Chapeau — À 36 jours de l’entrée en application effective de la loi n° 2024/017 du 23 décembre 2024 (échéance fixée au 23 juin 2026, après 18 mois de transition), une question opérationnelle revient avec insistance dans les comités de direction camerounais : qui doit nommer un Délégué à la Protection des Données (DPO), et avec quelles compétences ? La loi n’impose pas la nomination à toutes les organisations, mais la rend de fait incontournable pour celles qui traitent des données personnelles à grande échelle.
Contexte — La loi 2024/017 transpose plusieurs principes inspirés du RGPD européen et de la Convention de Malabo de l’Union africaine, en les adaptant au cadre camerounais. Elle s’applique à toute organisation établie sur le territoire et à toute organisation traitant les données de citoyens camerounais depuis l’étranger. L’autorité de contrôle créée par la loi — l’Autorité de Protection des Données à caractère Personnel (APDP) — devient l’interlocuteur unique des organisations en matière de conformité, contrôle et sanctions (jusqu’à 1 milliard de FCFA et 10 ans d’emprisonnement selon les manquements).
Fait et donnée — Toute entreprise procédant à des traitements de données personnelles à grande échelle doit désigner un DPO. La loi pose trois critères cumulatifs pour la fonction : (i) certification par un organisme agréé — Africa Data Protection a lancé sa première session de certification à Douala dès l’adoption de la loi ; (ii) indépendance fonctionnelle — le DPO doit rendre compte au plus haut niveau et ne pas être en conflit d’intérêts avec ses autres missions ; (iii) compétences proportionnées à la sensibilité, au volume et à la complexité des traitements. Le DPO pilote les chantiers internes (cartographie des traitements, registre, analyses d’impact), forme le personnel et représente l’organisation auprès de l’APDP.
Implication pour le Cameroun — Le tissu concerné est large : opérateurs télécoms, banques et fintech, assurances, plateformes e-commerce, prestataires de santé, administrations dématérialisées, EdTech. Le délai de mise en conformité courant jusqu’au 23 juin 2026 ne sera pas renouvelé. À défaut, les organisations s’exposent à la fois aux sanctions pénales/administratives prévues et aux risques de contentieux civils initiés par les personnes concernées, dont les droits (accès, rectification, opposition, effacement) sont opposables dès l’opérationnalisation de l’APDP.
Action concrète pour les lecteurs —
- RSSI / DSI — Établir avant le 23 juin 2026 le registre des traitements (finalités, bases légales, durées de conservation, transferts), identifier les traitements à risque élevé (santé, financier, biométrie), et formaliser la procédure de notification de violation. Ces livrables conditionnent la légitimité du futur DPO.
- Direction générale — Décider si le DPO sera interne ou mutualisé (DPO externe partagé entre filiales), inscrire la nomination dans une décision écrite, et budgéter la certification (Africa Data Protection, ou autre organisme agréé à venir). La fonction relève désormais du pilotage exécutif, pas du seul service informatique.
- Citoyens, OSC, journalistes — Demander aux organisations dont les services sont utilisés (banque, télécom, plateforme publique) la publication de leur politique de protection des données et le nom du DPO. La transparence devient un droit opposable au 23 juin 2026.
- Présidence de la République du Cameroun — Loi n° 2024/017 du 23 décembre 2024 (texte officiel) — Élevé (source primaire)
- CIO Mag — « Protection des données au Cameroun : la course contre la montre avant juin 2026 » — Moyen (presse spécialisée régionale)
- CIO Mag — « Africa Data Protection lance sa première certification pour accompagner la nouvelle loi » — Moyen
- CIO Mag — Analyse juridique de la loi 2024/017 — Moyen
- Africa Data Protection — Programme de certification e-learning sur la loi 2024/017 — Moyen
- Ministère des Finances (MINFI) — Présentation inaugurale sur la protection des données (août 2024) — Élevé (source officielle)
Note de prudence — Les seuils précis de « grande échelle » imposant explicitement la désignation d’un DPO ne sont pas tous fixés numériquement dans la loi 2024/017 et restent sujets à précision par les décrets d’application et les lignes directrices que publiera l’APDP. Le brief s’en tient aux faits établis par le texte et corroborés par la pratique professionnelle. Aucune attribution d’incident, aucune nomination de victime.