[Digital Business Africa – Avis d’expert] – Depuis le 1er avril 2026, le nouveau mécanisme de collecte électronique des droits et taxes de douane à l’importation des téléphones portables, tablettes et autres terminaux mobiles, applicable au Cameroun est désormais effectif. A titre de rappel, c’est l’article 7 de la Loi de Finances de 2019 qui a consacré ledit mécanisme, mettant en interactions l’Etat à travers les services de douanes, les commerçants importateurs, les opérateurs de téléphonie mobile, les banques et opérateurs de services de paiement, les utilisateurs et détenteurs de terminaux mobiles.
Le mécanisme est déclenché dès la toute première connexion au réseau de l’un des opérateurs de téléphonie mobile. Or, il n’y a pas de connexion sans puce de numéro de téléphone attribué par l’opérateur à l’utilisateur, et il n’y a pas d’activation du module d’identité d’abonné sans identification personnelle de l’utilisateur, laquelle identification se fait au moyen de la collecte et du traitement des données personnelles de ce dernier, contenues dans tout document indiqué à cet effet : la protection des données personnelles constitue donc l’une des problématiques centrales de ce mécanisme de collecte électronique des droits et taxes.
Lorsqu’il avait été institué en 2019, ce mécanisme était sous l’empire du décret n°2015/3759/PM du 3 septembre 2015 fixant les modalités d’identification des abonnés et des équipements terminaux des réseaux de communications électroniques, tandis qu’à date, moment de son application effective, la primauté revient à la Loi n°2024/017 du 23 décembre 2024 relative à la protection des données à caractère personnel au Cameroun, mais pas que. C’est donc un mille feuilles de législations et réglementations, dont le point commun est le triptyque universel : confidentialité, intégrité et disponibilité des données personnelles.
Quoi qu’il en soit, dans un contexte de dématérialisation des procédures douanières, comment l’implémentation du mécanisme de collecte électronique des taxes sur les terminaux mobiles concilie-t-elle l’impératif de souveraineté fiscale de l’État avec les nouvelles exigences de protection des données personnelles consacrées par la loi y relative ainsi que d’autres instruments ? En d’autres termes, le passage d’une simple identification administrative à un régime de protection juridique strict garantit-il une sécurité réelle pour l’utilisateur détenteur du terminal, ou la collecte automatisée présente-t-elle des risques patents de dérive ?
L’analyse de cette problématique va porter sur trois axes principaux : le mécanisme de collecte originelle des données, le renforcement théorique de la protection des usagers et, les défis persistants et les risques de dérive.
I. MECANISME DE COLLECTE FONDE SUR L’INTERCONNEXION DES DONNEES
Contrairement au régime de 2019 qui s’appuyait sur un texte réglementaire, le mécanisme actuel s’inscrit dans un cadre législatif protecteur de rang supérieur, renforçant de la sorte les obligations des acteurs et les droits conférés aux personnes concernées.
A. Le déclenchement du traitement par l’identification de l’abonné : collecte originelle des données personnelles
Les opérations de traitement des données personnelles[1] sont déclenchées par l’identification de l’abonné, à travers la collecte de ses données personnelles au moment de l’acquisition de sa ligne téléphonique, et qui se poursuivent avec les autres activités notamment, les transfert, l’interconnexion, le contrôle du régulateur des communications électroniques, le stockage et la conservation.
1. Le rôle central du binôme SIM/IMEI
La SIM et l’IMEI, respectivement la puce et le terminal, sont les outils centraux de ce traitement, sur le fondement du décret fixant les modalités d’identification des abonnés[2], les opérateurs de téléphonie mobile sont tenus d’identifier leurs abonnés, ainsi que les équipements terminaux de la souscription à tout service de communications électroniques
a. Les supports de données personnelles du mécanisme de collecte électronique des droits et taxes de douane à l’importation des terminaux mobiles
Les supports contenant des données personnelles relatifs aux mécanismes de collecte électronique des droits et taxes de douane à l’importation des terminaux mobiles sont, pour les personnes physiques, les suivants : la Carte Nationale d’Identité, le titre de séjour, l’attestation de conformité fiscale, l’acte de naissance, le relevé d’identification bancaire, plan de situation de la résidence ou domicile habituel, l’adresse d’une part, et pour les personnes morales, l’attestation de soumission à l’organisme en charge de la sécurité sociale, en plus des supports exigés aux personnes physiques, le cas échéant, d’autre part.
b. Les contenus de données personnelles du mécanisme de collecte électronique des droits et taxes de douane à l’importation des terminaux mobiles
Les données personnelles traitées dans la cadre de la collecte électronique des droits et taxes sont notamment le nom, le prénom, le Numéro d’Identification Unique (NIU), la localisation géographique, le numéro de compte bancaire, le numéro fiscal et le numéro de sécurité sociale.
2. Les interactions entre les acteurs : un mille feuilles de législations et de réglementations
Les interactions des acteurs du nouveau mécanisme de collecte électronique des droits et taxes de douane à l’importation des terminaux mobiles font apparaître deux principales catégories d’opérations et donc d’instruments de traitements : les instruments de traitement techniques et les instruments de traitement des paiements
a. Les instruments juridiques de traitement techniques
Premièrement, il y a la loi relative à la cybersécurité et la cybercriminalité[3], qui règle la question de la sécurité des données personnelles dans l’espace du numérique, en protégeant l’intégrité, la confidentialité et la disponibilité desdites données, conformément au respect de la vie privée.
Deuxièmement, il y a la loi n°2015/006 du 20 avril 2015 modifiant et complétant certaines dispositions de la loi n°2010/013 du 21 décembre 2010 régissant les communications électroniques au Cameroun, laquelle est le fondement du décret fixant les modalités d’identification des abonnés
Troisièmement, il y a la loi relative aux archives[4], dont l’utilité est très pertinente dans le cadre du stockage et la conservation des données, y compris les données électroniques, publiques et privées, dans la mesure où la conservation des données personnelles relève de l’une ou plusieurs de ces catégories.
Quatrièmement, il y a la loi de finances 2024, notamment en ce qui concerne l’Attestation de conformité fiscale[5] exigée aux importateurs de terminaux mobiles.
Cinquièmement, les lois sur l’état civil[6] et les dispositions concernant la délivrance de l’Attestation de Conformité Sociale[7].
b. Les instruments juridiques de traitement des paiements
Pour ce qui est des instruments juridiques de traitement des données personnelles de paiement, l’on peut citer le Règlement de la CEMAC[8], qui prescrit l’identification du consommateur sur la base d’un document officiel présenté par ce dernier. Ledit instrument prescrit la collecte, l’enregistrement, le traitement, le stockage et le partage des données personnelles des consommateurs. Il interdit aux établissements assujettis de collecter, conserver, traiter ou diffuser les données sensibles des consommateurs. Enfin, les mêmes assujettis doivent observer une obligation d’intégrité, de confidentialité et de disponibilité des informations couvertes par le secret bancaire.
En second lieu, la loi sur le secret bancaire[9], qui permet la collecte d’informations bancaires nominatives, lesquelles sont des données personnelles. Ledit secret bancaire induit une obligation de confidentialité pour les informations concernant les clients. Enfin, ledit secret bancaire est non opposable aux services de douane.
B. Le renforcement du cadre légal : l’avenue de la loi de 2024
Le cadre préexistant aux lois de 2024 notamment celle relative à la protection des données personnelles, et celle relative aux archives, peut être qualifié d’anorexique et a minima, au regard de son caractère éparse et peu profond. Ce que n’est pas le double nouveau régime actuel qui apporte un nouveau paradigme pour le traitement des données personnelles.
1. L’insuffisance du cadre préexistant : une protection anorexique et incomplète des données personnelles
Le cadre préexistant de protection des données personnelles est incomplet pour assurer efficacement le nouveau mécanisme de collecte électronique des droits et taxes de douane à l’importation des terminaux mobiles.
a. L’incomplétude du cadre préexistant de protection des données personnelles
Le cadre préexistant de protection des données personnelles brille par son incomplétude et son caractère anorexique. Seules certaines règles sont mentionnées et effleurées comme l’obligation de confidentialité, d’intégrité et de disponibilité, la finalité, la durée de conservation, le droit d’accès et de rectification, etc. En revanche, la qualification des acteurs, conformément au système de la protection des données personnelles, n’existe pas, comme bien d’autres éléments et critères. En définitive, le cadre préexistant manque d’âme et de substance.
b. La multitude de régulateurs
Le cadre préexistant de protection des données personnelles met en présence une multitude de régulateurs. Ainsi, peuvent être mis en concurrence l’Agence d’Investigation Financière, la Commission, la Commission Bancaire, l’Agence de Régulation des Télécommunications, l’Agence Nationale des Technologies de l’Information et de la Communication, les Archives Nationales, la Caisse Nationale de Prévoyance Sociale, le Bureau National de l’État Civil, etc.
2. L’apport du nouveau régime : un nouveau paradigme pour le traitement des données
La loi de 2024 relative à la protection des données personnelles est de type omnibus[10] dans le jargon des systèmes de protection des données personnelles car elles incluent toutes les catégories de données et de traitements en principe, y compris celles regardant toutes les opérations effectuées dans le cadre du nouveau mécanisme de collecte électronique des droits et taxes de douane à l’importation des terminaux mobiles.
a. La clarification des principes, obligations, droits de l’utilisateur des terminaux
La loi de 2024 relative à la protection des données personnelles apporte la clarification pour ce qui concerne les bases légales, le respect d’une obligation légale à laquelle le responsable du traitement est soumis[11], et les principes du traitement des données personnelles. De même, la qualification par les interactions et les rôles des acteurs des traitements de données sont déterminées clairement. En outre, leurs obligations sont détaillées et distribuées de façon précise, de sorte que même dans des situations de fait, il est possible de déterminer la qualification de chacun des acteurs au regard de la nature et de l’impact de ses actes dans le processus de traitement des données personnelles. Enfin, un ensemble de droits sont conférés à la personne concernée, qui est en même temps utilisatrice des terminaux mobiles et redevable légal d’exception ou accessoire auprès des services douaniers.
b. L’unification de la régulation : l’Autorité de protection des données comme chef de file
Le nouveau mécanisme de collecte électronique des droits et taxes de douane à l’importation des terminaux mobiles, met en présence de nombreuses institutions régulatrices. Or, avec la loi relative à la protection des données personnelles et son caractère omnibus, l’Autorité de protection des données à caractère personnel endosse le statut de régulateur unique ou, du moins le statut de régulateur chef de file.
L’hypothèse de l’Autorité de protection des données personnelles comme régulateur unique : le cas de l’absence de plusieurs de régulateurs
L’Autorité de protection des données à caractère personnel peut être le régulateur unique des traitements des données personnelles. A ce titre, les autres régulateurs sectoriels s’effacent devant elle, y compris dans le cadre du nouveau mécanisme de collecte électronique des droits et taxes de douane à l’importation des terminaux mobiles. Ce cas est difficilement applicable au cas du Cameroun à cause de certaines exclusions contenues dans la loi de 2024 relative à la protection des données personnelles, et des sanctions spécifiques en vigueur dans les différents instruments juridiques en présence.
L’hypothèse de l’Autorité de protection des données personnelles comme régulateur chef de file : le cas de la présence de plusieurs régulateurs
L’Autorité de protection des données à caractère personnel peut être, à tout le moins, le chef de file des autres régulateurs c’est-à-dire l’autorité nationale de protection des données qui devient l’interlocuteur unique pour les acteurs intervenant dans la collecte électronique des droits et taxes de douane à l’importation des terminaux mobiles. Une telle approche est particulièrement pertinente lorsqu’on est en présence de régulateurs qui ont des prérogatives exclusives.
C’est dans ce sens que l’on devrait prendre en compte les exclusions indiquées dans la loi de 2024 relative à la protection des données personnelles[12]. Autrement dit, l’attribution exclusive des prérogatives au profit d’institutions autres que l’Autorité de protection des données à caractère personnel, ou l’exclusion explicite de certaines prérogatives de l’empire de ladite Autorité de protection, devrait donner lieu, non pas à un passage en force de cette dernière mais une coopération intelligente et consensuelle avec les autres régulateurs.
Par exemple, l’article 3 de la loi de 2024 relative à la protection des données personnelles exclut de son empire des copies temporaires de données personnelles faites dans le cadre des activités techniques de transmission et de fourniture d’accès utilisant un réseau de communication en vue du stockage intermédiaire et transitoire desdites données, une telle exclusion de la loi relative à la protection des données personnelles semble implicitement et exclusivement attribuer la compétence de régulation à l’Agence de Régulation des Télécommunications et/ou aux Archives Nationales en raison des questions de stockage des données personnelles. Il en est de même de l’exclusion des traitements aux seules fins littéraires ou artistiques, archivistiques dans l’intérêt public, de recherche scientifique ou historique, statistique ou de journalisme, dont le champ de compétence touche à la fois les Archives Nationales et le Conseil National de la Communication, régulateurs desdits domaines. Enfin, il y a les articles 4 et 5 de ladite loi de protection des données personnelles qui lui enlèvent la compétence sur les traitements de données effectuées par les autorités compétentes en matière de sécurité et de défense, de santé, de justice et d’état civil, et qui, de manière implicite, désignent un ou plusieurs autres régulateurs possibles, à l’instar du Bureau National de l’Etat civil pour le cas l’état civil par exemple.
II. CERTITUDES : UN RENFORCEMENT THEORIQUE DE LA PROTECTION DES ACTEURS DU DISPOSITIF DE COLLECTE ELECTRONIQUE DES DROITS ET TAXES
La loi relative à la protection des données personnelles apporte un certain nombre de garanties aux acteurs du nouveau mécanisme de collecte électronique des droits et taxes de douane à l’importation des terminaux mobiles, en ce qui concerne notamment la qualification, les obligations et les responsabilités nouvelles pesant sur les acteurs dudit mécanisme.
A. La qualification et les obligations nouvelles pesant sur les acteurs du mécanisme de collecte électronique des taxes et droits de douane
Pour établir la qualification et les obligations nouvelles pesant sur les acteurs du mécanisme de collecte électronique des droits et taxes de douane à l’importation des terminaux mobiles, le fondement est désormais la loi de 2024, induisant dès lors automatiquement les obligations et les droits qui vont avec.
1. La qualification des acteurs : responsables de traitement, sous-traitants et personnes concernées[13]
Au regard de la protection des données personnelles, les acteurs sont le responsable de traitement, les sous-traitants et les personnes concernées. Leur qualification repose tantôt sur les dispositions juridiques, tantôt sur leurs interactions factuelles.
a. La distribution de jure des qualifications des intervenants : cas de détermination des rôles dans des instruments juridiques
Les intervenants dans le nouveau mécanisme de collecte électronique des droits et taxes de douane à l’importation des terminaux mobiles, sont les suivants : les services douaniers et éventuellement leur(s) délégataire(s), le redevable soit l’importateur soit l’utilisateur du terminal mobile, les banques et services de paiement, et les opérateurs de téléphonie mobile. Cette sémantique est différente dans la protection des données personnelles.
La distribution des rôles dans le mécanisme de collecte électronique des droits et taxes de douane à l’importation des terminaux mobiles
Dans le cadre du dispositif de collecte électronique des droits et taxes de douane à l’importation des terminaux mobiles, les rôles sont distribués. Premièrement, le service de douane détermine les modalités et les interactions entre les acteurs au regard des bases de données dont chacun de ces acteurs devrait disposer. Ce rôle peut aussi être joué par le délégataire du service de douane, le cas échéant. Deuxièmement, l’importateur, redevable légal de principe ou principal transmet les données en sa possession, données techniques de l’IMEI de l’appareil et ses données personnelles contenues, entre autres, dans son Attestation de conformité fiscale et l’Attestation de soumission de la CNPS. L’utilisateur, détenteur ou propriétaire du terminal mobile est le redevable légal d’exception ou accessoire. Le service de paiement est chargé d’organiser le paiement des droits et taxes de douane exigibles, en traitant les données personnelles à la fois du redevable principal et du redevable accessoire : mobile money, monnaie électronique, cartes bancaires, virement bancaire, etc. Les opérateurs de téléphonie ont pour rôle de bloquer et débloquer les téléphones en cas de non-paiement des droits et taxes de douane.
La distribution des rôles au titre de la protection des données personnelles
Dans le cadre de la protection des données personnelles, la distribution des rôles et des statuts met en exergue trois rôles : responsable de traitement, sous-traitant et personne concernée.
Au sens du système de la protection des données personnelles, le responsable du traitement ou le responsable conjoint du traitement, est la personne physique ou morale qui, soit seule soit conjointement, collecte et traite des données personnelles et en détermine les moyens et les finalités. Le sous-traitant est toute personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement ou le responsable conjoint du traitement, et sous ses instructions. La personne concernée est toute personne dont les données à caractère personnel font l’objet d’un traitement.
b. Les techniques de qualification in concreto des acteurs du traitement : cas de non-détermination de la qualité dans les instruments juridiques
Au regard de sa nature omnibus, la loi relative à la protection des données personnelles garde un caractère général et se garde d’empiéter les espaces sectoriels de traitements de données personnelles. Il en résulte une certaine difficulté à qualifier d’emblée les acteurs, en cas de silence des textes sectoriels et d’absence d’instrument contractuel : comme c’est le cas avec le mécanisme de collecte électronique. La solution réside dans les techniques de qualification de facto des acteurs notamment la qualification juridictionnelle et la qualification indicielle.
La technique de qualification juridictionnelle des acteurs du traitement
La qualification du responsable du traitement. Sur le plan juridictionnel, est qualifiée responsable du traitement, le délégataire, la banque ou le service de paiement, l’opérateur de téléphonie qui : soit procède aux traitements à des fins personnelles, en créant d’autres services, sans aucune instruction en ce sens, ou sans que la personne qui donne l’instruction en ait connaissance ; soit détermine de manière indépendante les finalités et les moyens du traitement nécessaires pour fournir le service ; soit reçoit des demandes d’exercice de droit, communique aux moteurs de recherche, ou prend des mesures techniques et organisationnelles appropriées pour informer le redevable ou l’opérateur de téléphonie de qui il a obtenu les données personnelles considérées.
La qualification du responsable conjoint du traitement. La qualité de responsable conjoint du traitement est reconnue de facto lorsque le délégataire, la banque ou le service de paiement, l’opérateur de téléphonie : soit prend des décisions communes au regard des finalités et des moyens du traitement de manière générale, de manière particulière, et rédige des documents clés tels qu’une directive relative à la gestion des données personnelles ; soit réalise des formations auprès du personnel ; soit signe des contrats avec plusieurs entités tierces fournissant des outils essentiels au fonctionnement du service ; soit gère des conséquences de la violation de données personnelles ; soit prend des décisions convergentes, complémentaires et nécessaires ayant un impact significatif sur la détermination des finalités et des moyens du traitement, administre à des degrés divers un dispositif de traitement de données à caractère personnel avec des responsabilités non équivalentes, ou procède à des opérations de cloud computing.
La technique indicielle de qualification des acteurs du traitement
La qualification indicielle du responsable du traitement. L’on peut recourir à plusieurs indices pour identifier le responsable et le responsable conjoint du traitement. Sur la base de l’indice de la transparence, le responsable du traitement est le délégataire, la banque ou le service de paiement, l’opérateur de téléphonie qui se présente sous son propre nom. Sur la base de l’indice du niveau d’instruction, le responsable du traitement est le délégataire, la banque ou le service de paiement, l’opérateur de téléphonie qui a le droit de donner des directives et instructions générales, en laissant expressément une grande autonomie à l’autre partie. Sur la base de l’indice du niveau de contrôle, est qualifié de responsable du traitement, le délégataire, la banque ou le service de paiement, l’opérateur de téléphonie qui ne s’intéresse pas à la façon dont le prestataire réalise ses prestations et laisse ce dernier libre d’utiliser les données comme bon lui semble. Enfin, sur la base de l’indice de l’expertise, est responsable du traitement, le délégataire, la banque ou le service de paiement, l’opérateur de téléphonie qui impose et ne peut modifier les outils car, le client n’a pas de compétences ou l’outil ne fait pas l’objet d’un développement spécifique.
La qualification du sous-traitant sur la base d’indices
Sur le plan factuel, le sous-traitant est le délégataire, la banque ou le service de paiement, l’opérateur de téléphonie qui n’a pas de pouvoir de décision ou qui ne décide que des aspects pratiques de la mise en œuvre du traitement à l’instar du choix du matériel ou du logiciel, du choix des mesures de sécurité concrètes, etc.
Sous les indices respectivement de la transparence, du niveau d’instruction, du niveau de contrôle et de liberté, ainsi que de l’expertise, est qualifié de sous-traitant, le délégataire, la banque ou le service de paiement, l’opérateur de téléphonie qui se présente sous le nom de son partenaire, travaille sous des instructions et directives très précises, est audité et rend régulièrement des comptes, et utilise l’infrastructure technique de l’autre pour réaliser sa prestation.
En dehors d’une telle posture, ou en s’affranchissant des règles et des prérogatives déterminées, sous le prisme d’un instrument contractuel, le sous-traitant devient responsable du traitement de fait.
Eu égard à ce qui précède, les obligations des acteurs découlent de leurs qualifications, que ces dernières soient de jure ou de facto.
2. Les obligations des acteurs intervenant dans le nouveau mécanisme de collecte électronique des droits et taxes de douane à l’importation des terminaux mobiles
Au titre de la protection des données personnelles, les obligations du délégataire, de la banque ou le service de paiement, de l’opérateur de téléphonie, intervenant dans le nouveau mécanisme de collecte électronique des droits et taxes de douane à l’importation des terminaux mobiles, sont celles découlant de la codification établie dans la loi relative à la protection des données personnelles, en combinaison avec les instruments juridiques connexes.
a. Le respect des principes de traitement des données personnelles collectées et traitées
La loi relative à la protection des données personnelles pose un certain nombre de principes qui ne pourraient être ignorés dans les opérations relatives au nouveau mécanisme de collecte électronique des droits et taxes de douane à l’importation des terminaux mobiles.
Le principe du respect de la vie privée. Le respect de la vie privée est le principe maître du traitement. Il est dépositaire de l’esprit, de l’objet, de l’objectif et de la raison d’être d’une législation de protection des données personnelles.
Le respect de la dignité de l’être humain et des libertés humaines. Le principe de respect de la dignité de l’être humain et des libertés humaines de la dignité humaine, couvre le respect de la dignité et de l’identité humaines, le respect des libertés individuelles et collectives, et le respect des droits humains.
Le principe de non-discrimination. Le principe de non-discrimination prescrit à tout acteur du traitement de ne pas tenir compte de la classe sociale, de l’origine ethnique ou régionale, de l’appartenance syndicale, de l’opinion politique ou de la conviction religieuse de la personne concernée.
Le principe de licéité. Le principe de licéité du traitement signifie qu’un traitement ne peut être mis en œuvre que s’il est fondé sur l’une des bases légales retenues à cet effet. Il est question, d’exigence de licéité et de probité, d’une part, et d’exigence de licéité, de loyauté et d’absence de fraude, d’autre part : ces notions recouvrent la même réalité.
Le principe de finalité. La finalité déterminée est le principe qui gouverne le cycle de vie opérationnelle de la donnée personnelle. En exigeant que les données personnelles soient traitées pour une finalité précisément définie, légitime, explicite, et compatible, le législateur pose les fondements de la gestion et de la conservation des données personnelles. Les finalités ultérieures compatibles peuvent être de principe, faisceau d’indices, consensuelles et/ou impératives.
Le principe d’exactitude. Le principe d’exactitude exige des données personnelles d’être exactes, mises à jour, pour respecter les finalités préalablement déterminées. Cela induit la possibilité offerte à la personne concernée de compléter, fiabiliser, tenir à jour, corriger ou demander l’effacement de ses données incomplètes ou inexactes, le cas échéant.
Le principe de transparence. Le principe de transparence est intimement lié aux exigences d’information et de clarté. Il en ressort que les personnes concernées doivent être informées de toutes les modalités entourant le traitement de leurs données personnelles.
Le principe de sécurité. Le principe de sécurité recouvre la garantie de la confidentialité, la confidentialité et la protection, ainsi que les garanties suffisantes et le respect des mesures de sécurité, l’existence et l’effectivité du principe de sécurité sont les véritables protectrices de la vie privée et des données personnelles.
Le principe de minimisation. Le principe de minimisation commande que seules les données strictement nécessaires pour atteindre la finalité, peuvent être collectées et traitées. Ce principe appelle l’adéquacité, la pertinence et la limitation des données et des traitements avec la finalité.
Le principe de conservation. Pour le principe de conservation, les données personnelles doivent être conservées jusqu’à l’atteinte de la finalité pour laquelle elles ont été collectées et sont traitées. Le principe de conservation crée une extension vers la législation relative aux archives.
Le principe de respect des droits de la personne concernée. Premièrement, le principe de respect des droits des personnes concernées énonce que les personnes concernées ont des droits. Deuxièmement, ce principe garantit aux personnes concernées la maîtrise desdits droits. Troisièmement, ledit principe permet aux personnes concernées d’exercer leurs droits.
b. Le respect des obligations et des droits : la gestion des droits des personnes concernées
Le respect obligations des acteurs et des droits des personnes concernées englobe la gestion des droits des personnes concernées.
L’étendue des personnes concernées
Dans le présent cas, les personnes concernées sont les redevables, dont les données personnelles sont collectées et traitées.
La nomenclature des droits conférés aux personnes concernées
De nombreux droits sont conférés aux redevables dans le cadre des opérations de collecte électronique des droits et taxes de douane à l’importation des terminaux mobiles.
Le droit d’information et communication au redevable. Il y a le droit à l’information soit donnée unilatéralement soit demandée par le redevable. Le débiteur de cette obligation est, le service de douane et/ou son délégataire, la banque ou le service de paiement, l’opérateur de téléphonie mobile. Ce droit devrait être respecté soit au moment où les données sont collectées soit au moment où une autorisation est requise pour un traitement. Les informations à communiquer au redevable sont les suivantes : l’identité du représentant du service de douane et/ou de son délégataire, de la banque ou du service de paiement, de l’opérateur de téléphonie mobile, la base légale du traitement, la finalité du traitement, les catégories de données considérées, les destinataires auxquels les données sont susceptibles d’être communiquées, la possibilité de refuser le fichier en cause, l’existence d’un droit, et la durée de conservation des données.
Le droit d’accès aux données par la personne concernée. L’exercice du droit d’accès permet au redevable de savoir l’effectivité et les modalités de traitement de ses données personnelles. L’exercice dudit droit conduit aussi à l’obtention de la communication desdites données dans un format compréhensible.
Le droit d’opposition au traitement. Le redevable a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement de ses données personnelles.
Le droit de ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage. Le profilage consiste à utiliser les données à caractère personnel du redevable, en vue d’analyser et de prédire son comportement.
Le droit d’introduire une réclamation auprès de l’Autorité de protection des données à caractère personnel. Le droit d’introduire une réclamation auprès de l’Autorité de protection des données à caractère personnel, est normalement ouvert lorsque le service de douane et/ou son délégataire, la banque ou le service de paiement, l’opérateur de téléphonie mobile, en sa qualité de responsable du traitement, n’a pas pris en compte les observations faites par le redevable dans le cadre de l’exercice de ses droits, ou lorsque la prise en compte de l’exercice des droits du redevable n’a pas respecté les juridiques et techniques prescrites.
Le droit d’exercer ses droits. Tout redevable, dont les données ont été violées, a le droit d’exercer ses droits, soit en estant elle-même soit en se faisant représenter en justice. Dans le cadre de la facilitation de l’exercice des droits du redevable, il y a la possibilité d’engager des poursuites juridictionnelles, sur plainte d’un tiers, sur plainte de la victime, sur plainte du représentant légal de la victime. Il y a aussi la possibilité d’engager des poursuites, sur la base d’une plainte d’une association, avec possibilité de représenter la victime.
Le droit de rectification. Le droit de rectification permet de corriger les données personnelles inexactes et de compléter celles qui sont incomplètes. Il est de pratique que la rectification soit faite dans les meilleurs délais. Le droit de rectification participe au respect du principe d’exactitude et de qualité des données personnelles, lequel principe s’impose au service de douane et/ou son délégataire, à la banque ou le service de paiement, à l’opérateur de téléphonie mobile, lorsqu’il est responsable du traitement.
Le droit à l’effacement des données ou à l’oubli numérique. Le droit à l’effacement des données personnelles ou le droit à l’oubli numérique, est exécuté dans les cas ci-après : les données ne sont plus nécessaires au regard des finalités de leur collecte, le redevable retire son consentement au traitement de ses données personnelles, le redevable s’oppose au traitement, le traitement est illicite, ou alors les données personnelles doivent être effacées pour respecter une obligation légale.
Le droit à la détermination des directives de traitement post mortem. Tout redevable peut définir les directives de traitement post-mortem de ses données personnelles. Il s’agit de cesser le traitement dès la constatation du décès. Lesdites directives déterminent la manière dont le redevable voudrait que soient exercés, après son décès, les droits dont il est titulaire concernant ses données personnelles.
Le droit à la limitation du traitement. Le droit à la limitation du traitement est une alternative à la demande de suppression des données personnelles. Ce droit est utilisé lorsque le redevable conteste l’exactitude de ses données personnelles, la façon dont ses données personnelles sont traitées, et qu’il souhaite que lesdites données soient supprimées.
Le droit à la portabilité. Les objectifs du droit à la portabilité des données personnelles sont les suivants : permettre au redevable de gérer ses données personnelles ; faciliter la libre circulation des données personnelles ; récupérer les données personnelles fournies au service de douane et/ou son délégataire, à la banque ou au service de paiement, à l’opérateur de téléphonie mobile ; transmettre les données personnelles à un nouveau délégataire, banque ou service de paiement, opérateur de téléphonie mobile.
B. La responsabilité des acteurs : déterminants, critères et garants de l’effectivité des recours et sanctions en cas de violation des données personnelles
Le cadre du nouveau mécanisme de collecte électronique des droits et taxes de douane à l’importation des terminaux mobiles présente toutes les caractéristiques d’une automatisation complexe des traitements. Les déterminants, la distribution, les critères et les garants de la responsabilité des acteurs reposent à la fois sur leurs qualifications de facto et de jure et leurs interactions opérationnelles.
1. Les déterminants et les critères de distribution de la responsabilité des acteurs
Les déterminants de la responsabilité des acteurs concernent la révélation de leur qualification, tandis que les critères de distribution de la responsabilité des acteurs concernent le terrain et le degré d’implication de ces derniers.
a. Les déterminants de la responsabilité des acteurs : la qualification prima facie
La qualification des acteurs du nouveau mécanisme de collecte électronique des droits et taxes de douane à l’importation des terminaux mobiles, va dépendre de la combinaison et du rapprochement de leurs actions et interactions, sur la base des définitions établies par la loi de 2024 relative à la protection des données personnelles.
Les probables responsables du traitement. Au regard des positions et des interactions, et de la nécessité pour de déterminer les moyens et les finalités des traitements, le service de douanes et son délégataire, le cas échéant, devront assumer le statut soit de responsables du traitement soit de responsables conjoints du traitement.
Les probables sous-traitants. Au rang de sous-traitants, il est fort probable que le délégataire du service de douane, dans le cas où il ne détermine ni les moyens ni les finalités du traitement, ainsi que l’importateur, la banque ou le service de paiement, et l’opérateur de téléphonie ne gardent que la qualité de sous-traitant. Parce que leur intervention se fera pour le compte et sous les instructions du service de douane et/ou son délégataire.
Les personnes concernées. Le redevable a la qualité de la personne concernée.
b. Les critères de distribution de la responsabilité : la qualification ultima facie
La qualification ultima facie va dépendre du terrain de l’implication et du degré d’implication des acteurs, lesquels correspondent aux qualifications in concreto.
L’acquisition finale de la qualité de responsable du traitement. Dans le cas où le délégataire, la banque ou le service de paiement, ou l’opérateur de téléphonie, originellement sous-traitant, déborde de son champ d’action et de ses prérogatives normales, y compris dans le cas où il est dépositaire de la solution logicielle, sa responsabilité ne pourra plus se limiter à la sous-traitance et va basculer à la responsabilité du traitement.
L’acquisition de la qualité de sous-traitant. Le service de douane, le délégataire, la banque ou le service de paiement, ou l’opérateur de téléphonie mobile dont les prérogatives sont récupérées et exercées par l’un quelconque des acteurs pourrait logiquement être qualifié de sous-traitant.
La responsabilité in solidum. Il n’est pas possible, de prime abord, d’évoquer le déséquilibre dans les missions et les prérogatives partagées par le service de douane et/ou son délégataire, la banque ou le service de paiement, ou l’opérateur de téléphonie mobile. Néanmoins, il y a le principe la responsabilité in solidum.
2. Les garants de la responsabilité des acteurs : régulateurs et juridictions
Les garants de la responsabilité des acteurs sont le/les régulateur(s), les juridictions étatiques et les instances alternatives de règlement de différends.
a. Le ou les régulateur(s)
Le régulateur principal est l’Autorité de protection des données à caractère personnel, laquelle peut prononcer une ou plusieurs sanctions administratives notamment l’astreinte sur mise en demeure, la suspension de l’activité, le retrait de l’autorisation, l’interdiction d’exercer toute activité de traitement des données à caractère personnel, ainsi que l’amende administrative. Elle a été instituée dans la loi relative à la protection des données personnelles[14], bien que sa création, son organisation et son fonctionnement restent attendues.
Nonobstant, les autres régulateurs, pour autant qu’ils sont compétents, peuvent exercer leurs missions de contrôle et établir la responsabilité des acteurs, en tant que de besoin.
b. Les juridictions administratives, civiles et pénales, et les instances
