Chargement...
Chargement...
Copyright © 2026 Anove International B.V.
All product names, logos, and brands are property of their respective owners. Use of these names does not imply affiliation, endorsement, or partnership.
Law 2024/017
La loi n° 2024/017 du 23 décembre 2024 est la première loi camerounaise spécifiquement consacrée à la protection des données, établissant un cadre complet pour la collecte, le traitement et la conservation des données à caractère personnel. Les organisations doivent se mettre en conformité au plus tard le 23 juin 2026.
Promulguée le 23 décembre 2024, la loi n° 2024/017 régissant la protection des données à caractère personnel constitue le texte fondateur du Cameroun en la matière. Elle s'applique à toute organisation publique ou privée, ainsi qu'aux professionnels agissant en leur nom propre, qui traite des données à caractère personnel de personnes résidant, établies ou en transit au Cameroun, que le responsable du traitement soit établi au Cameroun ou qu'il cible depuis l'étranger des personnes résidant au Cameroun. Le traitement repose sur quatre bases légales (le consentement, l'obligation légale, la mission d'intérêt public, la protection de la santé), le consentement étant soumis à des conditions de validité strictes et le consentement parental étant requis pour les mineurs de moins de 18 ans. Les données sensibles (santé, données biométriques, données judiciaires, opinions religieuses ou politiques, transactions bancaires, entre autres) sont en principe interdites de traitement.
La loi instaure un régime d'autorisation préalable : les organisations doivent obtenir l'autorisation de l'autorité de protection des données avant tout traitement, tenir un registre des activités de traitement, réaliser des analyses d'impact pour les traitements à haut risque, notifier les violations de données sans délai, contractualiser avec les sous-traitants et obtenir une autorisation avant tout transfert international. L'article 73 accorde aux organisations un délai de 18 mois à compter de la promulgation, soit jusqu'au 23 juin 2026, pour se mettre en conformité. L'organisation et le fonctionnement de l'autorité indépendante seront fixés par décret présidentiel, et des textes d'application préciseront les modalités pratiques.
Avant tout traitement de données à caractère personnel, les organisations doivent obtenir une autorisation délivrée par l'autorité de protection des données. Le traitement sans autorisation préalable est puni d'amendes de 5 à 50 millions de FCFA.
Le consentement doit être libre, éclairé, spécifique, univoque et exprès, obtenu avant le début du traitement ; pour les mineurs de moins de 18 ans, il doit être accompagné du consentement des parents ou du représentant légal.
Chaque organisation doit tenir un registre de l'ensemble de ses opérations de traitement, couvrant les finalités, les catégories de données, les destinataires, les transferts internationaux, les durées de conservation et les mesures de sécurité, mis à la disposition de l'autorité sur demande.
Pour aller plus loin
Anove analyse votre stack au regard de Law 2024/017 et de plus de 260 autres cadres en quelques minutes.
Les violations de données doivent être notifiées à l'autorité sans délai, les personnes concernées étant informées lorsque leurs droits sont menacés ; un rapport annuel sur les mesures de sécurité doit également être soumis à l'autorité.
Tout transfert de données à caractère personnel vers un pays étranger ou une organisation internationale requiert l'autorisation préalable de l'autorité, qui vérifie que la destination offre un niveau de protection équivalent.