Promulguée en fin d'année 2024, la Loi n° 2024/017 avait accordé un moratoire de 18 mois aux entreprises et administrations publiques. Ce délai de grâce, qui s'achève ce 23 juin 2026, n'était pas de trop : il a permis aux structures de réaliser leurs premiers audits de conformité, de cartographier leurs flux de données et de repenser la sécurité de leurs systèmes d'information. Jusqu'à présent, le cadre juridique camerounais traitait la question de la donnée de manière parcellaire, à travers la loi de 2010 relative à la cybersécurité et à la cybercriminalité. Face à l'explosion de l'économie numérique, de la FinTech, du e-commerce et de l'usage massif de l'intelligence artificielle, ce texte de 2024 vient combler un vide institutionnel majeur et aligner le Cameroun sur les standards internationaux (tels que le RGPD européen ou la Convention de Malabo de l'Union Africaine).
NOUVELLES OBLIGATIONS DES ENTREPRISES
L'entrée en vigueur de la loi impose d'abord d'obtenir le consentement explicite, libre et éclairé de l'utilisateur. Les organismes doivent désormais bannir les cas pré-cochées et les conditions générales d'utilisation (CGU) illisibles, en offrant aux citoyens la possibilité de donner un accord clair, spécifique et révocable à tout moment, avant la moindre collecte de données. Parallèlement, le texte consacre le principe de minimisation et renforce les obligations de sécurité. Les entreprises ne peuvent collecter que les données strictement nécessaires à la finalité de leur service, tout en mettant en œuvre des mesures techniques rigoureuses, telles que le chiffrement ou des audits réguliers, pour protéger les bases de données contre le piratage. De plus, les grandes structures issues des secteurs des télécoms, de la banque ou des assurances ont désormais l'obligation de désigner un délégué à la protection des données ( Data Protection Officer ou DPO), véritable garant interne de cette conformité.
TECHNIQUE DE LA SOUVERAINETÉ DES DONNÉES
L'un des points majeurs de la Loi n° 2024/017 touche à la souveraineté numérique. Le texte encadre très strictement le transfert des données des citoyens camerounais hors du territoire national. Pour être hébergées à l'étranger (sur des serveurs cloud externes, par exemple), les entreprises doivent prouver que le pays de destination offre un niveau de protection équivalent ou supérieur à celui du Cameroun, et obtenir une autorisation préalable de l'autorité de régulation. Cette disposition devrait fortement stimuler l'investissement local dans les infrastructures de stockage de données ( Data Centers ) sur le sol camerounais, transformant une contrainte juridique en une opportunité de croissance pour la tech locale.
Pour les usagers, cette législation marque l'avènement d'une citoyenneté numérique protégée. Le texte consacre en premier lieu les droits d'accès et de rectification, qui permettent à chaque individu de savoir exactement quelles informations une entité possède sur lui et d'en exiger la correction immédiate en cas d'erreur. À cela s'ajoutent le droit à l'oubli et le droit d'opposition, des armes juridiques puissantes à l'ère du ciblage de masse. Les citoyens peuvent désormais exiger l'effacement et la suppression définitive de leurs données des serveurs d'une structure, ou s'opposer fermement à ce que leurs informations personnelles soient exploitées à des fins de prospection commerciale, de marketing ou de profilage automatisé.
TEMPS DE LA SENSIBILISATION
Le temps de la sensibilisation et de l’attente est désormais révolu. Pour faire appliquer cette législation, l'autorité de régulation se voit dotée de pouvoirs d'enquête, d'audit et de coercition considérables. Les manquements aux obligations de la loi, qu'il s'agisse d'un défaut de consentement, d'une fuite de données non signalée ou d'un transfert illégal à l'étranger, seront désormais sanctionnés par des amendes administratives et financières lourdes. Ces sanctions pourront s'élever à un pourcentage significatif du chiffre d'affaires annuel des opérateurs, sans préjudice des peines d'emprisonnement prévues pour les infractions les plus graves, comme le détournement de finalité ou la vente illicite de bases de données.