Dans un précédent article, les limites de la protection des données à caractère personnel étaient mises en lumière. Parlant des limites institutionnelles, il avait été excipé le caractère inopérant de l’action des organes en charge de la régulation des NTIC au Cameroun. L’un de ces organes est intéressant à plus d’un titre, il s’agit de l’Agence Nationale de Régulation des Technologies de l’Information et de la Communication (ANTIC), créée par la loi sur les communications électroniques. Cette structure bien qu’ayant un champ d’intervention élargi, n’est pas suffisamment outillée pour la protection des données à caractère personnel. Dans un essai d’arrimer la législation Camerounaise avec les standards internationaux de protection des données à caractère personnel, il est impératif que le Cameroun se dote d’une Autorité Nationale de protection. Un rôle qui semble être à la mesure de l’ANTIC si elle avait droit au préalable à une transformation substantielle.
Au sens de la Convention de l’Union Africaine sur la cyber-sécurité et la protection des données à caractère personnel l’autorité Nationale de Protection est : « une autorité administrative indépendante chargée de veiller à ce que les traitements des données à caractère personnel soient mis en œuvre conformément aux dispositions de la Convention»
De cette définition, il est possible de déduire que réussir la transformation de l’ANTIC en Autorité Nationale de Protection implique une modification structurelle de cet organe en une autorité administrative indépendante capable de veiller spécifiquement au traitement des données à caractère personnel selon les dispositions de la convention. Ces dernières désignant l’ensemble des règles relatives au traitement des données à caractère personnel notamment les droits de la personne concernée, les obligations du responsable de traitement et la responsabilité qui en découle, incluant un régime de sanctions.
Ainsi, le présent article se propose de donner les pistes pour une transformation réussie, une transformation qui serait d’un apport certain dans l’amélioration de la protection des données à caractère personnel au Cameroun.
I. La transformation de l’ANTIC : D’autorité administrative sous tutelle à autorité administrative indépendante
Une autorité administrative indépendante, est une entité capable d’agir au nom de l’État sans lui être subordonné et de bénéficier, pour le bon exercice de ses missions, de garanties qui lui permettent d’agir en pleine autonomie, sans que son action puisse être orientée ou censurée, si ce n’est par le juge. Apparue en France à la faveur de la Loi sur l’Informatique et les libertés de 1978 créant la Commission Nationale de l’Informatique et Libertés (CNIL), l’Autorité administrative indépendante, a l’avantage d’offrir à l’opinion une garantie renforcée d’impartialité des interventions de l’État ; de permettre une participation élargie de personnes d’origines et de compétences diverses, et notamment de professionnels à la régulation d’un domaine d’activité; et d’assurer l’efficacité de l’intervention de l’État en termes de rapidité, d’adaptation à l’évolution des besoins et des marchés et de continuité dans l’action.
Le maître mot pouvant résumer une autorité administrative indépendante est l’indépendance justement. Celle-ci fait cruellement défaut à l’ANTIC dans sa forme actuelle car étant un établissement public administratif, elle est placée sous une tutelle technique et financière du Ministère des Postes et des Télécommunications (MINPOSTEL) et du Ministère des Finances (MINFI). Faire de l’ANTIC une autorité administrative indépendante implique qu’elle dispose d’une autonomie tant sur le plan organique que sur le plan fonctionnel. Sur le plan organique, l’ANTIC devra bénéficier d’une autonomie absolue en ce qui concerne la composition et le mode de désignation de ses membres ; la durée de leur mandat ; ainsi que le régime d’immunités auquel ils ont droit. Sur le plan fonctionnel, l’ANTIC n’étant plus sous tutelle, la gestion financière, humaine, technique devront lui incomber de manière exclusive.
II. La Transformation de l’ANTIC : Le double contrôle ou l’arme fatale
Le contrôle est un aspect important de l’action de l’autorité de protection et dans ce sens l’ANTIC doit disposer d’un pouvoir de contrôle efficace. Pour ce faire, l’ANTIC peut s’inspirer de la CNIL en France et mettre sur pied un mécanisme de double contrôle : un contrôle a priori et un contrôle a posteriori
Le contrôle a priori est celui qui s’effectue avant que le traitement ait été engagé. Il va reposer entièrement sur le régime de déclaration et le pouvoir d’autorisation. Le régime de déclaration est celui par lequel le responsable de traitement informe l’autorité de protection du traitement auquel il va procéder. Dans ce sens, le responsable de traitement va fournir un certain nombre d’informations sur le traitement, qui vont permettre à l’autorité de protection d’émettre un avis favorable ou défavorable. En outre, pour les traitements qui présentent des risques particuliers pour les droits et libertés ou dont le contenu et les finalités sont susceptibles de porter atteinte à la vie privée de la personne concernée, l’ANTIC devra faire recours à une procédure d’autorisation. La procédure, qu’on retrouve notamment en France ou encore au Benin, implique la définition d’un nombre restreint de traitements qui y sont soumis.
Par la suite, l’ANTIC peut procéder à un contrôle a posteriori qui sollicite son pouvoir d’investigation et/ou son pouvoir de sanction. Le contrôle a posteriori peut être déclenché soit par les justiciables, soit par l’autorité de contrôle elle-même. Ainsi l’ANTIC doit pouvoir être saisie par des réclamations et des plaintes provenant des victimes d’atteintes dans le traitement de leurs données à caractère personnel. Ce cas de figure va amener l’ANTIC à mettre son pouvoir d’investigation en action, pour vérifier qu’il y’a bien eu violation. Ce pouvoir d’investigation va également être utilisé lorsque l’ANTIC, comme la CNIL en France, décide de se donner une vision d’ensemble de l’informatisation dans un secteur d’activité et dégager les éventuelles difficultés d’application de la loi en opérant un mouvement de vérification parfois marqué par des contrôles inopinés. La conséquence de ce contrôle est que dans l’éventualité ou des manquements sont constatés, l’ANTIC en fonction des actes posés et les dispositions légales, pourra prononcer des sanctions disciplinaires selon le champ défini par la loi en conformité avec les standards internationaux.
CONCLUSION :
L’ANTIC est un organe administratif qui a le potentiel pour incarner le tournant en termes de protection des données à caractère personnel au Cameroun. Pour cela, il faudrait lui en donner les moyens en le transformant en une autorité administrative indépendante dotée d’un pouvoir de décision et capable de veiller sur les traitements des données à caractère personnel. Pour l’instant, tant que le projet de loi sur les données à caractère personnel est toujours rangé dans les tiroirs du MINPOSTEL, il serait intéressant que le droit administratif s’autorise à faire sa mue en intégrant la notion d’autorité administrative indépendante, centrale pour une véritable protection des données à caractère personnel.