[Digital Business Africa] – Dans quelques semaines, au Cameroun, des entreprises pourront être déclarées pénalement responsables et condamnées à une peine d’amende allant jusqu’à un milliard (1 000 000 000) de francs CFA, lorsque des infractions (comme le transfert des données à caractère personnel vers un pays tiers, sans autorisation préalable de l’Autorité de protection des données à caractère personnel ou encore la violation des données personnelles) seront commises par les responsables desdites personnes morales.
Plus encore, les usagers des services de communications électroniques auront désormais la possibilité de demander aux opérateurs télécoms de ne plus recevoir des SMS promotionnels sans leur consentement. Car, sans consentement, sera puni d’un emprisonnement d’un (01) à trois (03) ans et d’une amende de cinquante mille (50 000) à un million (1 000 000) de francs CFA, ou de l’une de ces deux peines seulement, le responsable de traitement ou le sous-traitant (entendez par là toute entreprise, personne physique ou morale) qui procède ou fait procéder à un traitement de données à caractère personnel, malgré l’opposition de la personne concernée. Surtout lorsque ce traitement répond à des fins de prospection directe ou lorsque cette opposition est fondée sur des motifs prévus par la loi.
Ce sont là quelques-unes des dispositions du projet de loi N° 2062/PJL/AN relatif à la protection des données à caractère personnel au CAMEROUN qui a été adopté par l’Assemblée nationale ce 26 novembre 2024 à Yaoundé en séance plénière après la discussion générale. Ce projet était défendu par la ministre des Postes et des Télécommunications du Cameroun, Minette Libom Li Likeng.
Création d’une Autorité de protection des données à caractère personnel
Ce projet de loi propose au président de la République de créer l’Autorité de protection des données à caractère personnel. Cette autorité, comme dans plusieurs pays africains, est un organisme public indépendant qui sera chargé notamment de veiller à l’application de la loi, des textes ainsi que des conventions internationales en la matière.
Elle sera chargée de délivrer les autorisations prévues par la loi, assorties des cahiers des charges conséquents ; d’élaborer, publier et mettre à jour le référentiel des mesures techniques et organisationnelles des données à caractère personnel ; d’approuver les mécanismes de certification des processus et techniques de traitement des données à caractère personnel ; de traiter les réclamations, pétitions et plaintes introduites par des usagers, par un organisme, une organisation ou une association et d’examiner ou d’enquêter sur l’objet desdites réclamations, pétitions ou plaintes, et de informer l’auteur de la réclamation, pétition ou plainte de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable.
L’autorité sera également chargé d’établir et de publier la liste des pays reconnus comme offrant un niveau de protection des données à caractère personnel équivalent aux exigences prévues par le droit camerounais. Tout comme elle pourra coopérer avec d’autres autorités en charge de la protection des données à caractère personnel, en liaison avec les administrations et structures concernées.
Les interdictions
De nombreuses interdictions sont prévues dans cette loi.
Désormais, il est interdit de procéder à tout traitement des données relatives aux opinions et activités religieuses, philosophiques, politiques, syndicales, à l’origine raciale ou ethnique, linguistique ou régionale, à la génétique et à la biométrie en matière de santé.
Il est interdit de procéder au traitement des données à caractère personnel dans le cadre des transactions bancaires sans autorisation préalable des administrations et structures compétentes, dans les conditions et suivant les modalités prévues par les lois en vigueur.
Autre interdiction, le traitement des données à caractère personnel sans autorisation préalable des administrations et structures compétentes, dans les conditions et suivant les modalités prévues par la loi.
A présent donc, le traitement des données à caractère personnel sans le consentement préalable de la personne concernée est interdit.
L’article 51 de ce projet stipule que « tout traitement de données à caractère personnel est interdit lorsque la suppression desdites données a été ordonnée par l’Autorité de protection des données à caractère personnel et lorsqu’il est contraire à l’ordre public, aux bonnes mœurs ou aux intérêts de la communauté nationale. »
Par ailleurs, le traitement des données à caractère personnel ne doit porter atteinte ni à la dignité et l’identité humaines, ni aux libertés individuelles et collectives, ni aux droits humains en général reconnus par la législation en vigueur et les conventions internationales dûment ratifiées.
Selon la ministre Minette Libom Li Likeng qui défendait ce projet de loi, le traitement des données à caractère personnel est désormais au cœur de l’économie numérique. « La donnée, matière première de l’économie numérique, est ainsi devenue le principal centre d’intérêt des géants du monde digital, communément appelés GAFAM (Google, Apple, Facebook, Amazon et Microsoft), dont les modèles économiques reposent essentiellement sur le traitement et l’exploitation des données personnelles de leurs utilisateurs », explique-t-elle.
D’après elle, avoir une loi sur la protection des données à caractère personnel est crucial pour plusieurs raisons, en ce sens qu’elle garantit :
– la sécurité des informations : « Les données personnelles peuvent être utilisées à des fins malveillantes si elles tombent entre de mauvaises mains. Une telle loi protège les individus contre le vol d’identité, la fraude et d’autres abus », justifie la ministre ;
– la confiance numérique : « Lorsque les citoyens savent que leurs données sont protégées par la loi, ils sont plus enclins à faire confiance aux institutions publiques et privées, ce qui peut améliorer l’adoption des services numériques » ;
– la responsabilité des entreprises : « les entreprises qui collectent, traitent et stockent les données personnelles doivent respecter des normes strictes pour éviter les violations de données, ce qui les rend plus responsables et transparentes » ;
– Et la conformité internationale : « De nombreux pays disposent d’une législation spécifique sur la protection des données, et pour favoriser le climat des affaires pour les étrangers et autres multinationales, il est souvent nécessaire de se conformer aux standards internationaux. Aussi, facilite-t-elle la coopération internationale en matière de cybercriminalité et de protection des consommateurs ».
Le projet de loi qui sera également débattu au Sénat dans les prochains jours et qui passera probablement sans grand changement sera promulgué par le Président de la République. Dès lors, les personnes physiques ou morales chargées du traitement des données à caractère personnel disposeront d’un délai de dix-huit (18) mois pour se conformer aux dispositions de la loi.
Par Beaugas Orain DJOYUM
Quelques sanctions pénales prévues par le projet de loi adopté par l’Assemblée nationale
ARTICLE 63. (1) Est puni d’un emprisonnement de deux (02) à cinq (05) ans et d’une amende de deux cent mille (200 000) à cinq millions (5 000 000) de francs CFA, ou de l’une de ces deux peines seulement, celui qui collecte les données à caractère personnel ou y accède par un moyen frauduleux, déloyal ou illicite.
(2) Les peines prévues à l’alinéa 1 ci-dessus sont doublées lorsque la collecte ou l’accès par un moyen frauduleux s’accompagne d’un verrouillage, d’un cryptage ou de toute autre technique portant atteinte à la disponibilité et à l’intégrité des données.
ARTICLE 64. (1) Est puni d’un emprisonnement d’un (01) à trois (03) ans et d’une amende de cinquante mille (50 000) à un million (1 000 000) de francs CFA, ou de l’une de ces deux peines seulement, le responsable de traitement ou le sous-traitant qui procède ou fait procéder à un traitement de données à caractère personnel, malgré l’opposition de la personne concernée, lorsque ce traitement répond à des fins de prospection directe ou lorsque cette opposition est fondée sur des motifs prévus par la loi.
(2) Est puni des peines prévues à l’alinéa 1 ci-dessus, le responsable de traitement ou le sous-traitant qui ne procède pas ou ne fait pas procéder aux opérations demandées par une personne physique justifiant de son identité, et qui exige que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant ou concernant la personne décédée dont elle est le représentant légal ou l’ayant-droit.
ARTICLE 65. Est puni d’un emprisonnement de trois (03) à dix (10) ans et d’une amende d’un million (1 000 000) à vingt millions (20 000 000) de francs CFA, ou de l’une de ces deux peines seulement, le responsable de traitement ou le sous-traitant qui procède ou fait procéder à un traitement de données à caractère personnel à des fins de profilage.
ARTICLE 66. (1) Est puni d’un emprisonnement de six (06) mois à deux (02) ans et d’une amende de cinq cent mille (500 000) à cinq millions (5 000 000) de francs CFA, ou de l’une de ces deux peines seulement, le responsable ou le sous-traitant qui met ou conserve en mémoire, informatisée ou non, sans le consentement exprès de la personne concernée, des données sensibles au sens de la présente loi.
(2) Est puni des peines prévues à l’alinéa 1 ci-dessus, celui-ci qui procède ou fait procéder à la récupération frauduleuse des données à caractère personnel supprimées.
ARTICLE 67. Est puni d’un emprisonnement de six (06) mois à deux (02) ans et d’une amende de cinq cent mille (500 000) à cinq millions (5 000 000) de francs CFA, ou de l’une de ces deux peines seulement :
- le responsable de traitement ou le sous-traitant qui, à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, détourne ces informations de leur finalité initiale.
- le responsable du traitement ou le sous-traitant qui procède ou fait procéder à un traitement ultérieur de données à caractère personnel incompatible avec la finalité initiale.
ARTICLE 68. (1) Est puni d’un emprisonnement de six (06) mois à deux (02) ans et d’une amende de deux cent mille (200 000) à cinq millions (5 000 000) de francs CFA, ou de l’une de ces deux peines seulement, celui qui recueille, à l’occasion de leur enregistrement, de leur classement, de leur transmission ou d’une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet, soit de porter atteinte à la dignité ou à la vie privée de la personne concernée, soit de porter, sans autorisation de l’intéressé, ces données à la connaissance d’un tiers qui n’a pas qualité de les recevoir.
(2) Dans le cas prévu à l’alinéa 1 ci-dessus, les poursuites ne peuvent être exercées que sur plainte de la victime, de son représentant légal ou de ses ayants-droits.
ARTICLE 69. Est puni d’un emprisonnement de trois (03) à dix (10) ans et d’une amende de deux millions (2 000 000) à vingt millions (20 000 000) de francs CFA, ou de l’une de ces deux peines seulement, celui qui procède ou fait procéder à un transfert de données à caractère personnel faisant l’objet ou destinées à faire l’objet d’un traitement vers un État étranger ou une organisation internationale, en méconnaissance des dispositions de la présente.
ARTICLE 70. (1) Est puni d’un emprisonnement de six (06) mois à trois (03) ans et d’une amende de cent mille (100 000) à cinq cent mille (500 000) de francs CFA, ou de l’une de ces deux peines seulement, le responsable de traitement ou le sous-traitant qui entrave l’action de l’Autorité de protection des données à caractère personnel :
- soit en s’opposant à l’exercice des missions confiées à ses membres ou agents envoyés en mission ;
- soit en refusant de communiquer aux membres ou aux agents de l’Autorité de protection des données à caractère personnel, en mission, les renseignements ou les documents utiles à leur mission.
(2) Les peines prévues à l’alinéa 1 ci-dessus sont doublées lorsque lesdits documents ou renseignements sont dissimulés, falsifiés ou supprimés.
ARTICLE 71. Nonobstant la responsabilité pénale de leurs dirigeants, les personnes morales peuvent être déclarées pénalement responsables et condamnées à une peine d’amende de cinquante millions (50 000 000) à un milliard (1 000 000 000) de francs CFA, lorsque les infractions prévues par la présente loi ont été commises par les responsables desdites personnes morales.
