La Protection des données à caractère personnel au Cameroun à la lecture de la loi du 23 décembre 2024

Ce que les entreprises doivent savoir pour leur mise en conformité en 2026

[Tribune] Le 25 avril 2025, le Tribunal nigérian de la concurrence et de la protection des consommateurs1 a infligé l’amende record de 220 millions de dollars à Meta Platforms Inc. et WhatsApp LLC, propriétaires des plateformes Facebook, WhatsApp, et Instagram, pour transferts de données non autorisés, publication de politiques de confidentialité non conformes et traitement des données des utilisateurs établis ou résidant au Nigéria sans leur consentement. Au rang des sanctions remarquées des autorités africaines en charge de la protection des données à caractère personnel, figure également la décision du 18 juillet 2025 de l’Autorité Ougandaise de la Protection des Données (PDPO)2, sanctionnant Google LLC., pour des transferts de données à caractère personnel hors de l’Ouganda sans respecter les garanties nécessaires exigées par la loi.

En imposant aux géants de la Tech, en plus des sanctions pécuniaires, de s’enregistrer auprès des Autorités de Protection des Données Personnelles en Afrique, de désigner un Délégué à la Protection des Données en charge du pays africain concerné, et de soumettre la preuve de la mise en conformité de leurs procédures de transferts transfrontaliers de données, les Autorités Africaines envoient un signal fort sur l’application effective des lois nationales relatives à la protection des données à caractère personnel en Afrique.

C’est donc en accord avec les normes internationales, qu’au Cameroun, pilier de l’économie numérique de l’Afrique centrale3, la loi n° 2024/017 relative à la protection des données à caractère personnel a été promulguée le 23 décembre 2024 (loi sur la protection des données à caractère personnel). La loi sur la protection des données à caractère personnel a accordé aux entreprises qui, dans le cadre de leurs opérations, collectent, enregistrent, organisent, conservent, adaptent, modifient, rapprochent, verrouillent et transfèrent les données à caractère personnel, un délai de mise en conformité de leurs protocoles de traitement de données. Ce délai expirera le 23 juin 2026.

De quelles données s’agit – il ? Quels sont les secteurs de traitement de données à grande échelle ? Comment effectuer la mise en conformité ? Voici des questions essentielles sur le sujet, à l’attention des entreprises qui procèdent au traitement des données des personnes établies, résidant ou en transit au Cameroun.

I- Les données à caractère personnel et leur valeur marchande

En 2024, Alphabet Inc., la société mère de Google Inc., a généré 265 milliards de dollars de recettes publicitaires, grâce aux performances publicitaires sur le moteur de recherche Google Search et sur YouTube4. Autrement dit, plus les internautes s’attardent sur la publicité qui s’affiche à l’écran lors de leurs navigations, plus Google s’enrichit.

En acceptant totalement ou partiellement les « cookies » pour faciliter l’accès à des pages Web, en ouvrant du contenu sponsorisé, en cliquant sur du contenu publicitaire en ligne, les utilisateurs transmettent généralement sans attention particulière, des centaines de milliers de données par seconde au propriétaire de la plateforme. Les données personnelles communiquées à travers les requêtes sur les moteurs de recherche (historique de navigation par exemple), les achats passés en ligne, les publications et partages d’avis sur les réseaux sociaux, en disent long sur les comportements, les préférences et les habitudes de consommation des utilisateurs. Les entreprises paient pour avoir accès à ces données et faire diffuser de la publicité ciblée.

Si l’internaute reçoit sur son téléphone, ordinateur, ou tablette, même plusieurs semaines après avoir effectué une recherche sur des options de location de voiture, des dizaines de publicités relatives à la location de voiture chaque fois qu’il se connecte à internet, c’est que ses données personnelles (adresse électronique, adresse IP, géolocalisation, historique de navigation), ont été vendues par Google aux annonceurs qui lui adressent lesdites publicités.

En revanche, il n’y a pas que sur internet que les données à caractère personnel sont communiquées par leurs titulaires. Des milliers d’entreprises reçoivent en échange de l’accès à leurs produits ou services, des noms, dates de naissance, statuts matrimoniaux, photos, empreintes, adresses postales, adresses mail, numéros de téléphone, numéros de sécurité sociale, identifiants numériques, adresses IP, identifiants de connexion, numéro de carte bancaire, données de santé5, etc. Désormais, le traitement de toutes ces données appartenant à des personnes établies, résidant ou en transit au Cameroun6, à des fins liées aux activités des entreprises collectrices, au mépris des conditions d’obtention du consentement, des exigences de mise en conformité des protocoles de traitement des données et d’obtention de l’autorisation préalable de l’Autorité de Protection des Données à Caractère Personnel, sera sanctionné après le 23 juin 2026.7

II- Les entreprises responsables du traitement des données et leur mise en conformité

Est désignée Responsable du traitement, toute entreprise qui collecte et traite directement ou à travers un sous-traitant, les données personnelles des clients, des utilisateurs et du personnel localisés au Cameroun, pour des finalités liées aux opérations de l’entreprise telles que :

• Pour une application mobile de santé : collecte des données de santé (poids, tension artérielle, rythme cardiaque) pour suivre les progrès de l’utilisateur dans le cadre du programme de suivi médical personnalisé,

• Pour une société de télécommunications : analyse des données personnelles des abonnés telles que les numéros de téléphone, notifications de soldes, affichage sur bande passante de données mobiles pour vente aux annonceurs locaux en vue de diffuser des SMS de marketing direct.

S’agissant du traitement des données, le législateur précise qu’il s’agit de : toutes opérations de collecte, enregistrement, organisation, conservation, adaptation, extraction, consultation, diffusion, transmission, rapprochement, verrouillage, effacement, ou transfert de données à caractère personnel.

En tant que tel, c’est au Responsable du traitement qu’incombe la responsabilité du respect de la réglementation relative à la protection de ces données, durant toute la durée de vie du traitement de données personnelles. En d’autres termes, si la loi soumet à l’autorisation préalable8 de l’Autorité de Protection des Données à Caractère Personnel et au respect des conditions garantissant l’exercice des droits de la personne concernée :

• le traitement des données à caractère personnel sur le territoire camerounais,
• le transfert des données à caractère personnel vers un Etat étranger, ou une organisation internationale9, alors, tout manquement à ces obligations pourrait valoir de belles sanctions à l’entreprise.

Les secteurs et catégories d’entreprises les plus sensibles, du fait de leur traitement de données à grande échelle, sont :

• Les services publics10,
• Les grands facturiers fournisseurs publics ou privés d’électricité et d’eau,
• Les entreprises technologiques (services et produits      liés à internet, services de télécommunications, applications mobiles),
• Les établissements de santé,
• Les établissements financiers.

Pour le caractère sensible, les grands volumes de données traitées ou la spécificité des opérations de ces entreprises, la mise en conformité des procédures de traitement y est particulière.

III- Les grands axes de la mise en conformité des entreprises en matière de protection des données à caractère personnel

Les sanctions les plus importantes jusqu’ici infligées aux Responsables du traitement par des Autorités de Protection des Données à Caractère Personnel ont généralement réprimé :

• Transfert de données non autorisé
• Transfert de données personnelles sans garanties adéquates et en violation des exigences en matière de transfert de données dans le pays
• Mécanismes d’obtention de consentement peu clairs pour le traitement des données
• Publication de politiques de confidentialité non conformes
• Non-respect des exigences relatives à l’obtention du consentement pour diffusion de publicité ciblée
• Divulgation des données personnelles de mineurs sans consentement approprié ni mesures de sécurité
• Lacunes importantes dans les procédures de protection des données

Ces sanctions interviennent très souvent à la suite du traitement des données :

• d’un important nombre de personnes (ex : centaines d’abonnés, clients, ou utilisateurs),
• d’un volume ou d’un spectre très important, ou
• couvrant une large étendue géographique (ville, département, région, état).

Les traitements de données cochant l’un ou plusieurs des critères ci-dessus sont catégorisés

« Traitements de données à grande échelle ». Pour les entreprises effectuant routinièrement ce type de traitement de données, même lorsque la loi ne l’impose pas, la désignation d’un Délégué à la Protection des Données (DPO) certifié est fortement recommandée.

Désignation d’un DPO certifié

Véritable maitre d’orchestre de la mise en conformité de l’entreprise en matière de protection des données, le Délégué à la Protection des Données (DPO), est désigné dans/pour le pays concerné, sur la base des connaissances spécialisées du droit du numérique applicable, des aspects techniques et informatiques des traitements effectués, et pratiques de la protection des données. Il/Elle doit être :

• Certifié (e) par un organisme de certification agréé, et
• à la hauteur de la sensibilité, du volume des données traitées et de la complexité des traitements de données au sein de l’entreprise.

Pour le degré d’autonomie nécessaire au bon exercice de ses fonctions, le DPO est très souvent un (e) spécialiste externe. Toutefois, en tant employé (e) de l’entreprise, il/elle ne doit rendre compte de son activité qu’au niveau le plus élevé de la direction.

Audit des fichiers et des traitements

Au titre de missions initiales, le DPO procèdera à l’analyse et la cartographie des différents traitements de données, ainsi que les risques liés aux traitements. Il/elle rédigera ensuite la feuille de route de mise en conformité l’entreprise.

Pilotage de la conformité

Le Responsable du traitement ou le sous-traitant s’assurera que le DPO est associé à tous les projets touchant aux données personnelles pour qu’il/elle puisse efficacement mettre en place les procédures internes énumérées dans la feuille de route (Privacy by Design). De l’installation de la culture du Data Privacy au sein de l’équipe, à la rédaction des procédures internes et de la documentation contractuelle, en passant par l’établissement et la tenue des politiques et registres de traitement des données personnelles, y compris de conformité de l’introduction des systèmes d’intelligence artificielle, le DPO s’affirmera délicatement mais avec précision au sein de son organisation. Il/elle sera également le point de contact des personnes dont les données sont collectées, ainsi que de l’Autorité de Protection des Données à Caractère Personnel auprès de laquelle il effectuera les formalités obligatoires.

Avec une réglementation appelée à s’enrichir de textes de loi, y compris celui qui portera création et organisation de l’Autorité de la Protection des Données à Caractère Personnel au Cameroun, les données, véritable « or noir » de l’économie numérique, feront encore fièrement parler d’elles.

————————————

Par Danielle Moukouri
Avocate spécialisée en Droit du numérique Barreau du Cameroun – Barreau du Nigéria – American Bar Association
Diplômée de Wharton – Université de Pennsylvanie (USA) Déléguée à la Protection des Données (DPO) certifiée Global Leader Fintech C Blockchain – Lexology
En charge de l’élaboration de la Stratégie Nationale de l’Intelligence Artificielle au Cameroun

————————————

¹ En Anglais, The Nigerian Competition and Consumer Protection Tribunal (CCPT), est une entité judiciaire spécialisée créée en vertu de la loi fédérale nigériane sur la concurrence et la protection des consommateurs. Il fait office d’instance d’appel pour les décisions rendues par la Commission fédérale de la concurrence et de la protection des consommateurs – The Federal Competition and Consumer Protection Commission (FCCPC).

² The Personal Data Protection Office (PDPO) of Uganda

³ Dans le AI Investment Potential Index 2025, avec un Indice de Développement des TIC à la hausse, le Gabon, la Guinée Equatoriale et le Cameroun forme le trio de tête en zone CEMAC

⁴ Etats financiers de synthèse d’Alphabet Inc. de décembre 2024

⁵ Ce sont ces données qui sont définies comme données à caractère personnel par le législateur camerounais aux termes de l’article 5 de la loi 2024/017 du 23 décembre 2024 relative à la protection des données à caractère personnel au Cameroun

⁶ Article 2 Ibid ;

⁷ Délai de mise en conformité prévu par l’Article 73 Ibid ;

⁸ Article 19 de la Loi nº 2024/017 du 23 décembre 2024 relative à la protection des données à caractère personnel au Cameroun

8 Article 32 ibid

¹⁰ A l’exception des juridictions