Académique Documents
Professionnel Documents
Culture Documents
2. A. LATIL, Le droit du numérique - Une approche par les risques, Dalloz, 2023.
11. Y.-M. LARHER, Le droit du travail à l’heure du numérique, Editions Nuvis, Phebe
Editions, 2021.
RAPPORTS
- INTERPOL, Evaluation 2021 des cybermenaces en Afrique. Principales
observations d’Interpol sur la cybercriminalité en Afrique. Octobre 2021,
www.interpol.int
- Ministère de l’intérieur (France), état de la menace liée au numérique 2019, mai
2019, www.vie-publique.fr
- J.-M. MIS, Pour un usage responsable et acceptable par la société des
technologies de sécurité, 2019, www.vie-publique.fr
1
- www.legalis.net
- www.cyberdroit.fr
2
INTRODUCTION GENERALE
3
Certains opérateurs de communications électroniques réalisent des
programmes audiovisuels.
- Droit civil
Commerce électronique
Droits de la personnalité (image, vie privée)
Contrats en ligne (reconnaissance de la signature électronique pour faciliter le
commerce électronique),
Contrats informatiques
Objets connectés
Respect de la vie privée (secret des correspondances, circulation des données à
caractère personnel, cyber-surveillance des employés par l’employeur qui a été
admise en France à condition que les salariés aient été prévenus à l’avance,
géolocalisation avec par exemple le cas de Google Map ou Street view,
réseaux sociaux) ;
- Droit commercial
Commerce électronique sécurisation des paiements en ligne).
- Droit de la propriété intellectuelle
Contrefaçon des œuvres ;
Puces électroniques
Intelligence artificielle
Contrefaçon des marques ou des noms de domaine sur internet, etc.) ;
- Droit pénal
Usurpation d’identité
Escroquerie en ligne
Protection des données à caractère personnel
Infractions de presse (diffamation, incitation à la haine raciale, etc.) ;
Responsabilité des acteurs de l’internet (opérateur de télécommunication,
fournisseur d’accès, fournisseur d’hébergement, fournisseur de contenus,
moteurs de recherche, gestionnaires de forum de discussion, blogueurs) ;
Atteintes aux systèmes d’information ;
Atteintes aux mineurs (pédophilie, droit à l’image)
- Droit du travail
Vidéosurveillance
Utilisation des outils informatiques sur le lieu de travail
Accès de l’employeur aux comptes ouverts sur internet (email, réseaux sociaux)
Les sources du droit de l’internet sont multiples et concernent toutes les branches du droit.
1) Les conventions internationales ratifiées par le Cameroun ;
2) Les textes communautaires (Union Africaine, CEMAC, CEEAC) ;
3) La constitution ;
4) Les lois nationales ;
5) L’autorégulation des acteurs de l’internet (chartes et accords professionnels de bonnes
pratiques) ;
4
I. Les conventions et traités internationaux
Les règles de droit international ainsi que les conventions ratifiées par le Cameroun
s’appliquent sur le territoire national. Nous pouvons citer à cet égard les conventions signées
sous l’égide de l’ONU, de l’UIT ou de l’OMC.
1) L’ONU
Les données Internet peuvent circuler sur une gamme variée de supports de communication:
câble téléphoniques de cuivre, câbles à fibres optiques, satellites, micro-ondes, et des liaisons
sans fil. Même le réseau électrique de base peut être utilisé pour relayer le trafic Internet en
utilisant la technologie du courant porteur en ligne.
Tenant compte du fait que la couche des télécommunications assure le trafic Internet, toute
nouvelle règlementation liée aux télécommunications aura inévitablement un impact sur
l’Internet.
L’infrastructure de télécommunications est réglementée au niveau national et au niveau
international par une variété d’organisations publiques et privées. Parmi les organisations
internationales clés impliquées dans la régulation des télécommunications, il y a l’Union
internationale des télécommunications (UIT), qui a développé et des règles détaillées pour
gérer la relation entre opérateurs nationaux, l’allocation du spectre radio, et la gestion du
positionnement des satellites; et l’Organisation Mondiale du Commerce
(OMC), qui a joué un rôle capital dans la libéralisation des marchés des télécommunications
à travers le monde.
La régulation internationale de l’IUT (ITR) de 1998 a facilité la libéralisation internationale
de la tarification et des services et a permis une plus grande créativité dans l’usage des
services au niveau de l’internet, tel que l’utilisation de lignes internationales louées dans le
domaine de l’Internet. Elle a fourni l’une des bases palpables pour la croissance rapide de
l’Internet dans les années 1990.
5
L’UIT définit des normes techniques détaillées non contraignantes, les règlementations
internationales spécifiques des télécommunications, et fournit une assistance aux pays
en développement.
3) L’OMC
L’AGCS s’applique à tous les services entrant dans le commerce international, par exemple
les services bancaires, les télécommunications, le tourisme, les services professionnels, etc.
dans lequel sont énoncés les principes régissant le commerce de tous les services (non-
discrimination, libéralisation des marchés ; etc.).
6
- Traitement de la nation la plus favorisée (NPF) Une faveur accordée à l’un doit l’être à
tous. Le principe NPF signifie l’égalité de traitement pour tous les partenaires
commerciaux, selon le principe de la non-discrimination. Dans le cadre de l’AGCS, si un
pays ouvre un secteur à la concurrence étrangère, il doit accorder des possibilités égales
dans ce secteur aux fournisseurs de services de tous les autres membres de l’OMC. Les
services publics sont explicitement exclus de l’accord et aucune disposition de l'AGCS
n’oblige les pouvoirs publics à privatiser les industries de services. En fait, le mot
“privatiser” n’apparaît même pas dans l’AGCS. Celui-ci ne proscrit pas non plus les
monopoles publics ni même les monopoles privés. Cette exclusion constitue un
engagement explicite de la part des gouvernements membres de l’OMC d’autoriser les
services financés sur des fonds publics dans les domaines essentiels relevant de leur
responsabilité. Dans l’accord, les services publics sont définis comme étant les services
qui ne sont pas fournis sur une base commerciale ni en concurrence avec d'autres
fournisseurs. Ces services ne sont pas soumis aux disciplines de l’AGCS, ils ne sont pas
visés par les négociations, et les engagements en matière d’accès aux marchés et de
traitement national (application du même traitement aux sociétés étrangères et nationales)
ne s’appliquent pas à ces services.
- La Charte africaine des droits de l’homme et des peuples de 1981. Elle reprend pour
l’essentiel les dispositions des précédentes conventions mais en y ajoutant certains droits
et libertés (le droit au développement
7
- La directive n°09/08/UEAC/133/CM/18 portant harmonisation des régimes juridiques des
activités électroniques dans les Etats membres de la CEMAC.
- Le règlement n°2/08/UEAC/13/CM/18 relatif à l’harmonisation des règlementations des
communications électroniques au sein des Etats membres de la CEMAC entrée en
vigueur le 19 décembre 2008.
- La Loi type relative au cadre juridique de la lutte contre la cybercriminalité dans les états
membres de la CEEAC-CEMAC, adoptée à Libreville le 26 février 2013.
- La Convention du 17 janvier 1992 sur l’harmonisation de la règlementation bancaire en
zone CEMAC
8
- Le Décret n°2013/0399/PM du 27 février 2013 fixant les modalités de protection
des consommateurs des services de communications électroniques ;
- La Loi n°2000/011 du 19 décembre 2000 relative au droit d’auteur et aux droits
voisins ;
- L’Accord de Bangui du 2 mars 1977 révisé le 24 février 1999 instituant une
organisation africaine de la propriété intellectuelle (OAPI) ;
- La Loi n° 2014/028 du 23 décembre 2014 portant répression des actes de
terrorisme.
- Le Code pénal
- Le Code civil (Réparation des préjudices subis par les personnes physiques ou
morales – Droit des contrats) ;
- La loi n°2017/012 du 12 juillet 2017 portant Code de justice militaire, etc.
IV. L’AUTOREGULATION
En dehors des normes juridiques, les professionnels de l’internet ont adopté des chartes et des
accords professionnels de bonnes pratiques auxquels il faut ajouter les conditions générales
d’utilisation des réseaux sociaux.
EX : l’inscription sur Facebook, l’ouverture d’un compte sur Twitter ou Google permet
d’accéder aux réseaux sociaux et emporte l’adhésion aux conditions générales d’utilisation du
réseau social.
L’objectif du cours est de vous permettre d’appréhender les enjeux juridiques liés à
l’environnement numérique et d’avoir des notions suffisantes sur les problèmes juridiques
que suscite l’informatisation croissante de la société d’une manière générale, à laquelle
n’échappe pas le continent africain, malgré la persistance de la fracture numérique entre les
pays pauvres et les pays riches.
En tant qu’enseignant d’informatique, et donc d’utilisateur d’outils informatiques, vous
encourrez un certain nombre de risques et vous devez sensibiliser vos élèves sur les dangers
de l’internet, vous devez donc être informé de la dimension juridique de ces activités.
A cet effet, différents thèmes relatifs à ces différentes problématiques seront abordés dans le
cadre de ce cours.
9
THEME 1 – LES DONNEES A CARACTERE
PERSONNEL
Sous-thème 1 - La protection des données à caractère personnel
Sous-thème 2 - Les sanctions de la violation des données à caractère personnel
Sous-thème 3 - L’usurpation d’identité numérique
TEXTES APPLICABLES
UNION AFRICAINE
Convention de l’union africaine sur la cybersécurité et la protection des données personnelles
adoptée à Malabo le 27 juin 2014 dans le but d’harmoniser les législations des Etats membres
(Convention de Malabo).
Etat des signatures : 8 pays (Bénin, Tchad, Congo, Guinée Bissau, Mauritanie, Sierra Léone,
Sao-Tomé).
Etat des ratifications : 1 pays (Sénégal).
CEMAC
Directive n°07/08-UEAC-133-CM-18 fixant le cadre juridique de la protection des droits des
utilisateurs des réseaux et services de communications électroniques au sein de la CEMAC.
Règlement n°03 /16-CEMAC-UMAC-CM du 21 décembre 2016 relatif aux systèmes, moyens et
incidents de paiement.
CAMEROUN
Absence de texte spécifique mais on peut citer les textes suivants :
- Loi n°2010/013 du 21 décembre 2010 régissant les communications électroniques au
Cameroun.
- Décret n°2013/0399/PM du 27 février 2013 fixant les modalités de protection des
consommateurs des services de communications électroniques.
Article 5 : « Les opérateurs de réseaux et les fournisseurs de service garantissent aux
consommateurs des services de communications électroniques (…) la protection des données
à caractère personnel ». Ils doivent notamment permettre aux consommateurs de masquer
leur numéro ou de refuser de figurer dans l’annuaire pour les abonnés qui en font la demande,
et mettre en place un dispositif visant à empêcher l’écoute, l’interception et le stockage non
autorisés des communications et des données de trafic.
10
SOUS-THEME 1 - LA PROTECTION DES DONNEES A
CARACTERE PERSONNEL
Avant l'apparition de l'informatique, les fichiers existaient, en général sous forme écrite. Un
fichier est un traitement de données qui s'organise dans un ensemble stable et structuré de données.
Les données d'un fichier sont accessibles selon des critères déterminés.
Avec le développement des nouvelles technologies, d’internet et des réseaux sociaux ces vingt
dernières années, la production de données numériques personnelles et non personnelles a été de plus
en plus nombreuse : textes, photos, vidéos, sons, etc.
On parle aujourd’hui du phénomène de BIG DATA ou mégadonnées pour désigner
l’ensemble des données numériques produites par l’utilisation des nouvelles technologies à
des fins personnelles ou à des fins professionnelles :
- Les données d’entreprises (courriels, documents, bases de données, etc.) ;
- Les contenus publiés sur internet (images, sons, vidéos, textes) ;
- Les données issues des transactions de commerce électronique (achats en ligne,
historique des transactions, dépenses effectuées) ;
- Les échanges sur les réseaux sociaux (Facebook, Instagram, Twitter ou X, Google,
YouTube, Tik Tok, etc.) ;
- Les données transmises par les objets connectés (smartphones, compteurs de gaz ou
d’électricité numériques, etc.) ;
- Les données de géolocalisation ;
- Les données de connexion à travers les cookies (sites visités, heures de connexion,
etc.)
La question de la protection des données à caractère personnel a été amplifiée au cours de ces
dernières années par le développement des algorithmes et le marché colossal qu’elles
représentent.
On distingue des moyens juridiques et des moyens techniques. Mais avant de les étudier, il
convient au préalable de définir les données à caractère personnel.
Les données à caractère personnel sont définies comme toute information concernant une
personne physique identifiée ou identifiable. Il existe 2 types d’identification :
11
- L’identification directe (un nom, un prénom, une photo, un enregistrement vocal, etc.)
- L’identification indirecte : dans cette hypothèse, est réputée « identifiable » une
personne physique qui peut être identifiée, notamment par référence à un identifiant
(un numéro d’immatriculation, un numéro de téléphone, un numéro de sécurité
sociale, une adresse postale personnelle ou professionnelle, une adresse IP, un numéro
de carte de paiement, un matricule interne tel que celui des étudiants ou des
fonctionnaires, un identifiant numérique tel qu’une une adresse mail, les données
biométriques telles que les empreintes digitales, l’ADN, le scan de l’iris, la
numérisation des veines de la paume de la main, etc. ).
Parmi les données à caractère personnel, il existe une catégorie spéciale, celle des données
« sensibles » qui bénéficient d’une protection particulière :
- Origine raciale ou ethnique ;
- Opinions politiques ;
- Convictions religieuses ou philosophiques ;
- Appartenance syndicale ;
- Traitement des données génétiques ;
- Données biométriques destinées à vous identifier de manière unique en tant que
personne physique;
- Santé ;
- Vie sexuelle ou orientation sexuelle.
B) Les moyens par lesquels les données personnelles peuvent être collectées
Il existe différentes formes de violation de la règlementation en matière de protection des
données à caractère personnel.
2. Lors des publications sur les réseaux sociaux (vidéos, photos, textes, sons, etc.).
3. Les cookies qui sont installés sur le disque dur de l’internaute par le gestionnaire du site
afin de collecter des informations telles que les sites et pages consultés, les logiciels installés
et utilisés, les caractéristiques techniques de l’ordinateur. Lors de la connexion suivante, ces
informations sont transmises au gestionnaire du site pour être exploitées. Toutefois,
l’utilisation des cookies peut être parfaitement légitime et dans cette hypothèse, le
gestionnaire du site doit en informer l’internaute et lui donner la possibilité de refuser qu’un
dispositif de connexion soit installé dans son terminal.
4. Les spams ou spamming qui consistent à envoyer des courriers électroniques non sollicités
à des personnes avec lesquelles l’expéditeur n’a jamais eu de contact et dont il a capté
12
l’adresse email de façon irrégulière. Cette forme de communication commerciale est souvent
utilisée par les annonceurs publicitaires.
5. Le phishing ou hameçonnage qui consiste à utiliser l'identité d'une autre personne, d'une
compagnie ou d'une organisation digne de confiance pour demander à la personne de fournir
des renseignements personnels. Cette forme de fraude se fait couramment par des courriels et
des sites web frauduleux, mais aussi par téléphone, par forums de discussion, par publicités
mensongères, etc.
10. Les logiciels espions ou spyware qui sont introduits dans le terminal de l’utilisateur à son
insu et permettent de collecter des informations personnelles telles que les sites les plus
visités, les mots de passe, etc. ex : affaire PEGASUS.
Peu importe que ces informations soient confidentielles ou publiques. A noter : pour que ces
données ne soient plus considérées comme personnelles, elles doivent être rendues anonymes
de manière à rendre impossible toute identification de la personne concernée : noms masqués,
visages floutés, etc.
Il existe deux moyens essentiels de protection des données a caractère personnel, les
moyens juridiques qui permettent de sanctionner les violations de données ainsi que les
moyens techniques.
13
Dans les pays disposant d’une législation spéciale, la protection des données à caractère
personnel s’organise autour de 3 règles :
- Les droits de la personne concernée par les données traitées ;
- Les obligations du responsable du traitement de données à caractère personnel ;
- La mise en place d’une autorité de contrôle.
La personne concernée par un traitement de données à caractère personnel est celle à laquelle
se rapportent les données qui font l’objet du traitement.
La loi accorde à la personne dont les données à caractère personnel font l’objet d’un
traitement un certain nombre de droits auxquels il peut être dérogé dans certains cas.
- Le droit à l’information préalable : les fichiers ne doivent pas être créés à l’insu des
personnes concernées qui doit notamment être informée de la finalité poursuivie par le
traitement (pour les entreprises ou les administrations par exemple, une note de
service doit informer les salariés de la création et de la finalité du fichier). Des
dérogations sont prévues par exemple lorsque les données sont collectées pour le
compte de l’Etat et intéressent la défense nationale ou la sécurité publique.
- Le droit d’opposition : les personnes concernées ont le droit de s’opposer, pour des
raisons légitimes, à ce que des données les concernant fassent l’objet d’un traitement
sauf dans le cas où le traitement obéit à une obligation légale.
- Le droit à l’oubli : les personnes dont les données font l’objet d’un traitement
disposent d’un droit à l’oubli, selon lequel la conservation des données à caractère
14
personnel ne doit pas excéder la durée nécessaire aux finalités poursuivies. (Mais il
n’est pas prévu dans toutes les législations).
Il doit respecter des formalités préalables ainsi des obligations liées à la collecte, le traitement
et la conservation des données.
Le traitement est défini comme « toute opération ou tout ensemble d’opérations portant sur
des données à caractère personnel, quel que soit le procédé utilisé, et notamment la collecte,
l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification,
l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou
toute forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le
verrouillage, l’effacement ou la destruction ».
Le responsable du traitement est « la personne physique ou morale qui détermine les finalités
et les moyens de traitement des données à caractère personnel ».
Constitue un fichier de données à caractère personnel « tout ensemble structuré et stable de
données à caractère personnel accessibles selon des critères déterminés ».
Le traitement automatisé des informations nominatives doit être déclaré ou soumis à l’avis de
l’autorité de contrôle afin de responsabiliser les utilisateurs des données nominatives, de
permettre le contrôle des responsables de traitement et de garantir les droits des personnes
concernées (procédure de déclaration préalable et procédure d’autorisation).
15
durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles ont été
collectées ou traitées. L’objectif étant d’éviter les fuites.
Il s’agit de toute personne traitant des données à caractère personnel pour le compte du
responsable du traitement. Il est soumis à une obligation de sécurité et de confidentialité
comme le responsable du traitement.
C) L’AUTORITE DE CONTROLE
Il s’agit de la Commission chargée de la protection des données à caractère personnel dont les
missions consistent à :
- Veiller au respect de la règlementation en matière de données à caractère personnel ;
- Délivrer les récépissés de déclaration et de répondre aux demandes d’avis ;
- Informer les personnes concernées et les responsables de traitement de leurs droits et
de leurs obligations ;
- Contrôler les traitements de données ;
- Sanctionner les manquements constatés, notamment le non-respect des formalités
préalables, le détournement de finalité, la collecte des données à caractère personnel
par un moyen frauduleux, déloyal ou illicite ou encore sans le consentement de la
personne intéressée, en cas de mesures insuffisantes pour garantir la sécurité et la
confidentialité.
Les sanctions infligées aux responsables de traitement sont susceptibles de recours
devant les tribunaux.
16
III. Les moyens techniques de protection des données à caractère personnel
Il s’agit de prendre les mesures techniques nécessaires pour éviter la collecte et l’utilisation
abusive des données à caractère personnel en utilisant des antivirus, logiciels légitimes au lieu
des logiciels pirates, etc.
En fonction du type de menace numérique concerné, il existe des fiches disponibles sur
internet qui décrivent les mesures à prendre pour sensibiliser les populations (phishing, etc.).
17
SOUS-THEME 2 - LA VIOLATION DES DONNEES A
CARACTERE PERSONNEL
La protection des données a caractère personnel est devenue une nécessité à cause des
conséquences de la violation des données. Différentes formes d’atteintes sont recensées : le
vol de données, l’usurpation d’identité numérique avec la création de faux profils sur les
réseaux sociaux, la violation de la vie privée, achats frauduleux en ligne grâce aux données
bancaires du client.
Par ailleurs, le coût des violations de données à caractère personnel est très élevé pour les
entreprises. En 2021, Le coût moyen d'une violation de données était estimé à 4,24 millions
de dollars par incident (frais pour détecter et contenir l’intrusion, mise en œuvre de nouvelles
solutions de sécurité, notification des victimes, indemnisation des victimes).
En cas de violation des données à caractère personnel, il existe deux types de recours : le
recours administratif devant l’autorité de contrôle et le recours judiciaire devant les
tribunaux.
Dans les pays disposant d’une législation spécifique en matière de protection des données à
caractère personnel, il s’agit de l Commission la Commission chargée de la protection des
données à caractère personnel, dont les missions consistent généralement à :
- Veiller au respect de la règlementation en matière de données à caractère personnel ;
- Délivrer les récépissés de déclaration et de répondre aux demandes d’avis ;
- Informer les personnes concernées et les responsables de traitement de leurs droits et
de leurs obligations ;
- Contrôler les traitements de données ;
- Sanctionner les manquements constatés, notamment le non-respect des formalités
préalables, le détournement de finalité, la collecte des données à caractère personnel
par un moyen frauduleux, déloyal ou illicite ou encore sans le consentement de la
personne intéressée, en cas de mesures insuffisantes pour garantir la sécurité et la
confidentialité.
Les sanctions infligées par l’autorité de contrôle à l’encontre des responsables de traitement
qui ne respectent pas la législation en vigueur sont susceptibles de recours devant les
tribunaux. En général, les incriminations sont prévues par ces législations concernent :
Tous les traitements automatisés de données personnelles doivent faire l’objet d’une
déclaration ou d’une autorisation de l’autorité de contrôle, à l’exception de cas définis par la
loi. Le fait de constituer des fichiers de données à caractère personnel sans avoir respecté ces
formalités constitue une infraction pénale. De même lorsque la collecte est interdite par
rapport à la nature des données.
18
B. L’absence de consentement de la personne concernée
Plusieurs techniques peuvent être utilisées pour collecter illégalement des données à caractère
personnel sur internet : les logiciels espions, les cookies, les spams ou spamming, le
Hameçonnage. La loi sanctionne de la collecte illicite de données.
De nombreuses entreprises ont été sanctionnées à cause du vol et de la mise en ligne des
données à la suite d’une cyberattaque ou d’une négligence interne.
Exemples :
- Suppression accidentelle de données médicales conservées par un établissement
de santé et non sauvegardées par ailleurs ;
- Perte d’une clef USB non sécurisée contenant une copie de la base clients d’une
société ;
- Introduction malveillante dans une base de données scolaires et modification des
résultats obtenus par les élèves.
D. Le détournement de finalité
Le traitement doit être réalisé pour des finalités déterminées, explicites et légitimes
conformes à celles qui ont été déclarées à l’autorité de contrôle. Par conséquent, tout nouveau
traitement réalisé à partir de ces données collectées, incompatible avec ces finalités, est
interdit, sauf exception (à des fins statistiques, de recherche scientifique ou historique ou
encore avec le consentement express des personnes concernées.
19
20