Décryptage juridique — Observatoire de Cybersécurité du Cameroun — 17 juillet 2026
Le 23 juin 2026, le délai de mise en conformité à la loi n° 2024/017 relative à la protection des données à caractère personnel est arrivé à son terme. Dix-huit mois après la promulgation du texte, toute organisation traitant des données personnelles au Cameroun — c’est-à-dire, en pratique, toutes — devait être en règle.
Il ne s’est rien passé.
Pas de communiqué. Pas de mise en demeure. Pas de première décision. Pour une raison simple : l’Autorité de Protection des Données à caractère Personnel (APDP), que la loi charge de veiller à son application, n’existe toujours pas concrètement. La loi l’a créée sur le papier ; le décret présidentiel censé l’organiser et la rendre fonctionnelle n’a, à notre connaissance, toujours pas été signé.
D’où la question que se posent, à voix basse, beaucoup de DSI et de directions juridiques camerounaises depuis un mois : **si le gendarme n’existe pas, sommes-nous vraiment tenus ?**
La réponse est non seulement oui, mais la situation actuelle est probablement plus risquée qu’une APDP opérationnelle.
## Un délai de conformité n’est pas une suspension de la loi
C’est le premier malentendu à dissiper, et il est répandu.
La loi 2024/017 est entrée en vigueur à sa promulgation, le 23 décembre 2024. Le délai de dix-huit mois qu’elle accorde est un **délai de mise en conformité**, pas une suspension d’application. Aucune disposition du texte ne suspend l’effet de la loi pendant cette période.
Le juriste Laurent-Fabrice Zengue, spécialiste de la protection des données, le formulait ainsi dès juillet 2025 : *« en l’absence d’une disposition légale spéciale de suspension de l’exécution des dispositions […] de la loi camerounaise, et bien qu’il y ait un délai de mise en conformité au profit des personnes physiques et morales en charge des activités de traitement des données personnelles, il serait opportun de s’appliquer le principe de précaution, en se mettant en conformité »*. Sa conclusion : *« l’application des sanctions est parfaitement possible dès la promulgation et la mise en vigueur de la loi »*.
Autrement dit : les sanctions étaient encourues avant le 23 juin 2026. Depuis cette date, le dernier argument défensif disponible — « nous sommes dans le délai » — a disparu.
## Le paradoxe de l’autorisation
Voici où le dossier devient réellement singulier.
La loi subordonne le traitement de données personnelles à une **autorisation préalable délivrée par l’APDP**. Or l’APDP n’est pas constituée. Elle ne délivre donc aucune autorisation.
Conséquence : toute organisation camerounaise qui traite des données personnelles — une banque qui ouvre un compte, un opérateur télécom qui enregistre une SIM, un hôpital qui tient un dossier patient, une université qui inscrit un étudiant, une administration qui gère ses agents — le fait aujourd’hui **sans l’autorisation que la loi exige**, et sans aucun moyen de l’obtenir.
Ce n’est pas de la négligence. C’est une impossibilité matérielle. Nul ne peut se conformer à une formalité auprès d’un organisme qui n’a pas d’existence opérationnelle.
Le régime de l’autorisation préalable, pièce maîtresse du dispositif camerounais, est donc **inopérant**. Non pas ignoré : inopérant.
## Qui sanctionne, alors ?
C’est ici que le raisonnement se retourne contre les organisations qui se croyaient à l’abri.
Les pouvoirs de sanction que la loi confère explicitement à l’APDP sont au nombre de trois : la suspension de l’activité objet de l’autorisation, le retrait de l’autorisation, et l’interdiction d’exercer toute activité de traitement. On remarquera que les deux premiers **supposent une autorisation existante**. Sans APDP, pas d’autorisation ; sans autorisation, ces pouvoirs n’ont pas d’objet. Le seul arsenal de sanction explicitement remis à l’Autorité est aujourd’hui suspendu dans le vide.
Mais l’APDP n’est pas le seul organe capable de sanctionner — et c’est le point que beaucoup manquent.
La thèse défendue par Zengue, et qu’il faut présenter comme une lecture doctrinale et non comme du droit établi, est celle d’une **répartition résiduelle** : ce qui n’est pas attribué à l’Autorité revient aux juridictions. Les juridictions de l’ordre administratif pour les sanctions administratives ; les juridictions de l’ordre judiciaire pour les sanctions civiles et pénales. Ces juridictions, elles, existent. Leur compétence ne dépend d’aucun décret.
Il écrivait le 30 juin 2026, une semaine après l’expiration du délai, qu’il faut distinguer *« l’impossibilité pratique d’infliger des sanctions administratives pour défaut d’autorisation en raison de l’inexistence de l’autorité administrative de régulation »* d’une part, et *« la possibilité bien réelle d’appliquer des sanctions civiles et pénales, grâce à l’autonomie des motifs et des incriminations dont bénéficient respectivement les tribunaux civils et répressifs »* d’autre part.
La conséquence est contre-intuitive et mérite d’être posée clairement : **l’absence d’APDP ne protège de rien. Elle déplace le risque.**
Une APDP opérationnelle, c’est un interlocuteur, une doctrine publiée, une graduation des sanctions, un avertissement avant la foudre. Son absence, c’est un contentieux qui s’ouvre directement devant un juge — saisi par une personne concernée dont les droits ont été méconnus, sans filtre administratif, sans mise en demeure préalable, sans phase de dialogue. Zengue parle d’une *« judiciarisation de fait du contrôle de la conformité »*.
Le risque n’a pas disparu avec le gendarme. Il a changé de porte d’entrée.
## Ce qu’il faut faire, concrètement
Puisque le canal de l’autorisation est fermé, il ne reste qu’une stratégie : **l’accountability** — se mettre en conformité de son propre chef et être en mesure de le prouver, document à l’appui. C’est ce que la loi camerounaise esquisse déjà en imposant aux responsables de traitement d’adresser à l’APDP un rapport annuel sur l’état de mise en œuvre de leurs mesures de sécurité.
Cette obligation, notons-le, pose la même énigme que l’autorisation : à qui adresser le rapport ? La réponse pratique est de le **produire et de le dater quand même**, et de le conserver. Le jour où l’APDP s’installera, ou le jour où un juge sera saisi, la question ne sera pas « aviez-vous une autorisation ? » — personne n’en avait. Elle sera : **« qu’avez-vous fait, et pouvez-vous le prouver ? »**
### Checklist de conformité — priorités immédiates
1. **Cartographier les traitements.** Quelles données, collectées où, stockées où, accessibles par qui, conservées combien de temps. Sans registre, aucune conformité n’est démontrable.
2. **Documenter une base légale** pour chaque traitement. Consentement, contrat, obligation légale : il faut pouvoir la nommer, traitement par traitement.
3. **Désigner un responsable identifié** de la protection des données, même à temps partiel, même en cumul. Ce sera l’interlocuteur de l’APDP le jour venu.
4. **Formaliser les mesures techniques et organisationnelles** et produire le rapport annuel de sécurité, daté, même en l’absence de destinataire opérationnel.
5. **Encadrer les sous-traitants** par contrat écrit incluant leurs obligations en matière de données.
6. **Recenser les transferts hors du Cameroun** — hébergement cloud compris. C’est le point le plus exposé, la loi assortissant les transferts non autorisés de ses sanctions les plus lourdes.
7. **Écrire une procédure de gestion des violations de données** avant d’en avoir besoin.
8. **Organiser le traitement des demandes** d’accès, de rectification et d’opposition, avec des délais de réponse tenus et tracés.
9. **Horodater et archiver** l’ensemble. La preuve de la diligence est aujourd’hui le seul actif défensif réellement disponible.
10. **Suivre la publication du décret.** Le jour où il paraîtra, le calendrier se rouvrira — et ceux qui n’auront rien fait auront dix-huit mois de retard à rattraper sans délai de grâce cette fois.
## Encadré — ce que nous n’avons pas pu vérifier
L’Observatoire préfère afficher les limites de sa vérification plutôt que de les taire.
– **Le décret.** Au 17 juillet 2026, aucun décret organisant l’APDP n’apparaît sur la liste officielle des décrets publiée par la Présidence de la République. Cette liste est toutefois sélective et présente des discontinuités de numérotation : un texte pourrait exister sans y figurer. Notre affirmation la plus solide reste celle d’un juriste spécialiste écrivant le 30 juin 2026 que *« le décret présidentiel chargé d’organiser cette Autorité manque à l’appel »*. Nous n’avons trouvé aucune source, dans un sens ou dans l’autre, entre le 30 juin et le 17 juillet 2026.
– **Aucune nomination.** Nous n’avons trouvé trace ni d’un président de l’APDP, ni de ses membres, ni d’un siège, ni d’un budget.
– **Attention à une confusion répandue.** Plusieurs publications ont annoncé en décembre 2024 que « l’autorité voit le jour ». Elles évoquaient la création de l’APDP **par la loi**, non par un décret d’application. Un projet de décret circule par ailleurs depuis mai 2023, issu d’une consultation publique antérieure à la loi elle-même : il ne s’agit pas de droit en vigueur et ses dispositions ne doivent pas être citées comme telles.
– **Une divergence de date à signaler.** Nous retenons le 23 juin 2026 comme terme du délai (23 décembre 2024 + 18 mois). Certains auteurs retiennent le 24 juin 2026. L’écart est sans conséquence pratique, mais nous le mentionnons par souci d’exactitude.
*L’Observatoire de Cybersécurité du Cameroun documente et analyse les incidents et le cadre réglementaire de la cybersécurité au Cameroun. Cet article est une analyse juridique à visée informative et ne constitue pas un conseil juridique. Une organisation confrontée à une question de conformité devrait consulter un praticien.*
**Sources**
– Loi n° 2024/017 du 23 décembre 2024 relative à la protection des données à caractère personnel — Présidence de la République
– Laurent-Fabrice Zengue, « Inexistence de l’autorité de protection des données personnelles : les acteurs du traitement sont-ils exempts de sanctions ? », Village de la Justice, 11 juillet 2025
– Laurent-Fabrice Zengue, « Régime de l’autorisation inopérant, régime de l’accountability irrésistible », Village de la Justice, 30 juin 2026
– Liste officielle des décrets présidentiels, prc.cm, consultée le 17 juillet 2026

