CAMEROUN : Le nouveau visage de la protection des données à caractère personnel et ses implications pour les entreprises financières


Par Dr ZOGO Willy |


A la faveur de la session parlementaire convoquée depuis le 12 novembre 2024 au Cameroun, de tous les projets de textes passés au crible des parlementaires, l’un des plus scrutés est sans doute le projet de loi relatif à la protection des données à caractère personnel au Cameroun. Sous réserve de quelques amendements possibles au vu de leur récurrence depuis mai 2023 avec des consultations publiques sous la coupole du Projet d'accélération de la transformation numérique au Cameroun (PATNuC), Que faut-il retenir essentiellement autant pour les acteurs publics que privés, financiers ou non financiers ?

Dans l’exposé des motifs qui portent les fondements de la loi Data Protection camerounaise en gestation, il est avant toutes choses précisé que le Cameroun entend adresser « spécifiquement le traitement des données à caractère personnel (i) effectué par l'Etat, les collectivités territoriales décentralisées ou toute personne physique ou morale, (ii) opéré par un responsable du traitement ou un sous-traitant établi au Cameroun, (iii) réalisé dans un territoire où le droit camerounais s'applique, en vertu du droit international ou des conventions internationales dument ratifiées et (iv) visant toute personne établie, résidant ou en transit au Cameroun. » La trame matérielle et spatiale est ainsi fixée de manière claire en sus du rappel des enjeux économiques de la data et même des enjeux géostratégiques y associés.

LA NOTION MEME DE DONNEE A CARACTERE PERSONNEL EN DROIT CAMEROUNAIS

D’entrée de jeu, la loi sur la Data Protection camerounaise entend « garantir les droits et libertés fondamentaux des personnes en matière de traitement de leurs données à caractère personnel quels qu'en soient la nature, le mode d'exécution ou les responsables » explicite les dispositions de l’article 1er du projet. Mais avant d’aller plus loin, il faut s’arrêter sur l’article 5 qui apporte des précisions sur les notions. La Donnée est droit positif camerounais va ainsi se ramener à la représentation de faits, d'informations ou de notions sous une forme susceptible d'être traitée par un équipement terminal ou un programme.

De plus, la donnée à caractère personnel va s’entendre de toute information se rapportant à une personne permettant de l’identifier directement ou indirectement, notamment par référence à toute forme d'identifiant ou à un ou plusieurs éléments, propres à son identité physique, psychologique, génétique, psychique, culturelle, socio-professionnelle ou économique, notamment  un nom, une photo, une empreinte, une adresse postale, Une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, un identifiant numérique, une adresse IP , un identifiant de connexion informatique, un enregistrement vocal.

Sur l’acception de la donnée personnelle, où en est le Cameroun par rapport au droit comparé ? Sur ce point, la Convention de l’UA du 27 juin 2014 sur la cybersécurité et la protection des données à caractère personnel en son article 1er va dans le sens sans être autant diserte. Pareillement, le Règlement (Union Européenne) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Rectificatif 2018 inclus) ne dit pas autre chose en la matière, si ce n’est la prise en compte à titre indicatif des données de localisation.

LES PRINCIPES DE TRAITEMENT ET DROITS CONSACRES

Dans son ouvrage intitulé « Droit Béninois de la protection des données à caractère personnel », l’auteur et spécialiste ADJASSA ALAO OLAYODE résume bien les principes qui doivent gouverner le traitement fait des données personnelles :  La licéité incluant les sous-principes que sont le consentement, la loyauté, la finalité, la pertinence, l’exactitude, d’une part la transparence et enfin la confidentialité et la sécurité, d’autre part.

La loi camerounaise consacre dans ce sens :

  • La licéité, la loyauté et l’interdiction de la fraude ;
  • Le consentement préalable, libre, spécifique et univoque (sauf si la loi, l’intérêt public et la santé du concerné son en jeu) ;
  • Le respect de la vie privée ;
  • La finalité connu et légitime ;
  • La complétude/ exactitude ;
  • La transparence ;
  • La confidentialité ;
  • La sécurité garantie y compris pour les sous-traitants.

Inscription au Certificat Africain de Juriste Numérique : https://forms.gle/ePhE8v8JZivNZ2yu9 

--------------------------------------------

Pour ce qui est des droits des personnes concernées par les données traitées, le droit positif camerounais entend leur reconnaître la possibilité entre autres de :

  • Requérir la suppression/effacement/cessation de diffusion dans certaines conditions légales ;
  • Requérir l’état du traitement ou le contenu de ses données ;
  • S’opposer au traitement dans des conditions légales ;
  • Bénéficier de la portabilité (sauf intérêt public).

Ces droits vont de pair avec des interdictions incluant ainsi le traitement sans consentement ou sans autorisations préalables ou encore le traitement avec atteinte à la dignité humaine ou aux libertés consacrées.

L’IMMENSE RESPONSABILITE DU RESPONSABLE DU TRAITEMENT DES DONNEES

Un cinquième (1/5) des articles de la loi Data Protection projetée touche directement les devoirs du Responsable de Traitement des Données (RTD) et/ou son Sous-Traitant et ceci sans préjudices des dispositions indirectement applicables à son statut. L'idée de l'obligation de désigner un Data Protection Officer (DPO) ou Délégué à la Protection des Données n'apparaît visiblement pas dans la loi, peut-être cela se fera dans le décret d'application déjà, lui aussi fort attendu. 

Dans manière transversale, être RTD ou son Sous-Traitant en droit camerounais impliquera de :

  • Gérer le respect de la transparence et autres principes consacrés (modifications, confidentialité, disponibilité, vérification, sécurité, usages illégaux, oppositions, effacements, limitation de portabilité, conservation conforme) pour les données traitées ;
  • Gérer la mise en œuvre des mécanismes de conformité ;
  • Gérer le reporting et la relation avec l’Autorité Nationale de Data Protection ;
  • Gérer après l’avoir créé le Registre (Papier ou Numérique) des activités Datas ;
  • Gérer la certification de la compliance Data avec l’Autorité Nationale de Data Protection. 

 

L’AUTORITE DE PROTECTION DES DONNEES CAMEROUNAISE ET LE REGIME DES SANCTIONS

Comme déjà salué par les experts à l’instar de Me Danielle MOUKOURI DJENGUE et Cathy-Eitel NZUME, la consécration d’un organisme public indépendant comme Autorité chargée de la Data Protection est un apport majeur en droit positif camerounais. En attendant, le décret présidentiel qui va en fixer les modalités fonctionnelles, cette APDP Camerounaise aura pour charge de veiller au respect de cette loi, accréditer et approuver les certifications techniques, publier les listes grises et noires des pays à risque mais surtout de traiter les plaintes – enquêter sur les violations des droits consacrés.

Les violations des normes et principes de traitement des données personnelles en droit positif vont faire encourir des sanctions civiles ou/et pénales.

Au civil, le législateur entend consacrer une procédure d’urgence par ordonnance sur requête avec astreinte non oublier sur la base du 1382 du Code Civil la réparation incluant les Dommages Intérêts.

Au pénal, les peines et les infractions oscillent entre 50 mille FCFA et 1 milliard de FCFA d’amende et de 6 mois à 10 ans de prison. Les infractions retenues sont : la fraude/déloyauté, le non-respect de l’opposition du concerné, le profilage (traitement automatisé consistant à utiliser les datas pour évaluer certains aspects personnels relatifs à une personne physique, notamment sa santé, ses préférences, sa localisation et sa situation économique), la conservation illégale des données sensibles, la récupération illégale des données supprimées, la collecte/divulgation illégale des données avec incident sur la dignité et la vie privée ou encore le transfert international illégal de données. A toutes ces infractions, il convient d’adjoindre l’obstruction faite à l’action de l’Autorité de protection.

En outre, la sanction pénale des personnes morales est consacrée en marge de celle des dirigeants avec des amendes pouvant se plafonner à 1 milliard de FCFA. Il sera très utile de clarifier les conditions de mise en œuvre de cette responsabilité des personnes morales à la lumière des dispositions du Code pénal Camerounais (Art. 19).  

Pour ce qui est du délai donné pour la mise en conformité, celui-ci sera visiblement de 18 mois soit une année et demi.

QUELLES REGLES DE PROTECTION DES DONNEES POUR LES ENTREPRISES FINANCIERES ? 

La protection des données est déjà dans une certaine proportion encadrée pour la plupart des entreprises financières au Cameroun et en CEMAC. Les obligations fortes de KYC (Connaissance des clients) et lutte contre le blanchiment/financement contribuent d’ailleurs à cet état de choses.

En d’autres termes, il est essentiellement question des établissements de crédit (banques et Microfinance de crédit), les Bureaux de Change, les sociétés d'assurance et Mutuelles, les organismes de placement collectif (fonds communs de placement, fonds d'investissement alternatifs), la Bourse - BVMAC, les Fintechs de paiement ou Etablissements de paiement.

Pour les entreprises financières du secteur bancaire conventionnel / islamique et des fintechs de paiement, la Commission Bancaire de l’Afrique Centrale (COBAC) sur la base des dispositions du Règlement n°01/20/CEMAC/UMAC/COBAC du 30 juillet 2020 portant protection des consommateurs des produits et services bancaires veille au respect des règles de Data Protection en CEMAC et directement au Cameroun. On remarquera que la définition de la donnée à caractère personnelle n’est pas identique à celle du législateur camerounais – elles pourront s’accommoder.

Au demeurant, des articles 28 à 33 de ce règlement, il ressort que les principes retenus sont la licéité/loyauté/ l’interdiction de fraude dans la limite du champ des Bureaux d’informations sur le Crédit/ la confidentialité appuyée par le secret bancaire/ Finalité et Consentement préalable/ la rectification et l’effacement. Le cas de faille sécuritaire sur la protection des données d’un client pouvant donner lieu à obligation de remboursement de la part de l’établissement.

Au reste, la loi camerounaise va plus loin que le Règlement communautaire, il va sans dire que les banques, EMF, établissements de paiement doivent se conformer à la fois au droit local et au droit CEMAC. En cas de litige, de la COBAC, du Médiateur Bancaire et de l’Autorité nationale de Data Protection, il faudra délimiter les compétences pour éviter la confusion.

La loi de Data Protection Camerounaise traite à son article 48 (2) (2) de l’interdiction « de procéder au traitement des données à caractère personnel dans le cadre des transactions bancaires sans autorisation préalable des administrations et structures compétentes, dans les conditions et suivant les modalités prévues par les lois en vigueur. » En un mot, la coopération semble être le maître-mot.

Sur le marché des Assurances, la Conférence Interafricaine des Marchés d’Assurances (CIMA) aborde la problématique de Data Protection avec intérêt au détour du Règlement 01-24 du 16 janvier 2024 portant sur la distribution et la gestion du contrat d'assurance par voie numérique et ou électronique. En son article 7 dont le titre est «  Protection des données à caractère personnel et transactions électroniques », il est précisé que « les entreprises d'assurance et les intermédiaires exerçant des activités de distribution et de gestion de contrats d'assurance par voie numérique/électronique traitent et protègent les données et les transactions, conformément à la loi régissant la protection des données à caractère personnel dans l'Etat membre de la CIMA dans lequel elles exercent leurs activités et à la loi régissant les transactions électroniques dans l'Etat membre de la CIMA dans lequel elles exercent leurs activités. » Ici, la technique du renvoi oblige les assureurs à se plier aux exigences de la nouvelle donne légale au Cameroun.

Sur le marché financier, la Commission de Surveillance (COSUMAF) ne semble pas particulièrement disserte sur la Data Protection, sauf quelques cas à l’instar de sa Commission des sanctions qui peut décider de l’anonymisation (pseudonymisation ?) lorsque la publication de la décision est susceptible de causer à la personne mise en cause un préjudice ou inclut des données personnelles ; Les clients des entités agréées ( SGP, Sociétés de Bourse)  devront alors se rabattre (au Cameroun) sur la loi de Data Protection nationale pour se protéger.