Les limites de la protection des données à caractère personnel au Cameroun

16 avril 2021

Les limites de la protection des données à caractère personnel au Cameroun

Il y a quelques années, mener une réflexion sur la protection des données informatiques à caractère personnel au Cameroun, aurait semblé déconnecté de la réalité tant la proportion de la population ayant accès aux Nouvelles Technologies de l’Information et de la Communication (NTIC) était faible. Depuis, les choses ont considérablement évolué et le pourcentage de la population ayant accès au NTIC est passé de 30 à 89% entre 2003 et 2017 selon le rapport de l’Agence nationale de Régulation des Télécommunications (ART). Bien que des chiffres plus récents ne soient pas accessibles, il est possible de déduire que ce pourcentage a continué à augmenter au vu de la place désormais centrale qu’occupe les NTIC dans le paysage de la communication au Cameroun, tant et si bien que le pays a fait de l’économie numérique une des priorités de sa stratégie de développement. Dans un tel contexte, les données informatiques à caractère personnel, perçues comme étant les informations qui se réfèrent à une personne identifiée ou identifiable de manière directe ou non, et qui font l’objet d’un traitement informatique, sont devenues des ressources dont la protection est nécessaire pour préserver le respect du droit à la vie privée de chaque individu. Le présent article se propose de mettre en 

I. Une protection normative relativement limitée

L’existence d’une base normative (textuelle) de la protection des données informatiques à caractère personnel au Cameroun a souvent été niée par la doctrine. Pourtant en analysant minutieusement le corpus juridique qui encadre les NTIC au Cameroun, il est possible de tirer des règles qui fondent la protection des données informatiques à caractère personnel. Toutefois ces règles font l’objet d’une limitation (1) qui ne peut être palliée au niveau international (2).

1 – Une protection nationale en pointillé

L’Etat du Cameroun, peine à protéger au mieux les données informatiques à caractère personnel, dans la mesure où le cadre juridique apparait comme étant imprécis  et la responsabilité des acteurs qui interviennent dans la manipulation des données à caractère personnel n’est pas suffisamment établie. En effet, la régulation des NTIC laisse apparaitre de manière subreptice des dispositions qui protègent les données informatiques à caractère personnel. Il s’agit notamment de la notion « d’exigence essentielle » dont l’un des éléments est la « protection des données personnelles ». Cette notion est disséminée dans un certain nombre de textes sans pour autant être clairement précisée. De plus, bien que la protection des données à caractère personnel soit explicitement consacrée, elle reste éparpillée dans de nombreux textes ce qui ne facilite pas l’identification des règles par les justiciables, et entache leur connaissance, leur compréhension et leur application. Le cadre juridique est incomplet, car même si les règles juridiques sont présentes, elles sont dépourvues de plusieurs éléments qui permettraient de réellement assurer la protection des données à caractère personnel. Par exemple, l’érection d’une obligation de protection des données à caractère personnel, dans le décret fixant les modalités d’établissement et/ou d’exploitation des réseaux et de fourniture des services de communications électroniques soumis au régime de l’autorisation, ne suffit pas si aucune disposition ne précise concrètement en quoi cette protection consiste.

La responsabilité de ceux qui sont le plus susceptibles de manipuler les données personnelles des individus est un élément essentiel de la protection qui n’est pas suffisamment pris en compte. D’une part, les textes ne semblent viser que les acteurs privés et d’autre part, le régime de sanction ne semble pas réellement adapté au type de protection que l’Etat est supposé garantir aux individus.

2. Une protection internationale inexploitée

Au-delà des frontières du Cameroun, la protection des données informatique à caractère personnel a pu prospérer et s’établir. Pourtant, cette protection n’a pas fait l’objet d’internalisation de la part de l’État du Cameroun, en raison du caractère non obligatoire des règles de portée universelle  et de l’inexistence des normes communautaires. Les principes directeurs en matière de protection des données à caractère personnel18, adoptés par l’assemblée générale des Nations Unies à travers sa résolution 45/95 définissent un corps de règles applicables aux fichiers contenant des données à caractère personnel par leur nature résolutoire, mais n’ont aucune force obligatoire pour les États.  Même son de cloche en ce qui concerne les lignes directrices régissant un certain nombre de principes supposés servir de base pour l’élaboration des législations nationales sur la protection des données à caractère personnel mais qui sont difficilement applicables au contexte camerounais. 

Contrairement au cadre européen de protection des données à caractère personnel qui ne cesse de s’étoffer depuis la convention 108, la véritable limitation de la protection nationale se trouve au niveau africain.

En effet, au niveau régional l’Union africaine s’est dotée d’un instrument juridique pour lutter contre la cybercriminalité et protéger les données informatiques à caractère personnel. A cheval entre la construction universelle, européenne, et les législations nationales sur la protection des données à caractère personnel, la Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel qui a le mérite de poser un véritable cadre juridique opposable aux États en ce qui concerne la protection des données informatiques à caractère personnel, ne possède pas d’existence juridique sur le plan matériel. Ceci en raison de l’absence d’un dépôt suffisant des instruments de ratification conformément à l’article 36, pour qu’elle puisse entrer en vigueur. Au niveau sous régional, en dépit de l’adoption de plusieurs instruments juridiques dans l’optique d’harmoniser la régulation des communications électroniques, auxquelles les lois camerounaises sur les NTIC se conforment, on ne retrouve pas à proprement parler une base de protection des données informatiques à caractère personnel.

II. Une protection institutionnelle substantiellement dépouillée

La protection institutionnelle des données informatiques à caractère personnel repose essentiellement sur les organes de régulation du secteur des NTIC et les juridictions. Seulement, une analyse minutieuse du fonctionnement de ces organes permet d’observer des manquements substantiels pour une protection efficace des données informatiques à caractère personnel  tant sur le plan administratif (1) que juridictionnel (2).

1. Une protection administrative inopérante 

La protection administrative repose sur trois institutions. Le Ministère des Postes et des Télécommunications (MINPOSTEL) intervenant de manière plus indirecte, le présent article va se focaliser sur l’Agence de Régulation des Télécommunications (ART)  et l’Agence Nationale des Technologies de l’Information et de la Communication (ANTIC). Ces institutions qui ont la charge de la régulation des NTIC ne peuvent curieusement intervenir que de manière très restreinte dans la protection des données informatiques à caractère personnel.

L’Agence de régulation des télécommunications (ART) est un établissement public administratif doté de la personnalité juridique et de l’autonomie financière, crée par la loi sur les communications électroniques. En tant que établissement public administratif, l’ART est sous la tutelle administrative du Ministère des Postes et des Télécommunications (MINPOSTEL) et sous la tutelle financière du Ministère des Finances (MINFI). L’ART est supposée jouer un rôle dans la protection des données informatiques à caractère personnel des citoyens, vu qu’elle assure pour le compte de l’État, la régulation, le contrôle et le suivi des activités des opérateurs et exploitants du secteur des Télécommunications et des Technologies de l’Information et de la Communication. Elle veille également au respect du principe d’égalité de traitement des usagers dans toutes les entreprises de communications électroniques. Seulement, la protection des données informatiques à caractère personnel par l’ART apparait comme étant incidente dans ses missions de régulations et reste limitée au secteur des télécommunications qui n’est pourtant pas le seul où des données personnelles peuvent être collectées.

L’ANTIC trouve son origine dans la loi sur les communications électroniques bien que son champ d’intervention ait été  clairement précisé par la loi sur la cyber sécurité et la cybercriminalité. Il s’agit également d’un établissement public administratif doté de la personnalité juridique et de l’autonomie financière qui a pour missions principales d’assurer pour le compte de l’Etat : la promotion et le suivi de l’action des pouvoirs publics en matière des Technologies de l’Information et de la communication (TIC) ; la régulation, le contrôle et le suivi des activités liées à la sécurité des systèmes d’information et des réseaux de communications électroniques ainsi que la certification électronique en collaboration avec l’ART. D’emblée on pourrait être amené à penser que la protection des données informatiques à caractère personnel est contenue dans ces missions à la formulation plutôt large. Seulement, à bien y regarder, les missions ne révèlent pas une qualification particulière de l’ANTIC à la protection des données à caractère personnel.

2. Une protection juridictionnelle inexistante 

En vertu du principe de légalité des délits et des peines, le juge pénal ne peut statuer
que sur les infractions de l’article 74 de la loi sur la cyber sécurité et la cybercriminalité de 2010. Bien qu’il fasse la différence, cet article reste encore limité par rapport au champ assez vaste de la protection des données à caractère personnel. D’ailleurs il est à déplorer que le juge pénal ne soit pas suffisamment sollicité ne serait-ce que sur la base de cet article. Bien que la loi sur la cyber sécurité date de 2010, l’activité contentieuse des juridictions pénales relative aux données à caractère personnel est encore faible. Il en va de même du juge civil qui n’a pas encore eu l’opportunité de se prononcer sur les atteintes à la protection des données à caractère personnel. C’est également ce qui ressort de l’activité du juge administratif, qui est quasiment nulle en la matière.

Derniers articles UYL