L’émergence du E-commerce et la difficile protection des données personnelles: le cas du Cameroun

Par Rachel Lore Ngo Mawo, Avocat et Valentin Chuekou, Juriste

Le boom du numérique au Cameroun et l’amélioration du taux de pénétration d’internet dans les foyers ont eu pour corollaire le développement fulgurant du commerce électronique. Ces nouvelles formes de transactions commerciales qui s’effectuent au moyen d’un téléphone, d’un GAB, d’une carte de crédit ou d’un ordinateur nécessitent l’identification et l’authentification des utilisateurs ainsi que le traitement de leurs données personnelles fournies. Elles correspondent aux noms, prénoms, adresses (physique et électronique), numéro de téléphone, lieu et date de naissance, taille, numéro de carte bancaire, photo, état de santé et autres.

Grâce à ces informations sensibles, il est possible pour les analystes en amont d’étudier le comportement des clients, d’analyser leurs goût et préférence, afin de leur proposer et vendre en aval des produits et services taillés sur mesure. De par cette importance ainsi avérée, les données personnelles sont aujourd’hui considérées comme le nouvel or noir de l’économie numérique. Ce qui n’est pas sans rappeler l’importance de la protection de ces données par le législateur camerounais, qui peine encore à y apporter une protection maximale, malgré ses efforts de réglementation de ce nouveau secteur d’activité.

La protection tatillonne des données personnelles par le législateur camerounais.
La faiblesse de cette protection réside aussi bien dans la pluralité législative, dans la matière que dans la nature des obligations qui pèsent sur les « commerçants électroniques ».

En effet, dans l’ordonnancement législatif actuel, il n’existe pas de loi spécialement consacrée à la protection des consommateurs de e-commerce et encore moins de leurs données personnelles. C’est ainsi que la loi cadre n° 2011/012 du 06 mai 2011 portant protection du consommateur au Cameroun qui semble pourtant être l’instrument le plus indiqué, ne fait pas expressément allusion à la protection des données personnelles du consommateur ni même à sa sensibilisation vis à vis de ces nouveaux types de cocontractants. Plus aberrant encore même la loi n° 2010/021 du 21 décembre 2010 régissant le commerce électronique au Cameroun n’a pas cru devoir s’appesantir sur la protection des données personnelles des consommateurs par les prestataires de e-commerce, mais s’est plutôt attelée et tout le mérite lui en revient, à consacrer la sécurité économique de la transaction . Il faut alors pour enfin voir traiter de la protection de la vie privée du consommateur, se référer à la loi n° 2010/012 du 21 décembre 2010 relative à la cyber-sécurité et la cyber-criminalité au Cameroun.

Cependant cette loi qui ne met à la charge de ceux qui sont chargés du traitement des données personnelles qu’une obligation minimale de protection, utilise dans la répression un ton impersonnel qui porte à croire qu’elle s’adresse plus aux tiers qu’aux responsables de sites marchands. Tout de même son article 74 alinéa 3 qui dispose que « est puni d’un emprisonnement d’un (1) à trois (3) ans et d’une amende de un million (1000 000) à cinq millions (5000 000) FCFA ou de l’une de ces deux peines seulement, quiconque procède ou fait procéder même par négligence au traitement des données à caractère personnel en violation des formalités préalables à leur mise en oeuvre », semble s’appliquer de façon particulière aux relations contractuelles car il punit un dépassement de pouvoir. Mais cette protection hésitante laisse un champ de tous les possibles aux personnes ayant en charge le traitement de ces données. C’est le cas des opérateurs de sites marchands, dont les conditions générales de vente (CGV) prévoient des clauses qui sous d’autres cieux seraient inacceptables.

À titre d’exemple, les CGV du site e-commerce « Cdiscount Cameroun » (CDC) consultées le 6 avril 2016, en leurs dispositions concernant le traitement et le transfert des données personnelles, notamment l’art 11.1 intitulé « Collecte et utilisation de vos données personnelles » énonce que les «données personnelles pourront être transmises à des prestataires de Cdiscount Cameroun aux fins de traitement des commandes et SAV, ainsi qu’aux fins de gestion du marketing et de la relation client» et plus loin, affirme qu’en plus d’être «utilisées par Cdiscount Cameroun à des fins de prospection directe à l’aide de tout moyen de communication», les «données personnelles peuvent «être communiquées à des tiers à des fins de prospection», mais aussi et surtout que «dans le cadre du traitement mis en uvre, [ces] données personnelles sont susceptibles de faire l’objet d’un transfert hors du Cameroun». Sans formalités particulières, sans vérification aucune, ni contrôle administratif, les données personnelles collectées au Cameroun peuvent être transférées hors du territoire national sans que l’on ne sache ni la destination, ni ce qui va en advenir.

L’impérieuse nécessité d’un renforcement de la protection de données personnelles au Cameroun.
Parce que la mine d’or que représentent les données personnelles repose sur ce que l’Homme a de plus cher, la sonnette d’alarme retentit forcément pour les défenseurs des droits et libertés. Face à cette nouvelle préoccupation pour les libertés individuelles et la vie privée, de nombreux pays ont intégré dans leur droit interne, la protection des données à caractère personnel. En Europe,elle est consacrée par la Charte des droits fondamentaux de l’Union européenne en son article 8, relevant du chapitre des Libertés et en Afrique par la Convention de l’union africaine sur la cyber-sécurité et la protection des données à caractère personnel.

Pour éviter la saignée, le législateur camerounais doit tout mettre en oeuvre pour combler le vide juridique existant mais aussi et surtout apporter le plus de clarification possible sur les pans déjà réglementés. Il serait alors louable de se pencher rapidement sur un certain nombre de questions, à savoir notamment:

* créer un organe de contrôle et de régulation des données personnelles, car L’Agence Nationale des Technologies de l’information et de la Communication (ANTIC) actuelle, ploie sous ses nombreuses missions statutaires qu’on a du mal à croire qu’elle sera efficace à la protection des données personnelles.

* définir clairement le principe de temporalité quant à la durée de conservation et de traitement des données personnelles;

* assurer la protection des transferts transfrontaliers des données personnelles hors du Cameroun ; En effet, à titre de droit comparé, pour effectuer un transfert hors de la France, il faut recourir selon les cas, à une demande d’autorisation spécifique de transfert, encadrée soit par les « règles internes d’entreprise (Binding Corporate Rules – BCR) » ou soit par les « clauses contractuelles types (CCT) adoptées par la Commission européenne »;

* instaurer la déclaration préalable obligatoire de tous fichiers (vidéos, clients.) de données personnelles par toute personne quelle qu’elle soit et les modalités de leur modification et suppression.;

* faire obligation à toutes les entreprises de mettre en oeuvre des mesures d' »accountability » relatives aux procédures internes et au respect des règles relatives à la protection des données ;
créer le métier de « Correspondant Informatique et Libertés » qui veillera à la sécurité juridique des données en conformité avec la loi. Toute entreprise aura donc l’obligation de recruter ou d’en désigner un;

* prescrire l’adhésion du Cameroun à l’Association Francophone des Autorités de Protection des Données Personnelles (AFAPDP) qui dispose d’une réelle expertise francophone en matière de protection des données personnelles;

* clarifier le sort des données personnelles des personnes décédées. Après la mort d’un tiers, qui pourrait avoir accès à ces données et dans quelles conditions;

* renforcer la pénalisation de tout manquement et entrave au traitement des données.

Des sérieuses réformes s’imposent résolument afin que le Cameroun entre dans la modernité numérique, protège ses citoyens et suscite une confiance à l’égard de ses partenaires internationaux pour enfin bannir la mention consultable sur le site de la CNIL: « pas de loi (de protection des données personnelles),… ce pays n’est pas reconnu par l’Union Européenne comme adéquat ». Ce qui est loin de l’honorer. Dont acte.


Droits reservés)/n