Protection des données personnelles au Cameroun : approches de réglementation nationale et d’intégration internationale
jeudi 11 juin 2020
La législation et la réglementation de la protection des données à caractère personnel, initialement consacrées à la protection des droits de l’homme et de la vie privée, a aujourd’hui une prégnance considérable en matière financière, économique, sécuritaire, en raison de la valeur que lesdites données ont prise dans le marché y dédié, et des usages que l’on en fait désormais. Ainsi, de la vie privée et des droits fondamentaux, il est dorénavant aussi question de protectionnisme économique, de sûreté de l’Etat, de sécurité publique et même de patrimonialisation.
Au-delà de la définition de la donnée à caractère personnel (A), il est opportun d’en décrire les contextes de son développement (B), les grands systèmes et les nouvelles orientations de sa protection (C), et l’approche pour sa réglementation efficiente (D).
DEFINITION DE LA DONNEE A CARACTERE PERSONNEL
Au plan conceptuel, deux définitions de la donnée à caractère personnel peuvent être utilisées ici : celle de l’Union Africain [1] et celle de l’Union Européenne.
Pour l’Union Africaine, la donnée à caractère personnel est définie comme « toute information relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, mentale, économique, culturelle et sociale ».
L’Union Européenne [2], quant à elle, définit la donnée à caractère personnel comme suit :
« Aux fins du présent règlement, on entend par :
1) « données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (…) ».
LES CONTEXTES DU DEVELOPPEMENT DES DONNEES A CARACTERE PERSONNEL
L’on peut évoquer les contextes économiques internationaux et nationaux, sécuritaires et juridiques.
B.1. Contexte économique international du marché de la donnée numérique à caractère personnel
Sur le plan économique, en 2019, le marché des données à caractère personnel, encore appelé Big Data,devrait représenter un chiffre d’affaires de plus de 200 milliards de dollars américains, 117 600 milliards de F CFA, avec une croissance annuelle de 11,7% [3].
Dans le Rapport sur l’économie numérique [4], consacré aux incidences de l’émergence de l’économie numérique sur les pays en développement, du point de vue de la création et de la captation de valeur, Mukhisa Kituyi, Secrétaire général de la Conférence des Nations Unies sur le commerce et le développement met en évidence le fait que les données numériques sont l’un des deux principaux facteurs de création de valeur à l’ère du numérique, à côté de l’essor des plateformes. Autrement dit, l’expansion de l’économie numérique repose, entre autres, sur les données numériques, ce d’autant que ladite économie, le même rapport le précise, « n’est pas caractérisée par le traditionnel clivage Nord-Sud. Elle est invariablement dominée par un pays développé et un pays en développement : les États-Unis et la Chine ».
B.2. Potentiel du marché camerounais de la donnée numérique à caractère personnel et des technologies de l’information et de la communication
En ce qui concerne le Cameroun, la circulation des données numériques s’opère essentiellement dans les circuits des communications électroniques, qui en constituent aussi le principal marché d’utilisation. Ainsi, au vu des statistiques de l’Agence de Régulation des Télécommunications [5], les abonnés des réseaux mobiles au Cameroun a atteint 19,7 millions d’unités en 2017. La même étude fait aussi état de bonnes performances, parmi lesquelles : une croissance du chiffre d’affaires du secteur de 3,21% pour s’établir à 596.133 milliards F CFA hors taxes, soit une hausse de 18,55 milliards F CFA en un an ; une progression haussière du taux de pénétration des services liés aux nouvelles technologies de l’information et de la communication, estimé à 87,46%, et en progression de 1,82 point par rapport à 2016 (85,64%) ; l’accroissement de 2,39% du nombre d’abonnés Internet, soit environ 193 487 nouveaux abonnés en une année, pour s’établir à 8,27millions d’abonnés ; la connexion régulière à internet d’une proportion de 35,64% de la population nationale, soit plus de trois Camerounais sur 10. Les données à caractère personnel d’une personne physique être estimé à environ 100 dollars américains, soit environ 58 800 F CFA [6]. Lesdites données basiques sont : nom et prénom, adresse postale, email, expérience professionnelle, localisation, date de naissance, historique de navigation Internet. En considération du nombre d’abonnés des services de communications électroniques, le marché camerounais des données à caractère personnel pourrait être estimé à environ 1 158 360 000 000 de F CFA. Ce potentiel est bien plus grand en raison de la possibilité que représente pour les prestataires camerounais de réaliser des prestations de traitement des données des autres pays, au cas où la législation et la réglementation le permettent.
En ce qui concerne le Document de Stratégie pour la Croissance et l’emploi (DSCE), il en ressort que, pour le Cameroun, le défi dans le secteur des services sera un développement du secteur des services orienté vers l’utilisation intensive des TIC et des technopoles afin que le pays devienne un exportateur net de services. ». A cet effet, en référence de ce DSCE, parmi les filières identifiées, il y a la filière Technologies de l’Information et de la Communication (TIC). Etant entendu que le développement des Technologies de l’Information et de la Communication (TIC) constitue le fait majeur de ce siècle et que la révolution technologique influence et définit de plus en plus l’évolution des modèles économiques et sociaux, il est donc clair que cette nouvelle dynamique mondiale impose de nouveaux challenges aux administrations et aux entreprises, en termes de compétitivité, d’organisation, de gouvernance et de performance. En revanche, elle leur offre aussi de nouvelles opportunités en termes d’innovation, de création de la valeur, de réduction des coûts d’infrastructures et de développement de marchés et d’emplois nouveaux. Ainsi, la révolution numérique aura dans les prochaines décennies un impact économique et socioculturel considérable. Tout en gardant à l’esprit le fait que les données numériques sont l’un des deux principaux facteurs de création de valeur à l’ère du numérique. Enfin, l’inexistence de la possibilité de transfert pour le traitement des données, due à l’absence de législation entraîne un manque à gagner relatif aux prestations qui fuient vers d’autres espaces économiques et des acteurs prestataires installés sur des espaces mieux protégés et réglementés.
B.3. Contexte sécuritaire
Sur le plan de la sécurité publique, la sûreté de l’Etat, la lutte contre le terrorisme et la géopolitique, les données à caractère personnel représentent un enjeu vital en raison de leur rôle primordial dans le cadre de la préservation des vies et des biens, de la paix, la prévention et la répression pénale, tout en s’évertuant à respecter les droits des personnes concernées par le traitement de leurs données.
A ce propos, par exemple dans la législation de l’Union Européenne [7], la problématique actuelle porte sur le nécessaire équilibre, dans les mesures législatives et réglementaires, en ce qui concerne la limitation de certains droits, l’étendue quantitative et temporelle de conservation des données, la détermination de la nature des données, y compris dans l’hypothèse de « situations réellement exceptionnelles caractérisées par une mesure imminente ou par un risque extraordinaire justifiant la constatation officielle de la situation d’urgence » [8].
C’est tout le débat, par exemple, concernant l’arrêt Tele2 Sverige et Watson e.a. [9] et du reste de la jurisprudence [10] relative à l’obligation de conservation des données, exigée du fournisseur de services de communications électroniques, et notamment les données relatives au trafic, les données de localisation de tous les abonnés et les données d’identification des créateurs de contenus offerts par les fournisseurs de ces services. Autrement dit, « les moyens et les méthodes de la lutte antiterroriste doivent répondre aux exigences de l’Etat de droit [11] ».
B.4. Contexte juridique camerounais : insuffisances législatives et réglementaires et impact des communications électroniques
Corpus législatif et réglementaire sur la protection des données à caractère personnel du Cameroun
Le corpus législatif. Sur le plan législatif, l’on peut citer : la Loi n°2010/012 du 21 décembre 2010 relative a la cybersecurité et la cybercriminalité au Cameroun, la Loi n°2010/013 du 21 décembre 2010 régissant les communications électroniques au Cameroun, la Loi n° 2010/021 du 21 décembre 2010 régissant le commerce électronique au Cameroun, la Loi n° 2006/018 du 29 décembre 2006 régissant la publicité au Cameroun, et la Loi n° 2011/012 du 6 mai 2011 portant protection du consommateur au Cameroun.
Le corpus réglementaire. Quant au corpus réglementaire, il y a le Décret n°2012/1637/PM du 14 juin 2012 fixant les modalités d’identification des abonnés et des terminaux, le Décret n° 2013/0399/pm du 27 février 2013 fixant les modalités de protection des consommateurs des services de communications électroniques, le Décret n°2012/092 et n°2012/180 de avril 2012 portant création, organisation et fonctionnement de l’Agence Nationale des Technologies de l’Information et de la Communication.
Insuffisances de la législation et la réglementation en vigueur au Cameroun
Trois types d’insuffisances sont décelées dans le domaine de la protection des données à caractère personnel au Cameroun : organique, organisationnelle et fonctionnelle.
Insuffisance organique. En plus du fait de l’absence d’une réelle désignation d’une entité et de l’existence d’une loi exclusivement en charge de la régulation de la protection des données, l’entité qui semble plus indiquée à le faire à savoir l’ l’Agence Nationale des Technologies de l’Information et de la Communication, est déjà submergée par d’autres missions toutes aussi prenantes et hautement stratégiques dans l’univers cybernétique camerounais. Or, la régulation de la protection des données exige l’exclusivité de la mission et l’indépendance et autonomie organique vis-à-vis des institutions de l’Etat.
Insuffisance organisationnelle. Les lois et règlements en vigueur concernant les données à caractère personnel sont sectoriels, épars, peu cohérents et dans une certaine mesure annihilantes les unes des autres. Ainsi, par exemple, en ce qui concerne la protection des données à caractère personnel, il n’y a pas toujours une limite nette entre les missions de l’Agence de Régulation des Télécommunications et celles de l’ l’Agence Nationale des Technologies de l’Information et de la Communication.
Insuffisance fonctionnelle. Les règles qui existent dans le cadre de la protection des données souffrent du manque de professionnalisme des acteurs du traitement desdites données. Par ailleurs, la complexité, la lourdeur et la longueur des procédures de saisine des instances de règlement de conflits, l’absence de contrôles réels et de sanctions significatives, l’impunité des violations des données protégées consolident le constat d’un espace non réglementé.
Impact des données à caractère personnel en circulation par voies de communications électroniques
Le législateur camerounais semble ne s’être intéressé uniquement aux données à caractère personnel dans le cadre des communications électroniques. Il faut relever que la caractéristique de la donnée à caractère personnel est qu’elle s’enrichit et prend de la valeur avec son usage.
A cet effet aujourd’hui, combinées aux communications électroniques, les nouvelles technologies de l’information et de la communication constituent le meilleur moyen de produire, stocker, enrichir et faire circuler les données à caractère personnel. Ainsi, par exemple, avec un terminal numérique de type téléphone portable, à partir des données à caractère personnel recueillies sur la carte d’identité de l’abonné, il y a un processus d’agrégation d’autres données telles que les données de localisation, les adresses de protocole internet, les données sur le goût, envies, couleurs, etc. D’où la nécessité de réglementer.
LES GRANDS SYSTEMES ET LES PROBLEMATIQUES CONTEMPORAINES DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL
C.1. Grands systèmes de la protection des données à caractère personnel
La nomenclature mondiale des instruments juridiques de protection des données à caractère personnel. La protection des données à caractère personnel repose sur certains instruments fondateurs. Au niveau universel et onusien, il y a d’abord la Déclaration universelle des droits de l’Homme, notamment son article 12 : « Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes ». Il y a en second lieu, la Résolution onusienne 45/95 du 14 décembre 1990 qui pose les Principes directeurs pour la règlementation des fichiers personnels informatisés.
Au niveau de l’Union Européenne, c’est le « paquet européen » qui est en vigueur. Il est composé de deux instruments. Premièrement, il y a le Règlement général sur la protection des données [12], entré en vigueur le 25 mai 2018, et qui définit les droits des personnes physiques, fixe les obligations des personnes qui effectuent le traitement des données et de celles qui sont responsables de ce traitement, et définit les méthodes visant à assurer le respect des dispositions prévues ainsi que l’étendue des sanctions imposées à ceux qui enfreignent les règles. En second lieu, il y a la Directive relative à la protection des données sur le plan répressif [13], entré en vigueur le 5 mai 2016, dont le rôle vise à garantir le droit des personnes physiques à la protection des données à caractère personnel les concernant tout en assurant un niveau élevé de sécurité publique. Ladite directive s’applique aux opérations de traitement de données effectuées à la fois au niveau transfrontière et au niveau national par les autorités compétentes des États membres à des fins d’application du droit pénal.
Aux Etats-Unis, la protection des données à caractère personnel est assurée au niveau fédéral par le Privacy Shield, entré en vigueur le 1er août 2016, et les législations diverses des Etats fédérés dont la plus emblématique est le California Consumer Privacy Act of 2018, entré en vigueur le 1er janvier 2020.
En Asie, la Chine a la Loi Cybersécurité depuis 2016 et entrée en vigueur le 1er juillet 2017. L’Inde se base sur son Information Technology Act de 2011 pour procéder à la protection des données à caractère personnel en y incluant des dispositions y afférentes. Mais, un projet de loi y dédié expressément est en cours. Le Japon avait élaboré et renforcé respectivement en 2003 et 2017 sa loi sur la protection des données, encore dite Protection of Personal Information Act (APPI). La Corée du Sud fonctionne avec le Personal Information Protection Act (PIPA).
En Afrique, c’est la Convention de l’Union africaine (UA) sur la cybersécurité et la protection des données à caractère personnel, appelée aussi « Convention de Malabo », adoptée le 27 juin 2014 qui est le principal instrument fédérateur à vocation continentale dans le domaine.
Les approches de saisie de la problématique de la protection des données à caractère personnel. Deux approches peuvent être identifiées : dimensionnelle et objective. L’approche dimensionnelle permet de saisir la protection des données à caractère personnel sous un angle soit sectoriel soit global. Sur le plan sectoriel, la saisie de la protection des données à caractère personnel s’effectue en considération de certains types de données ou alors en considération de certains secteurs d’activité avec des textes sectoriels : c’est le cas des Etats-Unis d’Amérique, aussi bien au niveau fédéral qu’au niveau des Etats fédérés, à l’exemple de la Californie qui s’est intéressée à la consommation et au marché. L’inconvénient d’une telle approche peut-être le manque de cohérence. Néanmoins, l’Union Européenne n’en est pas exempt au regard des dispositions de son article 45 du RGPD [14], qui ouvre la voie à l’adéquation partielle et à l’adoption des Binding Corporate Rules. L’Union Européenne a préféré une approche globale de la problématique de la protection des données à caractère personnel : c’est aussi le cas de Hong Kong, Taiwan, les Philippines ou Singapour.
La seconde approche peut être qualifiée d’objective en ce sens qu’elle saisit la problématique de la protection des données à caractère personnel par son utilité ou ce à quoi elle est destinée. Ainsi, il y la protection des données à caractère personnel à des fins idéalistes et sécuritaires qui vise la protection de la vie privée et des droits fondamentaux : c’est le penchant européen. D’un autre côté, il existe l’approche objective consumériste et mercantiliste qui fait de la donnée une marchandise. Cette approche est le principal vecteur du protectionnisme économique qui est né dans la cadre de la circulation et de l’accès aux données à caractère personnel dans les espaces économiques : c’est le penchant étasunien et canadien.
C.2. Evolutivité et orientations contemporaines de la protection des données à caractère personnel
L’évolutivité domaniale. Initialement sur le terrain de la protection de la vie privée et donc avec des aspects très culturels, les questions sont désormais solidement ancrées dans la sphère économique. De même, la protection des libertés cède peu à peu le pas aux exigences de la sécurité publique et à la sûreté de l’Etat.
L’évolutivité des logiques. Au départ la logique avait été celle de la protection de la vie privée et de la libre circulation, les données à caractère personnel questionnent, à l’heure actuelle, la monétisation et la patrimonialisation, ainsi que la rémunération de la personne dont les données sont traitées, ainsi que la possibilité, pour une personne de payer les services de la société de l’information avec ses propres données.
L’évolutivité géographique et la rgpédisation. En principe, la protection des données avait été celle des citoyens d’un espace étatique souverain. Mais, l’on observe un décentrement qui conduit à l’explosion des barrières étatiques pour adopter la logique des espaces économiques. Toute chose pouvant crédibiliser la thèse désormais prégnante de la logique économique dans la protection des données à caractère personnel. A cet effet, le ralliement au RGPD, en plus des 28 Etats composants l’Union Européenne, intéresse le monde entier dont 13 Etats sont déjà adéquats au RGPD [15]. Ce qui représente un marché d’environ 1 078 317 284 habitants à travers le monde, soit environ 14 % de la population mondiale, non seulement de producteurs de données, mais aussi de consommateurs de services de la société de l’information. Cette universalité du RGPD, bien qu’elle soit influencée par l’importance du potentiel du marché, est surtout la résultante d’une réglementation conséquemment attractive au moyen de quatre dispositifs juridiques [16] : l’adéquation, les garanties appropriées, les règles d’entreprises contraignantes et les situations particulières, qui, toutes, permettent les traitements, et donc des prestations, concernant les données à caractère personnel hors de l’Union Européenne.
L’APPROCHE POUR UNE REGLEMENTATION EFFICIENTE : CODIFICATION DE LA PROTECTION DES DONNEES A CARACTERE PERSONNEL AU CAMEROUN
D.1. Arguments en faveur de la codification
La codification représenterait la meilleure solution pour regrouper les divers instruments nationaux qui couvrent la question de la protection des données à caractère personnel, rendant de la sorte complète l’accessibilité au droit considéré, intelligible le vocabulaire et synthétique la présentation. Par ailleurs, en raison des différents usages dont peuvent faire l’objet les données à caractère personnel, la solution de la codification permettrait aussi de mieux organiser le fonctionnement desdites utilisations. Enfin, elle apporterait une cohérence certaine au corpus législatif et réglementaire de protection des données à caractère personnel et éviter l’inflation juridique.
D.2. Fonctions, objectifs et caractéristiques, et champ de la loi envisagée
Fonctions de la loi envisagée.
La loi envisagée devrait s’atteler à remplir trois fonctions indispensables. En premier lieu, elle devrait établir les règles relatives à la protection des personnes physiques, à l’égard du traitement des données à caractère personnel et les règles relatives à la libre circulation de ces données. En deuxième lieu, la loi devrait protéger les libertés et droits fondamentaux des personnes concernées, dans le cadre du recueil, stockage, traitement et circulation de leurs données à caractère personnel. Enfin, la loi devrait garantir le principe de la libre circulation des données à caractère personnel, en ne le limitant et en ne l’interdisant qe pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
Objectifs et caractéristiques de la loi envisagée.
Inclusivité, globalité, champs d’application et cohérence. Il est primordial qu’un effort soit réalisé pour que la loi envisagée soit la plus inclusive possible et regroupe en son sein le solutions relatives à la protection de la donnée à caractère personnel, pour tous les usages : vie privée, prévention, détection et répression des infractions, finalités commerciales, finalités scientifiques, finalités sanitaires, protection des personnes mineures, etc. C’est donc une approche globale qui est préconisée.
En ce qui concerne les champs d’application, il y en a deux principaux. En premier lieu, il y a le champ matériel qui devrait inclure : les traitements des données à caractère personnel automatisés et les traitements non automatisé, les données à caractère personnel uniquement, les personnes physiques et les personnes morales. Quant au champ territorial, il intègre les activités effectuées ou visant le territoire camerounais, les personnes se trouvant sur le territoire camerounais, des personnes se trouvant sur un territoire étranger où le droit camerounais est applicable en vertu du droit international.
Logique de conformité continue. La logique devrait être celle d’une conformité continue, tout au long du cycle de vie de la donnée à caractère personnel, rendant les acteurs permanemment responsables, sous le contrôle et avec l’accompagnement du régulateur indépendant. Ce serait une option importante et complètement différente de la logique des formalités préalables de la déclaration et de l’autorisation des acteurs, et qui est moins contraignante au regard du respect des dispositions de protection, une fois lesdites formalités effectuées. Il s’agit aussi d’opter pour la minimisation du contrôle en amont au moyen des formalités, et pour l’optimisation des pouvoirs de contrôle et de sanction.
Force des droits et facilitation de leur exercice. Les principes à retenir dans la loi envisagée devraient être ceux qui gouvernent le stockage, le traitement et la circulation des données à caractère personnel devraient être ceux universellement partagés. Il en est de même des droits des personnes concernées qui devraient être les plus nombreux et les plus aboutis possibles. Cela participe de la convergence des niveaux d’exigence de protection des données à caractère personnel. La facilitation de l’exercice des droits des personnes concernées pourrait s’opérer avec des instances de saisine peu nombreuses et réduites à l’essentiel, des délais de traitement des conflits et procédures très courts et une totale indépendance du régulateur-autorité de contrôle.
Convergence et intelligibilité normative, et coopérativité internationale. Les points de convergence des niveaux d’exigence légale de respect des principes, facilitation de l’exercice des droits des personnes, sanctions sont d’une importance capitale pour la crédibilité du dispositif. Ladite convergence de niveaux d’exigences n’est possible que si deux défis préalables sont relevés : l’existence d’une loi suffisamment forte et protectrice des personnes concernées, et l’existence d’une autorité de contrôle indépendante et suffisamment efficace à faire respecter les droits des personnes concernées, et faire appliquer les principes érigés, les droits et liberté reconnus aux personnes concernées, la garantie et la réglementation de la libre circulation des données à caractère personnel.
Il en résulte il y a plusieurs gains. Premièrement, il y a l’évitement de la situation de subordination vis-à-vis d’autres ordres juridiques. En deuxième lieu, on gagnerait au niveau des mécanismes de coopération, y compris celle judiciaire, qui s’e trouveraient renforcés, notamment avec les régulateurs et autorités de contrôle et de protection d’autres espaces juridiques, et en raison de ce que les dispositions sont intelligibles et compatibles les unes des autres. Troisièmement, il y a une mise à égalité normative entre les acteurs, y compris les géants de l’économie numérique traditionnellement appelés GAFAM (Google, Apple, Facebook, Amazon et Microsoft), principaux acteurs de la production, du stockage et de la circulation des données à caractère personnel. Enfin, la convergence dans le cadre des opportunités d’offres de biens et services et de captation de prestations de services d’autres espaces économiques légalement compatibles. Enfin, la convergence normative est le gage de l’accès des prestataires des activités numériques du Cameroun aux marchés mondiaux des services de la société de l’information.
D.3. Description du contenu de la loi envisagée
La loi envisagée peut se composer comme suit.
Dispositions générales. Principes de traitement et droits de la personne concernée. Circulation et transferts. Autorité indépendante de contrôle, acteurs du traitement, modalités du contrôle, voies de recours, responsabilité et sanctions. Traitements particuliers des données. Traitement des données publiques. Dispositions finales.
Méthodologie et chronogramme d’élaboration de la loi envisagée
La méthodologie se décline en plusieurs aspects : la matière, les intervenants et la chronologie.
La méthodologie relative à la matière. De manière générale, l’on peut partir des lois et règlements déjà existants, qu’il va falloir tout simplement intégrer dans la loi d’orientation, en prenant soin d’enrichir ou de supprimer les dispositions non pertinentes. Quant aux aspects qui ne sont pas encore existants, il s’agira de les élaborer ex nihilo.
Enfin, il serait primordial d’atteindre un niveau satisfaisant en ce qui concerne la qualité des dispositions et rechercher une approche permettant d’être conforme aux législations considérées, qui permettent à l’expertise nationale non seulement de capter les prestations, mais aussi de proposer des services et des contenus numériques à haute valeur ajoutée.
La méthodologie relative aux intervenants. L’on peut faire élaborer la mouture initiale du projet de loi, en commettant tous les intervenants du secteur en charge de l’Economie numérique dans un premier temps : structures, opérateurs et acteurs relevant du département ministériel en charge de la protection des données. Puis, il faudrait élargir le cadre de concertation aux autres acteurs des politiques sectorielles publiques.
D.4.c. La méthodologie chronologique. Dans un premier temps, il s’agira d’identifier les grandes orientations et les grands principes internationaux auxquels il n’est pas possible de ne pas souscrire. Ensuite, il faudrait identifier les spécificités sectorielles propres au Cameroun, garantissant la caractère inclusif du projet de loi, de sorte à ne pas laisser de côté un seul pan économique, social, culturel, politique, etc. Ce qui permettrait de secréter un instrument qui est en phase et en totale cohérence avec la vision générale. En troisième lieu, il serait utile de construire une mouture commune qui pourrait constituer le socle à soumettre à l’enrichissement national, à travers une plateforme en ligne, accessible à tous pour recueillir toutes les contributions, sans exception, ainsi que des votes, sur chacun des points critiques et essentiels du projet de loi. En quatrième lieu, les contributions pertinentes pourraient être recensées et intégrées dans le texte du projet de loi, en tant que de besoin. En dernier lieu, le projet de loi suivra son processus institutionnel classique de maturation et d’adoption.
CE QU’IL FAUT RETENIR
La prétention à développer l’économie numérique et à s’y baser pour accentuer le développement économique global au moyen des considérables retombées des activités du numérique n’a aucune crédibilité sans les données à caractère personnel. Par ailleurs, il n’y a pas de circulation viable, interchangeable, productive et enrichissante des données sans une réglementation protectrice conséquente favorisant l’importation des données des autres espaces économiques, la captation des prestations de traitement des données, et l’exportation des services de la société de l’information. Enfin, la valeur productive des données à caractère personnel n’est envisageable que si les deux pré-requis ci-après sont satisfaits : l’existence d’une législation suffisamment forte pour protéger les droits des personnes, et l’érection d’un organe indépendant de protection et de régulation des données à caractère personnel. Ce sont là les insuffisances que devrait évincer le Cameroun à très brève échéance.
Par Laurent-Fabrice ZENGUE [17]
Article 45 – Transferts fondés sur une décision d’adéquation
Article 46 – Transferts moyennant des garanties appropriées
Article 47 – Règles d’entreprise contraignantes
Article 49 – Dérogations pour des situations particulières.
[1] Article 1er de la Convention de l’Union africaine (UA) sur la cybersécurité et la protection des données à caractère personnel, adoptée le 27 juin 2014.
[2] Article 4 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
[3] International Data Corporation (IDC) est un groupe mondial de conseil et d’études sur les marchés des technologies de l’information : https://www.distributique.com/actualites/lire-big-data-le-marche-promis-a-une-croissance-a-deux-chiffres-jusqu-en-2020-25336.html
[4] Rapport sur l’économie numérique, Création de et captation de la valeur : incidences sur les pays en développement, Conférence des Nations Unies sur le commerce et le développement (CUNED), Genève 2019.
[5] Agence de Régulation des Télécommunications du Cameroun, « Observatoire annuel 2017 du marché des communications électroniques ».
[6] Statista édite un portail d’études et de statistiques provenant de plus de 18 000 sources :https://www.journaldunet.com/ebusiness/crm-marketing/1440548-prix-donnees-personnelles-americains-selon-statista/
[7] Directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications.
[8] Manuel Campos Sanchez-Bordona, Avocat général auprès de la Cour de Justice de l’Union Européenne.
[9] CJUE, arrêt 21 décembre 2016, Tele2 Sverige AB (C‑203/15) et Secretary of State for the Home Department (C‑698/15).
[10] Arrêt du 2 octobre 2018, C-207/16, Ministerio Fiscal (voir CP n° 141/18).
[11] Manuel Campos Sanchez-Bordona, Avocat général auprès de la Cour de Justice de l’Union Européenne.
[12] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
[13] Directive nº 2016/680 relative aux traitements mis en œuvre à des fins de prévention et détention liées aux infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales (dite directive « police »).
[14] Article 45 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, RGPD).
[15] Liste de pays adéquats au RGPD : Andorre, Argentine, Canada, îles Féroé, Guernesey, Israël, Ile de Man, Japon, Jersey, Nouvelle-Zélande, Suisse, Uruguay, Etats-Unis d’Amérique.
[16] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, RGPD).
[17] Laurent-Fabrice ZENGUE, Juriste-Droit du numérique et des données Diplômé de l’Université Paris1 Panthéon-Sorbonne Chef de la Cellule des Etudes et de la Règlementation à la Division des Affaires Juridiques au Ministère des Postes et Télécommunications du Cameroun.