Ohadata D-22-04

MALAISE SUR LA PROTECTION ORGANIQUE DES

DONNÉES À CARACTÈRE PERSONNEL EN MATIÈRE
NUMÉRIQUE DANS LA CEMAC
Par

Diderot Istaire AKO’O

Doctorant en Droit privé
Université de Douala - Cameroun

Email : istairediderot15@gmail.com

1
 RESUME
Face à l’expansion exponentielle des Technologies de l’Information et de la
Communication (TIC), la vie privée et les données à caractère personnel côtoient une menace
permanente. Cette situation assez préoccupante justifie d’ailleurs la réaction des pouvoirs
publics de l’Afrique Centrale. Une telle réaction est perceptible à travers l’élaboration d’un
corpus juridique adapté aux activités exercées dans l’univers du numérique. Si l’on peut se
réjouir de l’existence d’une règlementation relativement satisfaisante destinée à la protection
de la vie privée et des données personnelles dans la CEMAC, en l’occurrence la Directive n°
07/08-UEAC-133-CM-18 du 19 décembre 2008 fixant le cadre juridique de la protection des
droits des utilisateurs de réseaux et de services de communications électroniques au sein de la
CEMAC, la Directive n° 02/19-UEAC-639-CM-33 du 22 mars 2019 harmonisant la protection
des consommateurs au sein de la CEMAC, le Projet de la Directive CEMAC sur le cadre
juridique de la protection des données à caractère personnel, etc.

L’on pourrait tout de même déplorer la fragilité de la protection organique des données
personnelles dans la CEMAC, ce qui plombe les efforts du législateur communautaire dans sa
laborieuse mission en la matière. Cet état de choses nécessite la création d’une institution
communautaire spéciale garante de la sécurité de la vie privée et des données personnelles
dans l’univers virtuel.

Mots clés : Données à caractère personnel-vie privée-organique-TIC.

2
 INTRODUCTION

L’émergence fulgurante des TIC a basculé la vie de l’homme vers un monde virtuel, au point
de le rendre indissociable de cet univers. Un contemporain souligne à juste titre que « il est
difficile de nos jours de mener une vie déconnectée des réseaux de communications
électroniques »1. En effet, l’humanité est de plus en plus dépendante, voire addictive à internet.
On pourrait même affirmer que l’internet est devenu consubstantiel au quotidien de l’homme.
Chez certains internautes, le web est de plus qu’un simple mode de communication, de travail
ou de distraction, on pourrait même les qualifier des « drogués du net »2. Une telle situation ne
va sans incidence sur l’humanité. Un regard jeté dans nos sociétés aujourd’hui sur l’usage des
réseaux de communications électroniques, suscite une inquiétude sur la préservation des valeurs
sociales, en occurrence la vie privée des citoyens. Cette menace permanente qui pèse sur la vie
privée des internautes, nécessite ainsi l’intervention des pouvoirs publics. C’est dans cette
logique que la plupart des Etats d’Afrique en général3 et particulièrement ceux de l’Afrique
centrale organisent les activités des réseaux de communications électroniques4. La vie privée et
les données à caractère personnel de tout citoyen sont des valeurs sacrées dans toute activité
professionnelles. Elles font partie des droits fondamentaux du citoyen.

Il convient au passage de faire une clarification conceptuelle des notions de « vie privée » et
« données à caractère personnel ». S’agissant de la première, elle désigne la sphère d’intimité
réservée à chaque individu et protégée contre les intrusions extérieures, qu’elles proviennent
des autres individus ou même de l’État5. Abondant dans le même sens, un auteur définit la vie
privée comme l’espace dans lequel l’organisation de la vie de chacun « ne regarde personne
d’autre que lui et ses intimes»6.

1
TCHABO SONTANG (H-M.), « Le droit à la vie privée à l’ère des TIC au Cameroun », Revue des Droits de
l’Homme n° 17, Janvier 2020, p. 1.
2
La littérature psychiatrique est peu abondante sur cette éventuelle dépendance. Certains auteurs pourtant
principalement nord-américains, ne doutent pas de la réalité d’une nouvelle addiction. Ils proposent des sites de
« soin en ligne » et appellent les entreprises et les pouvoirs publics à se mobiliser contre cette addiction cachée qui
menace tous ceux qui possèdent ou utilisent un ordinateur ou un smartphone connecté au réseau.
3
On peut le constater à travers certains textes, notamment la Convention de Malabo du 27 juillet 2014 relative à
la cybercriminalité et la protection des données à caractère personnel, la Charte africaine des droits de l’Homme
et des Peuples adoptée en 1981 à Nairobi.
4
Dans le dispositif juridique communautaire on peut citer entre autres la Directive n° 02/19-UEAC-639-CM-33
du 22 mars 2019 harmonisant la protection des consommateurs au sein de la CEMAC, le Règlement n° 21/08-
UEAC-133-CM-18 relatif à l’harmonisation des politiques des communications électroniques, le Projet de la
Directive CEMAC sur le cadre juridique de la protection des données à caractère personnel.
5
TCHABO SONTANG (H-M.), « Le droit à la vie privée à l’ère des TIC au Cameroun », La Revue des droits de
l’homme, n° 17, 13 janvier 2020, p. 1.
6
CORNU (G.), Vocabulaire juridique, PUF, 9ème édition mise à jour, 2011, p. 1064.

3
Quant à la notion de données à caractère personnel, celle-ci pourrait être perçue comme toute
information relative à la personne physique identifiée ou identifiable directement ou
indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments, propres
à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou
économique7. A la lecture de ces deux définitions, on peut constater un rapprochement
manifeste entre la vie privée et les données à caractère personnel. Un contemporain affirme
d’ailleurs cette interdépendance entre ces deux notions, pour lui, la notion de vie privée dans sa
conception classique et celle de données à caractère personnel se recoupent. En ce sens qu’elles
se rattachent à l’idée de la protection de l’individu dans ses rapports avec la société, force est
de constater qu’elles ne se confondent pas8. Cela se justifie par le fait que, certains aspects
importants des données à caractère personnel échappent à l’univers de la vie privée et
inversement, à titre d’exemple on peut évoquer le secret de la correspondance qui n’a rien en
commun avec les données à caractère personnel. Il en est de même pour des éléments tels que
le nom, la voix, l’image ou alors l’adresse professionnelle, qui ont trait aux données à caractère
personnel, mais ne rentrent pas nécessairement dans le domaine de la vie privée au sens
classique. Cette réalité traduit de façon implicite l’autonomie des données à caractère personnel
vis-à-vis de la vie privée.

Face aux défis que présentent les TIC, la protection des données à caractère personnel et de la
vie privée est un enjeu majeur de l’écosystème numérique9. Un contemporain réaffirme cette
réalité en ces termes: « Face à cet envahissement des TIC qui sont devenues consubstantielles
à notre univers, l’indifférence du législateur ne pouvait perdurer »10. Ainsi, pour garantir une
meilleure protection à la vie privée et aux données à caractère personnel des citoyens dans
l’écosystème du numérique, il est opportun que soit mis en place un corpus juridique et
organique approprié en la matière. Ladite étude étant particulièrement axée sur la protection
organique des données à caractère personnel 11, il importe alors de donner un sens à l’expression
« organique ». Celle-ci est synonyme de l’institution, qui désigne l’ensemble des structures ou
institutions impliquées dans l’encadrement, voire la régulation des activités numériques dans la

7
Cf. art. 1 Projet de Directive CEMAC relative à la protection des données à caractère personnel.
8
Ibid.
9
Eu égard des conséquences parfois dramatiques et inattendues comme la dégradation de la qualité des relations
sociales ou le développement de nouvelles formes d’addictions. Il y a lieu de relever que si rien n’est fait, le
concept de vie privée, pourtant si important pour l’équilibre des rapports sociaux, deviendra vide de sens.
10
MOUTHIEU (M. A.), Propos introductifs, In (S/D) MOUTHIEU (M. A.), Le consommateur des technologies
de l’information et de la communication en Afrique noire francophone, L’Harmattan, Paris, 2021, p. 15.
11
DEKADJEVI (I-T.), « Le cadre organique de la protection des données personnelles au Bénin », In S/D
MOUTHIEU (M. A.), L’Harmattan, Paris, 2021, p. 259.

4
zone CEMAC, et qui de facto garantissent la protection des données à caractère personnel des
acteurs plus principalement les consommateurs desdites activités. Selon un auteur, le cadre
organique de la protection des données personnelles renvoie aux organismes ou organes chargés
d’assurer la sécurité et l’intégrité de la collecte et le traitement des informations liées à la vie
privée d’une personne.

Dès lors, une interrogation demeure: la protection organique des données à caractère
personnel en matière numérique satisfait-elle dans la CEMAC ? L’hypothèse qui se
dégage de ce sujet, est que la protection organique des données à caractère personnel en
matière numérique dans la CEMAC nécessite une rénovation.

La question ne manque pas d’intérêts. De prime à bord, ce sujet contribue au

renforcement du régime de protection de la vie privée et des données personnelles en
matière numérique dans la zone CEMAC. Par ailleurs, ladite étude renseigne aussi les
acteurs des activités des communications électroniques sur la compétence des
organismes communautaires en la matière.

A l’analyse des textes et du contexte de l’Afrique centrale, le constat laisse observer la

fébrilité du cadre organique de la protection des données à caractère personnel (I), qui
nécessite logiquement des améliorations (II).

I- Une protection organique approximative des données à caractère

personnel en matière numérique dans la CEMAC

La fragilité de la protection des données à caractère personnel se justifie, soit du fait de

l’absence de certains organismes au plan communautaire (A), soit par la faiblesse des
institutions nationales (B).

A- Le constat de l’inexistence d’un organisme communautaire spécialisé

Le législateur CEMAC manque l’occasion d’offrir une image reluisante à la protection des
données personnelles, en mettant en place un organe spécialisé aux fonctions bien définies.
Cette réalité est vérifiable par l’analyse du contexte (1), dont la défaillance a pour corollaire
d’ouvrir la porte à l’insécurité juridique de la vie privée et des données personnelles des citoyens
dans l’univers du numérique (2).

1- Le contexte de la protection organique des données personnelles de la CEMAC

5
Partant d’une analyse comparative entre la réalité européenne et celle de l’Afrique centrale, on
constate que le cadre structurel de l’UE garantit une protection fiable à la vie privée et aux
données à caractère personnel des internautes, grâce à une organisation et aux compétences
soigneusement définies du comité européen de la protection des données personnelles. La
Communauté Economique de l’Afrique Centrale reste malheureusement à la traine en la
matière, en ce sens qu’il n’existe véritablement pas un organisme spécialisé dans cet espace
ayant une compétence clairement définie par les textes en vigueur. Certes, le législateur
CEMAC de 2019 dans sa directive prévoit l’existence d’une instance communautaire de la
protection des consommateurs. Mais la grande curiosité est que, le législateur évoque de façon
évasive l’existence de l’autorité communautaire sus évoquée.

Par une lecture sérieuse des dispositions de la directive CEMAC harmonisant la protection des
consommateurs, tout laisse à croire que le législateur semble plus s’intéresser au consommateur
des produits ordinaires, au détriment de celui des services du numérique. Par honnêteté
intellectuelle, l’idée n’est pas ici pour nous d’ignorer ou dénigrer l’œuvre du législateur
consumériste communautaire. Tout au contraire, il faut saluer à juste titre l’effort du législateur
dans l’harmonisation des textes de la protection des consommateurs, car elle prend quand même
en considération la vie privée du cyberconsommateur. Cette réalité est vérifiable au regard de
son champ d’application, qui précise que : « La présente directive s’applique à toutes les
transactions entre un consommateur et un opérateur économique relatives à la fourniture, la
distribution, la vente et l’usage des biens et services »12. Parmi ces transactions figurent les
services financiers et bancaires, les télécommunications et les services de communications
électroniques13. A partir de cette disposition on peut se réjouir du cadre règlementaire
communautaire sur la protection du cyberconsommateur. Toutefois, l’on a comme un goût
d’inachevé de ladite protection au regard de l’architecture structurelle de la Communauté
Economique des Etats de l’Afrique Centrale.

Bien qu’ayant prévu l’existence d’une instance communautaire en charge de la politique de

protection du consommateur, le législateur ne définit pas de façon explicite ses missions,
comme l’a fait son homologue européen pour le Comité européen de la protection des données
à caractère personnel. Le législateur dévoile l’existence d’un organisme communautaire gardien
des intérêts et droits des consommateurs. Malheureusement, cette institution communautaire

12
Cf. art. 7 al. 1 de la Directive du 22 mars 2014 harmonisant la protection des consommateurs au sein de la
CEMAC.
13
Cf. l’alinéa 2 de l’article 7 ci-dessus.

6
n’a d’existence que sur le papier, son statut juridique n’est pas établi. On peut le vérifier du fait
d’un défaut de compétence affirmée, d’une organisation structurée et d’un siège connu au sein
d’un des Etats membres de la CEMAC.

Ce constat regrettable n’est pas l’exclusivité de la Communauté Economique et Monétaire de

l’Afrique Centrale, on peut observer la même défaillance dans l’espace UEMOA. En effet, le
dispositif juridique14 de cette sous-région ne prévoit en aucun cas l’existence d’une institution
communautaire spécialisée en charge de la protection de la vie privée et des données à caractère
personnel. Les législateurs de la CEMAC et de l’UEMOA semblent ne pas tenir compte de la
spécificité de l’écosystème du numérique, et des risques qu’il représente sur la vie des citoyens.
La précédente analyse traduit à suffisance le contraste existant entre l’UE et les espaces
économiques communautaires de l’Afrique centrale et de l’Ouest, notamment en matière de
protection structurelle de la vie privée et des données à caractère professionnel. Il va sans dire
que cette défaillance observée du cadre institutionnel, est exempte de toute conséquence. Cette
situation ainsi décrite n’est pas exempte de conséquence.

2- L’insécurité judiciaire consécutive à l’inexistence d’un organisme spécialisé

La sécurité juridique des titulaires d’un droit est garantie par l’accessibilité et la
compréhensibilité d’une norme. Selon un auteur, la sécurité juridique est l’idéal de fiabilité d’un
droit accessible et compréhensible, qui permet aux sujets de droit de prévoir raisonnablement
les conséquences juridiques de leurs actes ou comportements15. Il faut toutefois observer que,
les entreprises et les particuliers sont de plus en plus souvent confrontés aux incertitudes de la
justice. L’on parle alors d’insécurité juridique. Cette insécurité est de nos jours plus
grandissante avec l’expansion du numérique. Il ne fait plus de doute que, la vie des citoyens
côtoie en permanence la menace dans le monde virtuel avec les diverses formes d’atteinte à
l’intimité. Celles-ci restent quelques fois impunies, soit à cause de l’inexistence des textes
efficaces ou adaptés, soit du fait d’une carence des organismes chargés de veiller au respect
scrupuleux de la règlementation en matière de protection de la vie privée et des données
personnelles. La sécurité juridique des titulaires des données traitées dans l’espace CEMAC

14
On peut citer entre autres l’Acte additionnel A/SA. A/01/10 du 16 février 2010 relatif à la protection des données
à caractère personnel ; la Directive n° 4/2006/CM/UEMOA du 23 mars 2006 relative au service universel et aux
obligations de performance du réseau.
15
BERGEL (J-L.), « La sécurité juridique », La revue du Notariat, Volume 110, numéro 2, septembre 2008, p.
273.

7
bénéficie d’une lueur de protection, au regard du dispositif normatif mis en place par le
législateur communautaire.

Cependant, il importe de relever qu’un système juridique n’est pas constitué que de normes
d’action, de comportement, organisant divers aspects de la vie sociale et économique. On sait,
en effet, qu’un ordre juridique présente la caractéristique essentielle d’être constitué de
l’intersection de deux types de normes16 : des normes que certains appellent primaires ou
normatives17 et des normes secondaires ou constructives. Ces dernières attribuent des
compétences, organisent des procédures, de manière à rendre effectives les normes primaires.
Ainsi, pour réduire les conflits, les juristes ont imaginé des institutions et des règles de
procédure. C’est dans cette logique que devrait s’inscrire le législateur CEMAC, afin de garantir
une protection fiable à la vie privée et des données personnelles des cyberconsommateurs de la
sous-région. Malheureusement, la volonté protectionniste du législateur n’est pas accompagnée
de l’implémentation effective d’un organisme communautaire gardien spécialisé du domaine.
D’où l’idée d’insécurité judiciaire, car la surveillance et le contrôle de l’application des normes
encadrant les activités de communication électronique devrait être assurés aussi bien par les
autorités communautaires que nationales. Celle-ci pourraient donc infliger des sanctions selon
leurs compétences respectives, aux manquements de la règlementation en vigueur et à toute
forme d’atteinte aux droits des consommateurs des produits des activités du numérique.

B- Les carences organiques observées au plan national

La protection des données à caractère personnel au plan national relève principalement de la

compétence de certains organismes spéciaux, dont les lacunes sont observées (1). Ceux-ci
comblent le vide d’un organe communautaire régulateur des libertés individuelles dans
l’univers électronique18. Toutefois, le risque de chevauchement de compétence desdits
organismes au sein de certains États pourrait constituer un frein à la sécurité juridique
recherchée, ainsi que l’absence d’une indépendance effective de ceux-ci (2).

1- Les compétences limitées des instances nationales

16
MEYER (P.), « La sécurité juridique et judiciaire dans l’espace OHADA », http://bibliotheque.pssfp.net, site
consulté le 18 septembre 2021 à 11h14.
17
Les premières sont des règles de comportement qui imposent des obligations aux sujets de droit dans un domaine
donné.
18
Sur le plan textuel il est prévu l’institutionnalisation d’un organe communautaire chargé de la régulation des
TIC dans le Projet de la Directive CEMAC sur le cadre juridique de la protection des données à caractère
personnel.

8
Eu égard de la situation vulnérable des utilisateurs des communications électroniques, ainsi que
la menace d’atteinte qui plane sur la vie privée et des données personnelles dans cet univers
virtuel. Il paraît nécessaire d’assurer une saine protection aux droits fondamentaux des
utilisateurs des services électroniques en mettant sur pied un organisme compétent pour réguler
cet environnement. La création de cet organisme de régulation des TIC est une recommandation
de l’Union Africaine via sa convention sur la cybersécurité et la protection des données à
caractère personnel19. Cette prescription a été réaffirmée par le législateur CEMAC à travers le
Règlement n°21/08-UEAC-133-CM-18 relatif à l’harmonisation des réglementations et des
politiques de régulation des communications électroniques au sein des Etats membres de la
CEMAC et le Projet de la Directive CEMAC sur le cadre juridique de la protection des données
à caractère personnel. Le présent règlement détermine les missions des autorités nationales de
régulation, ainsi que les garanties d’autonomie et les pouvoirs dont celles-ci doivent
bénéficier20. Pour rester fidèles aux prescriptions de l’Union Africaine et surtout celles de la
sous-région communautaire CEMAC, les pays membres de cette organisation ont institué une
autorité nationale compétente pour réguler les activités des communications électroniques.

Les différents organismes mis sur pied au sein de chaque Etat partie de la CEMAC ont un
dénominateur commun dans la régulation des TIC et plus particulièrement de la protection de
la vie privée dans cet écosystème numérique, en ce sens que leur compétence est harmonisée
en la matière. En effet, l’autorité nationale instituée au sein de chaque Etat membre de l’UA
veille à la mise en œuvre effective du traitement des données à caractère personnel, tel que
prévu par la réglementation en vigueur21. Cet organisme national jouit d’une compétence
appréciable sur une triple dimension : une compétence administrative, une compétence
règlementaire et une compétence disciplinaire.

S’agissant du pouvoir administratif de l’autorité nationale de régulation des communications

électroniques, il se manifeste à travers les avis qu’elle donne dans le traitement des données à
caractère personnel, l’agence nationale est chargée également d’informer les personnes
concernées et les responsables de traitement de leurs droits et obligations ; d’autoriser les
traitements de fichiers dans un certain nombre de cas, notamment les fichiers sensibles ; ou
même de recevoir les formalités préalables à la création de traitements des données à caractère

19
Il ressort des dispositions de l’article 11 (1.a) de ladite convention que : « Chaque État Partie s’engage à mettre
en place une autorité chargée de la protection des données à caractère personnel ».
20
L’article 4 (1) dudit règlement prévoit la création dans chaque Etat membre une autorité nationale chargée de
réguler le secteur des communications électroniques dans les conditions décrites par ce règlement.
21
Cf. les articles. 11 (b) et 12.1 de la Convention de Malabo précitée.

9
personnel. Ces attributions sont adoptées au plan local par l’autorité nationale de chaque Etat,
au Cameroun par exemple, l’ANTIC accomplit les missions similaires, notamment la
promotion et le suivi de l’action des pouvoirs publics en matière de Technologies de
l’Information et de la Communication (TIC). A ce sujet, l’Agence est chargée d’identifier les
besoins communs des services publics en matière d’équipements informatiques et logiciels, de
veiller à l’harmonisation des standards techniques22. Cette mission dans le contexte
camerounais est cumulativement assurée par l’ANTIC et l’ART23.

Concernant la compétence réglementaire de l’autorité nationale de régulation des

télécommunications instituées au sein de chaque Etat membre de la CEMAC, elle se matérialise
à travers le pouvoir reconnu aux autorités nationales respectives d’élaborer des règles destinées
à la régulation de l’activité des communications électroniques. Ce pouvoir peut encore être
qualifié de compétence normative. A ce titre, au Cameroun24 en occurrence l’ANTIC et l’ART
jouissent des prérogatives clairement définies par les textes applicables en la matière. L’Agence
de Régulation des Télécommunications dans la mise en place d’un cadre juridique du domaine
électronique, joue un rôle déterminant, car elle émet un avis sur tous les projets de texte à
caractère législatif et réglementaire en matière de communications électroniques, cette autre
fonction de l’ART est partagée avec l’ANTIC25. Les textes nationaux consacrent expressément
la compétence de l’ANTIC, référence est ainsi faite à l’alinéa 1 de l’article 7 de la Loi
N°2010/012 du 21 décembre 2010 relative à la cybersécurité et la cybercriminalité au
Cameroun, qui souligne que cet organisme est chargé de la régulation des activités de sécurité
électronique.

Quant à la compétence disciplinaire enfin, celle-ci est mise en œuvre à travers le pouvoir de
sanctionner concédé à l’autorité nationale de chaque Etat membre de la CEMAC, en cas de
violation des dispositions régissant les communications électroniques en général, et plus
particulièrement la protection des données à caractère personnel. Cette compétence est
explicitement consacrée par les instruments juridiques en vigueur applicables dans l’espace

22
Cf. art. 5 du Décret n° 2012/180 du 10 avril 2012.
23
Au plan administratif, l’ART est chargée d’instruire les demandes de licence et préparer les décisions y afférentes
; délivrer formellement les récépissés de déclaration; définir les conditions et les obligations d’interconnexion et
de partage des infrastructures etc.
24
Les exemples du Cameroun sont évoqués de façon récurrente dans nos travaux, cela peut se justifier par le fait
que nous sommes un citoyen camerounais, ce qui nous rend l’accès facile aux textes en vigueur au Cameroun.
25
Cf. art. 6 (1) du Décret n°2012/180 précité qui dispose que : « Dans le cadre des missions de régulation, de
contrôle et de suivi des activités liées à la sécurité des systèmes d’informations et des réseaux de communications
électroniques, et à la certification électronique, l’Agence a notamment pour mission : (…) (d) d’émettre un avis
consultatif sur les textes touchant à son domaine de compétence (…) ».

10
CEMAC. Au Cameroun par exemple, la compétence disciplinaire de l’ANTIC se matérialise
par les pouvoirs de surveillance, d’investigation, de coercition et de sanction dont dispose cet
organisme26. La lecture de cet article laisse entrevoir l’idée d’un élargissement ou d’extension
des pouvoirs de l’ANTIC. Le législateur camerounais réaffirme là l’indépendance de l’autorité
nationale de régulation des communications électroniques et de la protection des données à
caractère personnel, tel que prescrit par la convention de l’UA de juillet 2014 signée à Malabo.
L’opportunité est offerte à l’ANTIC de mener les enquêtes pour toute éventuelle infraction
relative aux données personnelles, à ce titre les agents assermentés de cette institution nationale
procèdent à la constatation des infractions cybernétiques à travers les contrôles systématiques
et inopinés exercés dans le secteur. Ceux-ci peuvent requérir toute information ou document
confidentiel tenu par les établissements assujettis lors de la surveillance, des investigations sans
qui ne leur soit opposée aucune obligation de confidentialité27. Le pouvoir de coercition et de
sanction permettent à l’ANTIC d’infliger des sanctions à tout contre venant à la législation en
vigueur dans le domaine électronique. L’article 7 (1) suscité réaffirme la compétence de
l’ANTIC d’infliger et/ou proposer des sanctions aux autorités de certifications, aux prestataires
des services de sécurité, aux auditeurs de sécurité et aux éditeurs de logiciels de sécurité et aux
éditeurs de logiciels de sécurité, qui ne se conforment pas à la réglementation en vigueur. Ce
pouvoir de l’ANTIC une fois de plus est partagé avec l’ART.

2- Le défaut d’indépendance et l’existence du risque de chevauchement des

institutions nationales

La régulation de l’utilisation des TIC en rapport avec la vie privée des citoyens est une
préoccupation majeure pour la plus part des Etats africains, et du Cameroun en particulier, on
peut noter quelques avancées en la matière, notamment au plan règlementaire qu’institutionnel.
Dans ce dernier cas, il est prévu la création d’une autorité nationale au sein chaque Etat membre
de l’UA comme nous l’avons précédemment relevé. Toutefois, il y a lieu de constater que
l’efficacité recherchée de la protection des données à caractère personnel à travers les différents

26
L’article 7 (1) du Décret n°2012/180 du 10 avril 2012 précité dispose que : « Pour l’accomplissement de ses
missions, l’ANTIC dispose des pouvoirs de surveillance, d’investigation, d’injonction, de coercition et de
sanction ».
27
Il ressort des dispositions du Règlement n° 21/08-UEAC-133-CM-18 relatif à l’harmonisation des politiques des
communications électroniques au sein des Etats membre de la CEMAC, en son article 7 (1) que : « les autorités
nationales de régulation peuvent sur la base d’une décision motivée, exiger des personnes exerçant des activités
de communications électroniques, la communication de toute information utile à l’exercice de leurs missions, sans
qu’il puisse leur être opposé le secret des affaires ».

11
textes y afférents28, est fragilisée non seulement par le défaut de ratification de la Convention
de juillet 2014 signée à Malabo, mais également de l’existence du risque de chevauchement de
compétence des autorités nationales au sein de certains Etats comme c’est le cas au Cameroun,
ou même de l’absence d’une réelle indépendance de desdites autorités

Au sujet de l’existence du risque de conflit de compétence entre les organismes nationaux de

régulation des communications électroniques, un constat regrettable est fait dans le contexte
camerounais du fait des atermoiements ou l’hésitation dont fait montre l’Etat du Cameroun. En
effet, en l’état actuel du droit camerounais, il existe une confusion née du fait que deux organes
partagent les compétences en cette matière et au final, on a l’impression qu’aucun organe ne
joue effectivement ce rôle29. A premier abord par une lecture synoptique des textes qui fixent
l’organisation et le fonctionnement de l’Agence Nationale des Technologies et de la
Communication (ANTIC), on peut croire que la protection de la vie privée et en particulier les
données à caractère personnel échoit principalement à cette institution, car l’une ses fonctions
fondamentales est : « de veiller, dans l'usage des TIC, au respect de l'éthique, ainsi qu'à la
protection de la propriété intellectuelle, des consommateurs, des bonnes mœurs et de la vie
privée »30. Curieusement, le législateur concède la même compétence dans le même domaine à
l’ART. Il en est de même de leur compétence règlementaire, ces deux institutions sont habilitées
à élaborer des textes destinés à la régulation du domaine numérique, car l’avis de celles-ci est
requis dans tout projet de mise en place desdits textes comme le démontre la précédente analyse.

En réalité, la lecture du corpus juridique camerounais pourrait laisser croire que, la compétence
de l’ART se limite seulement à la régulation des communications électroniques, étant donné
que la question de la protection de la vie privée est indétachable à cet univers. Cet état de choses
justifie le conflit de compétence qui, oppose cette institution à l’ANTIC31. Ces institutions
« jumelles » se partagent de compétence dans la surveillance, le contrôle et même la sanction
des manquements observés des prestataires des communications électroniques à l’obligation de

28
Nous faisons allusion ici aussi bien aux textes d’origine interne qu’aux textes d’origine internationale, notamment
Loi n°2010/012 du 21 décembre 2010 relative à la cyber-sécurité et la cybercriminalité au Cameroun ; la loi n°-
001-2011 du 31 octobre 2011 relative à la protection des données personnelles au Gabon ; la loi n°29- 2019 du 10
octobre 2019 portant protection des données à caractère personnel au Congo ; la loi n°007/PR/2015 du 10 février
2015 relative à la protection des données à caractère personnel. La Convention du 28 juillet 2014 signée à Malabo,
Règlement n° 21/08-UEAC-133-CM-18 relatif à l’harmonisation des politiques des communications
électroniques.
29
TCHABO SONTANG (H-M.), Article, Op.,cit., p. 13.
30
Cf. art. 5 (j) du Décret du 10 avril 2012 précité.
31
A la lecture du Décret n° 2015/3759 Fixant les modalités d'identification des abonnés et des équipements
terminaux des réseaux de communications électroniques, l’ANTIC chargée de veiller à ce que l’usage des TIC se
fasse dans le respect des « bonnes mœurs et de la vie privée».

12
respecter les droits des usagers, en occurrence la violation du droit à la vie privée. C’est dans
cet ordre d’idée que l’ART a, notamment le 22 mai 2014, pris des mesures visant à encadrer
l’envoi des SMS non sollicités aux abonnés32. Il s’agissait pour elle de contenir la propension
de cette pratique intrusive affectionnée par les opérateurs et autres prestataires qui, non
seulement perturbe la tranquillité des abonnés, mais aussi, procède du traitement de leurs
données personnelles33. Généralement qualifiée de spamming, l’encadrement de cette pratique
et le contentieux en résultant sont pourtant officiellement de la compétence de l’ANTIC, où il
est prévu qu’elle est chargée « de mettre en place des mécanismes pour régler des litiges d’une
part, entre les opérateurs des TIC et, d’autre part, entre opérateurs et utilisateurs, pour les
problèmes spécifiquement liés aux contenus et à la qualité de service (spamming, phishing,
hacking) »34. Cette confusion de compétence laisse libre cours à l’insécurité juridique dans le
domaine numérique.

Par ailleurs, il y a lieu de dénoncer également le défaut d’une réelle indépendance de l’autorité
nationale en charge de la régulation des TIC. En effet, au niveau structurel, le manque
d’indépendance de plusieurs autorités nationales de protection des données pose un grave
problème. Dans plusieurs pays, différents obstacles d’ordre normatif ou pratique suscitent des
préoccupations quant à l’indépendance effective des autorités nationales de protection des
données par rapport aux branches politiques du gouvernement. Il est loisible de reconnaitre que,
la garantie d’indépendance est en fait principalement assurée par la procédure de nomination et
de destitution du personnel des autorités nationales de protection des données35. Le contrôle des
moyens financiers constitue un autre facteur intéressant pour garantir l’autonomie de contrôle.

Dans divers Etats membres de la CEMAC, le personnel délégué à la protection des données
personnelles est nommé directement par le gouvernement sans l’intervention de l’opposition
parlementaire. Cela pourrait susciter de sérieuses interrogations quant à leur indépendance
effective. Par illustration aux autorités nationales de régulation des activités électroniques et en
charge de la protection des données à caractère personnel au Cameroun, on peut se rendre en

32
Décision n° 086 du 22 mai 2014 fixant les conditions et modalités de lancement par les opérateurs des offres
promotionnelles de services des communications électroniques et Décision n° 087 du 22 mai 2014 prescrivant aux
opérateurs les modalités d'encadrement des jeux et d'envoi des SMS indésirés par voie téléphonique.
33
Ibidem.
34
Cf. article 5, i) du Décret n° 2012/180 du 10 avril 2012 portant organisation et fonctionnement de l'ANTIC.
35
En droit administratif on parle du principe de parallélisme de forme et de compétence. Cette règle voudrait que
si un acte administratif doit être pris selon certaines formes (publicité, consultations préalables, ...), pour défaire
un tel acte il faudra respecter les mêmes formes.

13
évidence que l’indépendance de celles-ci est dubitative36. Ce constat est perceptible à plus d’un
titre, en ce concerne par exemple l’ANTIC, le Président du Conseil d’administration et de ses
membres sont discrétionnairement nommés par décret du Président de la République37. Il en est
de même pour le Directeur Général et son adjoint, les deux sont nommés par décret du Président
de la République38. Par ailleurs, on peut remarquer que cette institution est placée sous une
double tutelle, notamment la tutelle technique du Ministère en charge des
télécommunications39, ainsi que sous la tutelle du Ministère en charge des finances40. Ces
mêmes observations peuvent être faites pour le cas de l’ART.

Le malaise dont souffre la protection organique des données à caractère personnel, n’est pas un
mal incurable.

II- Une protection organique rénovée des données à caractère personnel en

matière numérique dans la CEMAC

Au regard de la précédente analyse, il ne fait plus de doute que le cadre institutionnel de la

protection des données à caractère personnel de la sous-région est défaillant. D’où la nécessité
d’implémenter un organe spécialisé à l’image des organismes existants sous d’autres cieux (A).
La mise en place d’une telle institution présente des enjeux significatifs (B).

A- La nécessité de l’implémentation d’un organisme communautaire

Il sera question ici d’une part de justifier la nécessité de la création d’une institution
communautaire spécialisée à la protection des données à caractère personnel (1), et d’autre part
définir l’étendue de sa compétence (2).

1- La création justifiée d’un organe spécialisé

36
Cet état de choses peut se justifier par le caractère imprécis de la notion « d’indépendance » des autorités
nationales, telle qu’employée dans la convention de juillet 2014 signée à Malabo en son article 11 (1) b. En effet,
le législateur régional africain parle de l’indépendance de l’autorité nationale en charge de la protection des
données à caractère personnel sans préciser les critères de cette autonomie.
37
Il ressort des dispositions de l’article 12 (1) du Décret n°2019/150 du 22 mars 2019 précité que : « Le Président
du Conseil d’administration de l’Agence est nommé par décret du Président de la République, pour un mandat de
trois (03) ans, renouvelable une (01) fois ». L’alinéa 2 du même article prévoit que : « Les membres du Conseil
d’administration sont nommés par décret du Président de la République pour un mandat de trois (03) ans,
éventuellement renouvelable une (01) fois ».
38
Cf. art. 28 (2) du Décret précité.
39
Cf. art. 7 du Décret précité.
40
Cf. art. 8 du Décret précité.

14
Par opposition au jargon populaire selon lequel « comparaison n’est pas raison », l’on réalise
au sujet de la protection institutionnelle des données à caractère personnel, que le législateur
communautaire de l’Afrique Centrale gagnerait à imiter la réalité sous d’autres cieux, en
mettant en place un organisme spécialisé de la protection des données personnelles calqué à
l’image de ceux existant dans d’autres espaces communautaires économiques. Une telle
institution serait considérée comme une garantie à toute forme de menace et risques nés de
l’utilisation des données électroniques et des fichiers sur la vie privée et les libertés, tout en
favorisant la promotion et le développement des technologies de l’information et de la
communication dans les Etats de la CEMAC. Pour juguler tout type de danger à la vie de
l’humanité dans l’univers du numérique41, le législateur communautaire devrait mettre en place
un organisme en s’inspirant du cas de l’Union européenne, où existe une entité chargée
d’assurer la protection des données à caractère personnel. Il s’agit notamment du Comité
européen de la protection des données personnelles.

Il est avéré que l’utilisateur des réseaux de communications électroniques, ne saurait assurer
lui-même la protection de sa vie privée dans cet univers virtuel, raison pour laquelle la mise en
place d’un organisme communautaire spécialisé devient impérieuse. D’autant plus que, les
institutions nationales compétentes en la matière semblent ne pas garantir une protection
satisfaisante aux titulaires des données traitées. L’implémentation d’une entité communautaire
neutre et impartiale, ne viendrait que renforcer le régime juridique de la protection des données
personnelles. Cet organe supranational pourrait s’appréhender comme l’instance suprême de la
CEMAC, qui assurerait la tutelle sur les entités nationales en matière de contrôle du traitement
et de la protection de la vie privée et des données personnelles dans l’écosystème du numérique.

Pour assurer un contrôle efficace au traitement des données à caractère personnel, il est
nécessaire de recourir à la technique de la tutelle assurée par l’organe communautaire en charge
de la protection des données personnelles. Il convient de rappeler que la tutelle exercée dans ce
cas et la mieux adaptée, serait la tutelle matérielle42. Celle-ci encore considérée comme la tutelle

41
En effet, il faut relever que la vie privée est un sanctuaire dont le principe de la protection est consacré, il est
important qu’un gardien vigilant soit institué pour la préserver d’agressions extérieures.

42
En réalité il existe trois types de tutelle : la tutelle organique, la tutelle fonctionnelle et la tutelle financière.
L’idée de tutelle s’oppose à l’expression contrôle de l’Etat ou contrôle administratif. La tutelle organique et la
tutelle financière ne seront pas évoquées dans le cadre de cette analyse. La première est encore appelée tutelle sur
les personnes, c’est celle que l’Etat exerce non seulement sur l’exécutif municipal et régional mais, aussi sur les
conseils. Pour le Professeur Réné CHAPUS, cette tutelle n’est « rien d’autre que le pouvoir disciplinaire exercé

15
que l’Etat exerce sur les actes, elle peut se définir « comme tout le groupe de règlements où
l’autorité centrale reçoit seulement l’un ou plusieurs des pouvoirs suivants :
 Autoriser ou refuser les organes locaux à prendre des décisions ;
 Ou refuser d’approuver les décisions qu’ils ont pris : les annuler ; les suspendre ou
enfin ;
Se substituer aux autorités locales pour prendre la décision à leur place lorsqu’elles n’en ont
pris aucune »43. Par transposition de cette définition dans le cadre organique de la protection
des données à caractère personnel dans la CEMAC, il y a lieu de souligner que l’organe
communautaire compétent à ce sujet, exercerait un contrôle de légalité sur les actes pris par les
institutions nationales, et même par les responsables du traitement des données personnelles au
sein des différents Etats membres. Cette autorité communautaire dans ces missions exercerait
un contrôle d’opportunité et un pouvoir d’approbation. Le pouvoir de tutelle assuré par l’entité
de la sous-région sur les agences nationales épouse la logique de la tutelle du gouvernement
sur les autorités nationales de régulation44.

Parler d’un organe communautaire spécialisé qui assurerait la tutelle des autorités nationales en
matière de protection des données à caractère personnel, ne revient pas à violer la souveraineté
des Etats membres de la CEMAC. L’idée de fond ici est celle de renforcer les efforts conjugués
par les institutions nationales. Cette idée est d’ailleurs réconfortée par l’approche
communautariste, qui est une logique structurale de solidarité, soit le principe de cohésion qui
fait tenir ensemble les parties d’une totalité sociale45. L’émergence d’un droit communautaire
CEMAC permet de réconforter le système institutionnel communautaire. Cet état de choses
vient ainsi garantir la sécurité des données personnelles sur le marché du Big data. La création
d’une institution supranationale tutelle des organismes nationaux permettrait de combler les
lacunes de ces derniers.

2- La définition de l’étendue de la compétence de l’organe spécialisé

sur les unités décentralisés ». La tutelle financière quant à elle désigne celle que l’Etat exerce sur les finances des
collectivités territoriales décentralisées.
43
MASPETIOL et LAROQUE, Tutelle administrative, cité par BIPELE KEMFOUEDIO (J.), « La tutelle
administrative au Cameroun », in Juridis Info, N° 24, Octobre-Novembre-Décembre 1995, p. 88.
44
NKAKE EKONGOLO (D-B.) et BITE’E ELLA (U.), La régulation des télécommunications au Cameroun : Cas
de l’ART, Collection Univers Juridique, Editions CHEIKH ANTA DIOP, Janvier 2020, p. 196.
45
MARIE (A.), « Communauté, individualisme, communautarisme : hypothèses anthropologiques sur quelques
paradoxes africains », Volume 39, n° 2, 2007, https://www.erudit.org, p. 3, site visité à le 15 septembre 2021 à
14h 20 min.

16
Il ne suffit pas seulement de suggérer la création d’un organisme communautaire spécialisé à
la protection des données à caractère personnel, encore faut-il définir son champ de
compétence, afin d’éviter toute forme de conflit de compétence entre ce dernier et les
institutions nationales compétentes en la matière. Il va de soi que, l’autorité communautaire
bénéficierait des compétences plus larges par rapport à celles des organismes nationaux. A
l’exemple du Comité européen de la protection des données à caractère personnel, l’Autorité
communautaire spécialisé de la CEMAC aurait pour mission de veiller à ce que la législation
de l’Afrique Centrale en la matière, en l’occurrence la Convention de Malabo du 27 juillet 2014
relative à la cybercriminalité et la protection des données à caractère personnel, ainsi que la
Directive de la CEMAC harmonisant la protection des consommateurs au sein des Etats de
l’Afrique centrale46. Il faut avouer en toute honnêteté que, ce dernier texte n’évoque pas de
façon explicite les mesures relatives à la protection du consommateur dans les transactions
numériques. Ce constat est plus perceptible sur le cadre institutionnel.

En effet, par une lecture minutieuse de la précédente directive, il s’aperçoit que le législateur
CEMAC, ne définit pas concrètement un organisme sous régional chargé de la protection des
consommateurs. Bien que faisant mention d’instance communautaire en charge de la politique
de protection du consommateur47, ladite directive ne définit pas clairement le statut juridique
de l’instance communautaire dont elle fait allusion. Ce texte évoque de manière laconique
l’institution de la sous-région en ces termes : « Le Président de la Commission de la CEMAC
indique aux Etats membres, l’instance communautaire de référence pour les questions relatives
à la politique de protection du consommateur »48. En parlant de la politique de protection du
consommateur, on peut déduire que le législateur communautaire prend en considération la vie
privée et même les données à caractère personnel de ce dernier, qui en réalité devraient être
protégées aussi bien par l’autorité nationale de chaque Etat membre de la CEMAC que par
l’instance communautaire.

On ne le dirait assez, la fébrilité de la protection de la vie privée et des données à caractère

personnel dans la CEMAC se justifie par le fait qu’il n’existe réellement pas un organisme
communautaire spécialisé en la matière. En s’inspirant à l’exemple de l’UE, le législateur de la
zone de l’Afrique centrale gagnerait à mettre en place une instance communautaire avec un

46
Il s’agit plus précisément de la Directive n° 02/19-UEAC-639-CM-33 du 22 mars 2019 harmonisant la protection
des consommateurs au sein de la CEMAC.
47
Le chapitre 1 du titre VIII de la Directive du 22 mars 2019 précitée, est intitulé Instance communautaire de la
politique de protection du consommateur.
48
Cf. art. 124 al. 1 de la Directive précitée.

17
siège connu au sein d’un Etat membre. Cette autorité de contrôle devrait jouir d’une
indépendance dans l’exercice de ses fonctions. Parmi les fonctions pouvant être exercées par
l’instance communautaire spécialisée à la protection des données personnelles, on peut citer
entre autres la supervision, la consultation et la coordination de la coopération.

S’agissant de la fonction de supervision, l’instance communautaire aura comme

principale activité de superviser le traitement des données à caractère personnel effectué au sein
des différentes structures et organes de la CEMAC. Etant en collaboration avec les autorités
nationales compétentes en la matière, celles-ci devraient notifier à l’instance communautaire
les opérations de traitement portant sur les données personnelles sensibles ou susceptibles de
présenter d’autres risques particuliers49. L’instance communautaire procède à l’analyse le
traitement au regard des textes applicables à la protection de la vie privée et des données à
caractère personnelle et délivre un avis de contrôle préalable. A travers cet exercice, l’autorité
communautaire pourrait faire une série de recommandations devant être appliquées par les
structures responsables du traitement50.

Concernant la fonction de consultation de l’instance communautaire spécialisée à la protection

des données à caractère personnel, elle porterait sur des propositions de nouvelle législation
ainsi que sur d’autres initiatives pouvant affecter la protection des données personnelles au sein
de la CEMAC. L’instance communautaire pourrait dans ce cadre émettre un avis formel, ou
alors fournir des conseils sous forme d’observations ou de documents stratégiques.

Quant à la fonction de coopération, l’instance communautaire travaille en étroite collaboration

avec d’autres autorités chargées de la protection des données afin de promouvoir une approche
cohérente au niveau de la protection des données dans la CEMAC. Elle devrait agir comme
organe de coordination de la coopération entre les institutions nationales des différents Etats
membres de la CEMAC. Elle pourrait garantir l’application uniforme de la Directive du 22
mars précitée et la Convention de Malabo sus évoquée. La coopération assurée par l’instance
communautaire pourrait également se matérialiser à travers l’organisation des conférences au

49
Cette mesure est calquée à la réalité européenne, la supervision est assurée par le Contrôleur européen de la
protection des données personnelles (CEPD). Celui-ci travaille en collaboration avec le Délégué à la protection
des données (DPD).
50
En 2009, par exemple, le Comité Européen de Protection des Données a adopté plus cent (100) avis de contrôle
préalable, portant essentiellement sur des questions telles que les données médicales, l’évaluation du personnel, le
recrutement, la gestion du temps de travail, les outils d’enregistrement téléphonique et les enquêtes de sécurité.

18
sein de la CEMAC avec pour participants les agences nationales de la protection de la vie privée
et des données personnelles, les autorités policières et judiciaires.

B- La portée de l’implémentation d’un organe communautaire

L’implémentation d’un organe spécial de protection des données à caractère personnel dans la
CEMAC serait une solution au conflit de compétence entre les institutions nationales en la
matière (1), mais également contribuerait significativement au renforcement ladite protection
(2).

1- L’implémentation opportune d’un organisme communautaire spécialisé

L’architecture institutionnelle actuelle en matière de protection des données à caractère

personnel dans la sous-région de l’Afrique centrale, laisse constater une adéquation entre les
autorités nationales chargées de ladite protection et leurs missions. Cet état de choses se traduit
par un conflit de compétence entre les organismes mis en place au sein de certains Etats
membres de la CEMAC. De façon littérale, le conflit de compétence désigne une situation dans
laquelle deux institutions sont toutes compétentes pour connaitre un même fait, on pourrait
encore parler de conflit d’attributions. Un auteur l’appréhende comme une difficulté affectant
le règlement des litiges du fait du partage de compétence, qui résulte du principe de
séparation des autorités administrative et judiciaire dont la solution incombe au tribunal
des conflits51.

Au regard de cette définition et par une analyse synoptique au contexte camerounais, au sujet
des missions assignées aux autorités de régulation des activités de communications des réseaux
électroniques52, on pourrait vite constater une sorte de chevauchement de compétence entre ces
deux institutions. Cette réalité est un facteur de fragilisation de l’efficacité du cadre de
régulation des données à caractère personnel dans la CEMAC. C’est ce qui fait dire à un auteur
que : « En droit camerounais, les questions relatives à la protection de la vie privée dans le
domaine des TIC relèvent, principalement, de la compétence de deux organes de
régulation, ce qui n’est pas de nature à garantir l’efficacité du dispositif exposé à un risque de
conflit de compétences »53.

51
CORNU (G.), Vocabulaire juridique, Op., cit., p. 522.
52
Il s’agit principalement de l’Agence de Régulation des Télécommunications (ART) et de l’Agence Nationale
des Technologies de l’Information et de la Communication (ANTIC).
53
TCHABO SONTANG (H.-M.), Article doctrinal, Op., cit., p. 9.

19
En effet, de nos jours la plupart des activités exercées dans l’univers numérique offrent la
possibilité aux professionnels de collecter et de traiter les données des consommateurs de leurs
produits. Ainsi, pour les données traitées exposées à toute forme d’intrusion extérieure, il est
utile qu’un gardien vigilant soit institué au plan communautaire. Comme c’est le cas dans
l’Union européenne avec la mise en place du Comité européen de la protection des données
(CEPD)54. L’alinéa 1 de cet article prévoit que le Comité européen de la protection des données,
est institué en tant qu’organe de l’Union et possède la personnalité juridique. Il sied de
reconnaitre que l’expérience de l’UE pourrait être prise pour modèle dans la Communauté
Economique et Monétaire de l’Afrique Centrale (CEMAC), ce qui permettrait d’éviter les
risques de conflit de compétence entre les autorités nationales de régulation, comme c’est le cas
au Cameroun. C’est dans ce sens qu’il faut saisir les propos d’un contemporain, qui relève que
« la nécessité d’un organe unique est ignorée ; et, dans le seul domaine des communications
électroniques, deux organes ont été consacrés avec d’ailleurs des compétences définies dans
une confusion laissant pressentir l’inefficacité du dispositif »55.

En effet, l’existence de deux organes chargés de réguler les activités de communications

électroniques au Cameroun fait subsister un imbroglio dans le partage des compétences entre
ceux-ci au sujet de la protection de la vie privée et des données à caractère personnel dans
l’univers numérique. Ceci donne impression qu’aucun organe spécialisé, ne joue pleinement ce
rôle. On pourrait dans un premier temps estimer que la fonction de la protection de la vie privée
dans l’environnement virtuel, relève de la compétence exclusive de l’Agence Nationale des
Technologies de l’Information et de la Communication (ANTIC), tel que laisse entendre
l’esprit du Décret du 10 avril 201256. Cependant, en regardant de près, on ne saurait dire que,
par cette seule disposition, l’ANTIC doit être considérée comme l’organe régulateur du
traitement des données à caractère personnel en droit camerounais. Il faut en effet relever qu’en
dehors de cette formulation laconique, aucune disposition n’organise les modalités de mise en
œuvre de cette mission.

Pour accentuer ce doute, les textes qui organisent le fonctionnement de l’Agence de Régulation
des Télécommunications (ART), lui confient aussi une compétence en matière de protection

54
Le Comité européen de la protection de données (CEPD) est encadré par le Règlement général sur la protection
des données (RGPD) du mai 2018, en son article 68.
55
TCHABO SONTANG (H-M.), Article doctrinal, Op., cit., p. 12.
56
En effet, le point j de l’article 5 du Décret du 10 avril 2012 qui organise son fonctionnement, prévoit
qu’elle a, entre autres, pour mission « de veiller, dans l'usage des TIC, au respect de l'éthique, ainsi qu'à la
protection de la propriété intellectuelle, des consommateurs, des bonnes mœurs et de la vie privée».

20
des données personnelles57. C’est ainsi que, de manière générale, les textes la chargent de la
régulation, du contrôle et du suivi des activités des opérateurs et des fournisseurs de services
des communications électroniques. Dans ce contexte, elle est non seulement investie de la
mission de garantir la protection des consommateurs, mais surtout de réguler le dispositif
d’identification des abonnés des terminaux de communications électroniques.

Afin d’éviter qu’une telle confusion se propage dans les autres Etats de la CEMAC, il faut
appeler de tout vœu la mise en place d’un organe communautaire spécialisé pour la protection
de la vie privée et des données à caractère personnel. Comme le prescrit le projet de Directive
CEMAC sur le cadre juridique de la protection des données à caractère personnel, qui
dispose en ces termes que : « la mise en place d'un régime de protection des données à
caractère personnel ne sera effective qu'avec la création d'une Autorité de contrôle qui devra
assurer cette fonction de contrôle du bon respect de la législation et de la protection de la vie
privée en général »58. La réalisation de cette œuvre aurait certainement un apport positif à la
protection des données à caractère personnel dans la CEMAC.

2 La contribution au renforcement du dispositif protecteur de la vie privée dans

l’univers numérique

L’une des finalités recherchée à travers la mise en place d’une autorité communautaire est sans
doute le renforcement de la sécurité juridique, afin d’assurer une meilleure protection à la vie
privée et aux données à caractère personnel dans la CEMAC. Il faut reconnaitre que l’existence
d’un organisme communautaire en la matière, est une garantie pour la sécurité des titulaires des
données traitées, en ce sens qu’un tel organe veillera au gré au respect scrupuleux des mesures
juridiques mises en place pour la protection des données personnelles. Cet organe contribuerait
à favoriser une conciliation adéquate entre les exigences relatives à la dignité humaine et
les enjeux du développement numérique. Il pourra alors le cas échéant mettre en exergue son
pouvoir disciplinaire en cas de violation ou manquement aux obligations mises à la charge des
responsables du traitement des données à caractère personnel, en leur infligeant des sanctions
prévues à cet effet.

57
Ibidem.
58
Cf. Préambule Directive CEMAC relatif à la protection des données à caractère personnel.

21
En effet dans la majorité des pays59, les autorités chargées de la protection des données (APD),
notamment les autorités de contrôle ou les autorités réglementaires ont été instituées gardiennes
de la protection des données tant au plan national qu’au plan communautaire. Afin d’assurer la
mise en œuvre efficace de la législation en la matière. Les autorités de protection des données
ont le pouvoir d’enquêter sur les violations, de les identifier et de les sanctionner, ainsi que la
responsabilité de sensibiliser aux droits et obligations en matière de protection des données en
général. Toutefois, pour rendre plus vigoureuse la protection des données à caractère personnel
dans les différentes zones économiques, il paraît impérieux de mettre en place un organe
communautaire, dans la sous-région de l’Afrique centrale qui serait l’instance supérieure. Cet
organe devrait coopérer avec les autorités nationales de protection des données personnelles.
Celui-ci pourrait à ce titre jouer le rôle de conseiller indépendant auprès des institutions
nationales, comme c’est le cas avec le Comité européen de protection des données (CEPD). En
effet, le rôle de conseiller indépendant que joue ce dernier auprès des institutions de l’UE couvre
tous les aspects du traitement de données à caractère personnel, notamment les initiatives visant
à renforcer la sécurité dans l’UE et les nouveaux outils d’échange de données utilisés par les
services répressifs.

La mise en place effective d’une autorité communautaire de protection des données à caractère
personnel permettrait d’impulser une nouvelle dynamique dans la répression des multiples
violations, dont sont victimes les titulaires des données traitées dans la CEMAC. Comme on
peut l’observer jusqu’aujourd’hui, aucune sanction à notre connaissance n’a été prononcée à
l’encontre des géants du numérique installés dans les différents Etats membres. Les pays
d’Afrique et la CEMAC vivent dans une sorte de capharnaüm numérique où règne l’impunité.
Il faudrait une autorité communautaire forte pour sonner la fin de la récréation en prenant des
décisions dissuasives à l’exemple de celles prises par la CNIL en France60. L’avènement d’un
organisme indépendant viendrait à coup sûr renforcer le dispositif de protection des données à
caractère personnel en place dans la CEMAC.

59
Il importe de souligner que plus de 100 pays dans le monde possèdent maintenant une législation en matière de
protection des données, et moins de la moitié de ces pays sont situés en Europe. Comme pour dire que même les
pays d’Afrique et de la CEMAC en particulier se sont dotés des instruments juridiques en matière de protection
des données personnelles.
60
Pour mémoire, le 7 décembre 2020 la formation restreinte de la CNIL a sanctionné les sociétés GOOGLE LLC
et GOOGLE IRELAND LIMITED d’un montant total de 100 millions d’euros d’amende, notamment pour avoir
déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans
consentement préalable ni information satisfaisante.

22
 CONCLUSION

Au demeurant, il ne fait aucun doute que le législateur communautaire a mis en place un corpus
juridique en matière numérique visant à protéger la vie privée et des données à caractère
personnel des usagers de l’univers virtuel. Toutefois, l’œuvre du législateur semble inachevée
au plan organique. Cela se justifie par l’inexistence d’un organisme communautaire spécialisé
à la protection de la vie privée et des données à caractère personnel en matière numérique,
comme on pourrait voir sous d’autres cieux. Cette situation fragilise la sauvegarde des droits
fondamentaux des citoyens dans l’écosystème du numérique. Ainsi, pour renforcer la protection
de ces droits, le législateur dans une quête permanente de l’équilibre entre les intérêts des
responsables des traitements et la sécurisation des données à caractère personnel, devrait mettre
en place une instance communautaire forte, capable de prendre des décisions fermes en cas de
manquement à la règlementation en la matière ou de toute atteinte aux données personnelles.
Tout compte fait, l’implémentation d’une institution communautaire spéciale garantirait une
protection pérenne et efficace des données à caractère personnel des usagers des TIC.

23