ne s’applique pas, entre autres, aux données transitoires et aux activités de traitement à des fins artistiques, à des fins d’archives dans l’intérêt public, à des recherches scientifiques ou historiques, à des fins statistiques ou à des fins journalistiques.
La législation a une portée extraterritoriale dont la portée est au-delà de la plupart des autres juridictions africaines. L’ACT s’applique en effet où les sujets de données sont situés au Cameroun, même lorsqu’ils transitent à travers le Cameroun. La loi s’applique également lorsque le contrôleur est basé au Cameroun.
Bases juridiques pour le traitement des données personnelles
Comme près de la moitié des pays africains ayant des lois sur la protection des données (principalement francophone), l’intérêt légitime du contrôleur ou d’un bénéficiaire tiers ne peut pas constituer une exception à l’exigence de consentement. Il est également important de noter que la nécessité contractuelle n’est pas reconnue comme une exception à l’exigence de consentement. En outre, un consentement doit être donné par opt.
Les autres bases juridiques incluent la nécessité de se conformer à une obligation légale, d’effectuer une tâche d’intérêt public ou une tâche ou une personne dans le cadre de l’autorité de protection des données.
Droits des sujets de données
Les sujets de données ont le droit de: être informé des activités de traitement avant que leurs données ne soient collectées, demandez et obtenez l’accès à leurs données, s’opposent au traitement, disposent de données rectifiées ou supprimées, demandent l’effacement de leurs données, demandent la restriction du traitement de leurs données, de la portabilité de leurs données, de ne pas être soumise à une décision sur la base des évaluations automatisées et de déterminer les directives de traitement post-mortem.
Les réglementations doivent déterminer les délais pour se conformer à ces droits.
Exigences d’enregistrement et d’autorisation
Comme c’est le cas avec presque tous les pays africains avec un cadre juridique complet de confidentialité, il est obligatoire de s’inscrire auprès de la Data Protection Authority avant de traiter les données personnelles. De plus, tous les transferts transfrontaliers de données personnelles doivent être autorisés par l’autorité. Les réglementations doivent définir les processus et formalités d’enregistrement et d’autorisation.
Une autre exigence est l’obligation du contrôleur de soumettre un rapport annuel à l’autorité sur l’état de la mise en œuvre des mesures de sécurité.
Violation de données
Les contrôleurs et processeurs sont nécessaires pour informer une violation de données à l’autorité de protection des données et à la personne concernée. Alors que cette exigence fait partie des normes internationales concernant le contrôleur, il est unique en ce qui concerne les processeurs. Ils sont généralement tenus de notifier le contrôleur par opposition à l’autorité et à l’objet de données. Il convient de noter que toutes les violations (non seulement des violations graves) doivent être averties.
Le délai de notification n’est pas spécifié en heures ou en jours, mais la loi prévoit que l’autorité et les sujets de données doivent être informés «immédiatement» à prendre conscience de la violation.
Cette exigence de notification doit être lue conjointement avec l’article 7 du règlement n ° 2012/1643 / PM du 14 juin 2012, fixant les termes et conditions d’audit de la sécurité obligatoire des réseaux de communication électronique et des systèmes d’information, qui fournit l’intervalde toute attaque, intrusion ou autres perturbations susceptibles d’entraver le fonctionnement d’un autre réseau ou d’un autre système d’information.
Sanctions
Les sanctions comprennent des avertissements et des injonctions, ainsi que des amendes quotidiennes pour non-respect d’un avertissement ou d’une injonction. L’autorité de protection des données peut également ordonner la suspension de l’activité, le retrait de l’autorisation et une interdiction de réaliser toute activité de traitement des données.
En ce qui concerne les sanctions pécuniaires imposées par l’autorité, l’amende maximale représente 100 000 000 CFAF (environ 174 126 USD).
Des dommages civils et des sanctions pénales peuvent également être imposés par un tribunal, dont jusqu’à 10 ans d’emprisonnement.
CONCLUSION
Avec l’acte, le Cameroun a fait un pas décisif vers la réalisation de sa numérisation. La loi sera complétée par des réglementations qui fourniraient plus de détails sur les périodes de rétention, les mesures de sécurité à mettre en œuvre, les obligations et les processus d’évaluation de la protection des données, les délais pour respecter les demandes de sujets de données, les formalités pour demander les autorisations de l’autorité de protection des données. Une fois établie, la Data Protection Authority sera chargée d’émettre des clauses contractuelles standard à des fins de transferts de données internationales, de publier une référence pour les mesures de sécurité technique et organisationnelle à mettre en œuvre, en établissant un mécanisme pour certifier le traitement des données personnelles dans le contexte d’une évaluation d’impact.
La loi sera exécutoire contre les contrôleurs et les processeurs après une période de grâce de 18 mois à partir de sa date de promulgation.
Dans le cas où l’autorité dédiée de protection des données n’est toujours pas établie après la période de grâce, la loi serait néanmoins exécutoire au Cameroun. This enforceability stems from its interplay with other complementary laws which include Law No. 2010/013 of 21 December 2010 Regulating Electronic Communications in Cameroon, Law No. 2010/012 of 21 December 2010 on Cybersecurity and Cybercrime in Cameroon, Decree No. 2013/0399/PM of 27 February 2013 Laying Down the Rules for the Protection of Consumers of Electronic Communications Services, and Regulation No. 2012/1643/PM of 14 June 2012 jetant les termes et conditions pour auditer la sécurité obligatoire des réseaux de communication électronique et des systèmes d’information.
Aissatou Sylla est un avocat avec Dentons Europe Aarpi à Paris et Tina Brenda Koti Amundam est conseiller juridique avec Kouengoua Minou Nkongho (KMN).
