Un traitement est une opération ou ensemble d’opérations effectuées ou non à l’aide de procédés entièrement ou partiellement automatisés ou non automatisés et appliqués aux DCP.  Ces procèdes sont diverses et peuvent consister à : la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion, ou toutes autre forme de mise à disposition, le rapprochement, ainsi que le verrouillage, l’effacement ou la destruction[1].  D’après cette définition du législateur, le traitement des données personnelles n’est pas nécessairement numérique. Cela implique que même les données traitées sur support papier entre dans le domaine de compétence de la  loi sur la protection des données à caractère personnel et doivent de ce fait être protégées. Le traitement des données personnelles est soumis à un régime juridique particulier qui se rapporte aux conditions préalables (A) et à des principes (B).

1. Les conditions préalables au traitement des DCP

Le traitement des données personnelles est soumis à l’obtention préalable d’une autorisation[2]. Cette autorisation est délivrée par l4autorite de protection des DCP. Il s’agit d’une exigence légale à laquelle ne peut outrepasse aucune personne physique ou morale habilitée à traiter les données. En l’absence d’une telle autorisation, les usagers sont fondés à refuser toute collecte de leurs informations personnelles.

L’autorisation préalable est également exigée pour toute opération d’interconnexion et d’interopérabilité des fichiers sensibles relative au mineur. L’interconnexion est un mécanisme qui consiste à mettre en relation des DCP traitées pour une finalité déterminée avec d’autres données traitées pour des finalités identiques ou non[3]. L’interopérabilité quant à elle est la capacite des systèmes informatiques à échanger des données de manière sécurisée et automatique indépendamment des frontières géographiques, politiques ou organisationnelle. Un fichier est dit sensible lorsqu’il contient des données sensibles. Ces données sont des informations relatives notamment aux opinions et activités religieuses, philosophiques, politiques, syndicales, aux transactions bancaires, a l’origine racial ou ethnique, linguistique ou régionale, a la vie sexuelle, a la génétique, a la biométrie, a la sante, aux poursuites judiciaires et aux sanctions pénales[4]. En fin, un mineur est une personne âgée de d’au moins 18 ans[5]. Une fois l’autorisation acquise, le traitement des DCP peut se faire selon des principes stricts.

• Les principes de traitement des DCP

Le traitement des DCP est encadre par plusieurs principes. Ce sont les principes du consentement préalable (1), de respect de la vie privée (2) de la légalité (3), et de l’intégrité (4).

1. Le principe du consentement préalable

Le traitement des DCP ne saurait se faire sans le consentement préalable de la personne concernée par ledit traitement de données. Le consentement est l’accord de volonté entre deux ou plusieurs personnes en vue de créer des effets de droit. La personne visée par le traitement de ses données personnelles doit donner son accord. Autrement dit, elle doit accepter que ses DCP soient traitées. Cette acceptation doit être libre, éclairé, spécifique et univoque[6]. La personne visée doit connaître les données qui seront collectées, et l’usage qui sera fait de ces informations personnelles. En ce qui concerne une personne mineure, son consentement n’est valable que s’il est appuyé par celui de ses père, mère ou de son représentant légal.  

Cependant, il existe des exceptions à l’exigence de consentement préalable. Le traitement des DCP peut se faire en marge de l’accord de la personne concernée en cas de :

•  Respect d’une obligation légale ;
• L’exécution d’une mission d’intérêts public ou relevant de l’autorité de protection des DCP ;
• Préservation de la santé de la personne visée ou d’une autre personne physique[7].

• Le principe du respect de la vie privée

Le respect de la vie privée dans le traitement des DCP a été érigé en principe par le législateur. C’est dire l’importance qu’il attache au respect de ce droit fondamental. Pour protéger la vie privée des personnes dont les données sont traitées, la loi a astreint au devoir de confidentialité toute personne qui participe au traitement des DCP. Cette obligation est attachée non seulement à la personne, mais également au réseau de communication numérique ou tout autre support. Les données personnelles doivent être traitées de manière confidentielle. Elles doivent être protégées selon les mesures de sécurité prévue par la loi, à savoir par des mécanismes de cybersécurité visant à les rendre inaccessibles à toute personne[8]. 

•  Le principe de la légalité

Ce principe implique tout simplement que le traitement des DCP doit être licite, loyal et non frauduleux[9]. La licéité ne limite seulement au traitement, mais également au contenu des données[10]. Elle s’étend aussi à la finalité qui est donnée au DCP. Cette finalité doit être déterminée, explicite et légitime. Les DCP ne peuvent être traitées ultérieurement pour une finalité autre que pour laquelle il avait été préalablement destiné[11]. Cependant, lorsque la période de conservation de ces données est arrivée à expiration, celles-ci ne peuvent continuer à être traitées qu’en vue de répondre spécifiquement à un traitement à de fins historiques, statistiques ou de recherche[12].

• Le principe de l’intégrité

Les DCP doivent être complètes, fiables et mis à jour. Lorsque celles-ci sont inexactes ou incomplètes, elles doivent être corrigées ou effacées par la personne qui assure le traitement[13]. Outre la licéité, la probité des DCP doit être préservée durant tout la période de conservation[14]. Le principe de l’intégrité s’observe également au niveau de la finalité. Cette dernière doit être identique et univoque au moment de la collecte et au moment du traitement.

Avec sobriété, le champ d’application de la de la loi n^o 2024/017 du 23 Décembre 2024 relative à la protection des données à caractère personnel au Cameroun vient d’être abordé. Ce qu’il faut retenir brièvement, c’est qu’il était question dans cette analyse de cibler les DCP protégées par le législateur. Il était aussi question d’analyser le régime juridique du traitement attaché à ces DCP.  La protection des droits fondamentaux et de la vie privée étant le fil d’Ariane du législateur,  il n’a pas hésité à responsabiliser les différents acteurs intervenants dans ce processus.

Lire l’article précédent Le Champ de Compétence  de la Loi sur la Protection des Données à Caractère Personnel.

[1] Art. 5 de la loi n^o 2024/017 du 23 Décembre 2024 relative à la protection des données à caractère personnel au Cameroun.

[2] Art. 19 al. 1 de la loi n^o 2024/017 du 23 Décembre 2024 relative à la protection des données à caractère personnel au Cameroun.

[3] Art. 5 idem.

[4] Ibis

[5] Art. 9 al. 3 idem, il s`agit la de la conception faite par le législateur du mineur. Selon le Code civil, le mineur est toute personne âgée de moins de 21 ans. Pénalement, le mineur est toute personne âgée de moins de 18 ans.

[6] Art. 9 al. 1 idem.

[7] Art. 9 al. 2 idem.

[8] Art. 24 de la loi n^o 2010/012 du 21 Décembre 2010 relative à la cybersécurité et à la cybercriminalité au Cameroun.

[9] Art. 10 de la loi n^o 2024/017 du 23 Décembre 2024 relative à la protection des données à caractère personnel au Cameroun.

[10] Art. 8 idem.

[11] Art. 11 idem

[12] Art. 13 al. 3 idem

[13] Art. 12 idem

[14]  La loi relative à la protection des données à caractère personnel n’a prévu aucun délai de conservation des DCP. Elle renvoie la fixation de ce délai de traitement par voie réglementaire. En attendant, il faut se référer en la matière à la loi du 21 Décembre 2010 relative à la cybersécurité et à la cybercriminalité. Cette loi  en son article 25 prescrit la conservation des données pendant une période de 10 ans.