Depuis 2025, le paysage normatif camerounais a changé de nature : le pays s'est doté d'une loi dédiée à la protection des données personnelles (loi n°2024/017 du 23 décembre 2024), a dévoilé sa Stratégie nationale d'intelligence artificielle (SNIA) le 7 juillet 2025, et évolue désormais dans le sillage de la Stratégie continentale de l'Union africaine sur l'IA, adoptée à Accra en juillet 2024. Parallèlement, l'AI Act européen est entré en application progressive depuis le 1ᵉʳ août 2024, projetant son extraterritorialité sur tout opérateur camerounais qui exporte ou déploie des systèmes d'IA dans l'Union européenne.

Le cadre est donc en pleine recomposition, mais il reste lacunaire. Cet article cartographie ce qui existe, identifie ce qui manque, et propose une lecture critique des frictions juridiques que l'IA fait remonter dans le système camerounais.

1. Un cadre normatif en cours d'assemblage, sans loi spécifique sur l'IA

Aucun texte camerounais ne régit aujourd'hui spécifiquement les systèmes d'intelligence artificielle. Le dispositif applicable se reconstitue par addition de textes connexes :

• La loi n°2010/012 du 21 décembre 2010 relative à la cybersécurité et à la cybercriminalité, qui pose le régime de la preuve numérique, de la cryptographie et des infractions liées aux TIC. Ce texte a fait l'objet en mai 2024 d'un examen approfondi conjoint MINPOSTEL/Conseil de l'Europe dans le cadre du projet GLACY-e, débouchant sur des recommandations de réforme. Plusieurs avant-projets sont en préparation pour moderniser ce socle.

• La loi n°2024/017 du 23 décembre 2024 relative à la protection des données à caractère personnel, qui, combinée à l'IA, devient le principal point d'ancrage de la conformité algorithmique. Sa mise en application effective interviendra après le 23 juin 2026, laissant aux opérateurs un délai de transition désormais réduit.

• La Convention de l'Union africaine sur la cybersécurité et la protection des données à caractère personnel (dite Convention de Malabo), entrée en vigueur en 2023 après la ratification mauritanienne. Elle constitue le cadre régional de référence, malgré ses lacunes documentées sur les technologies émergentes.

• Les textes sectoriels et de droit commun : Code civil (responsabilité du fait des choses, des produits défectueux), Code pénal, Accord de Bangui révisé pour les questions de propriété intellectuelle (OAPI), réglementations CEMAC en matière bancaire et financière.

Le gouvernement a par ailleurs annoncé en juin 2024 la mise en place d'une sandbox réglementaire destinée à permettre aux startups d'expérimenter des solutions d'IA dans un environnement allégé. Six avant-projets de lois et huit projets de décrets sont en cours de préparation pour structurer le droit du numérique camerounais, sans qu'aucun ne porte spécifiquement sur l'IA à ce stade.

L'enjeu, pour les juristes et les responsables conformité, n'est donc pas de chercher une « loi sur l'IA » qui n'existe pas, mais d'identifier comment chaque système algorithmique est saisi par cet ensemble de textes existants, et où sont les zones d'angle mort.

2. La SNIA 2040 : sept piliers, des objectifs chiffrés, peu de droit

Présentée le 7 juillet 2025 par la ministre des Postes et Télécommunications, Minette Libom Li Likeng, à l'occasion de la 2ᵉ édition des Concertations nationales sur l'intelligence artificielle (CONIA), la Stratégie nationale d'intelligence artificielle s'inscrit dans une vision à l'horizon 2040. Elle s'articule autour de sept piliers : gouvernance et cadre éthique, données et infrastructures, IA multilingue et inclusive (avec le projet d'un modèle de langage local, le « GPT Cameroun »), infrastructure technologique souveraine (quinze nœuds régionaux d'Edge Computing alimentés par micro-réseaux solaires), formation et recherche, innovation et cas d'usage sectoriels, et coopération régionale.

Les objectifs chiffrés sont ambitieux : 60 000 spécialistes formés d'ici 2040, dont 40 % de femmes, 12 000 emplois directs, 12 solutions souveraines à fort impact, et une contribution de l'IA au PIB estimée entre 0,8 % et 1,2 %. Cinq centres d'excellence en IA sont prévus, avec un objectif de 4 000 personnes formées par an.

Mais une stratégie n'est pas un cadre juridique. La SNIA fixe des objectifs de politique publique ; elle ne crée ni droits, ni obligations, ni mécanismes de recours. Trois angles morts ressortent à la lecture :

Le pilier « gouvernance et cadre éthique » reste programmatique. Aucune disposition contraignante n'est envisagée à court terme pour encadrer l'évaluation des risques, l'audit algorithmique, ou la responsabilité des fournisseurs et déployeurs de systèmes d'IA. La promesse d'une sandbox réglementaire est positive pour l'innovation, mais une sandbox ne peut fonctionner sans un référentiel normatif de sortie clairement défini.

La souveraineté de la donnée est posée sans articulation avec la loi de décembre 2024. Le déploiement annoncé de quinze nœuds Edge Computing, l'objectif d'un GPT camerounais et la collecte de données vocales pour les langues nationales soulèvent des questions immédiates de licéité du traitement, de bases légales (article 6 de la loi 2024/017), de protection des données sensibles (catégories particulières), et de transferts hors territoire, toutes traitées par la loi de protection des données mais absentes du document stratégique.

La place du juge et du citoyen face à l'algorithme n'est pas abordée. L'IA est présentée comme outil sectoriel (santé, agriculture, éducation, justice). Mais lorsqu'un système d'IA prendra une décision affectant les droits d'un citoyen camerounais, refus d'un crédit bancaire, attribution d'une prestation sociale, décision juridictionnelle assistée, quelles seront les obligations de transparence, de motivation, de contestation ? La SNIA ne le dit pas.

3. Les frictions juridiques que l'IA fait remonter dans le droit existant

3.1. Protection des données personnelles : le test grandeur nature de la loi 2024/017

La loi n°2024/017 s'inspire largement du modèle posé par le RGPD européen : licéité, loyauté et transparence du traitement, consentement comme base légale principale, droits d'accès, de rectification, d'opposition et d'effacement, obligations de sécurité, encadrement des transferts hors territoire. Elle s'applique à toute entreprise qui traite des données de personnes établies, résidant ou en transit au Cameroun, indépendamment du lieu d'implantation du responsable de traitement.

L'IA met cette loi à l'épreuve sur cinq points :

1. L'entraînement des modèles. La constitution d'un jeu de données massif, qu'il s'agisse de scraping, de partenariats de licence ou de collecte directe, implique presque toujours des données personnelles. La base légale doit être identifiée ex ante. Le consentement, base légale par défaut au Cameroun, est en pratique très peu adapté à l'entraînement de modèles fondationnels.

2. Les décisions automatisées. Le RGPD encadre strictement les décisions individuelles automatisées (article 22). La loi camerounaise pose un principe analogue mais sans outillage procédural équivalent — pas d'AIPD obligatoire, pas d'analyse d'impact sur les droits fondamentaux, pas d'obligation de fournir d'explications sur la logique sous-jacente.

3. Les transferts internationaux. L'IA générative s'appuie majoritairement sur des infrastructures localisées hors d'Afrique (Europe, États-Unis). Tout déploiement d'un service d'IA grand public au Cameroun implique de qualifier ces flux et de mobiliser un mécanisme de transfert licite.

4. La désignation d'un délégué à la protection des données. Pour les opérateurs traitant des données à grande échelle, ce qui est par construction le cas dès qu'on déploie un système d'IA — la désignation d'un DPO devient en pratique une nécessité.

5. Le régulateur. La loi institue une Autorité de Protection des Données dont la mise en place opérationnelle conditionne toute la chaîne de conformité. Maathis a consacré un article distinct à cette urgence institutionnelle.

3.2. Responsabilité civile et pénale : un vide qui dure

La question, qui est responsable quand un système d'IA cause un dommage ? n'a aucune réponse spécifique en droit camerounais. Les mécanismes mobilisables relèvent du droit commun :

• La responsabilité du fait des choses (Code civil applicable au Cameroun) implique d'identifier un « gardien » ; or un système d'IA distribué entre fournisseur, intégrateur, déployeur et utilisateur dilue cette qualification.

• La responsabilité du fait des produits défectueux suppose un défaut prouvable, ce qui est complexe pour un système probabiliste apprenant.

• La responsabilité contractuelle dépend des stipulations, lesquelles tendent à être déséquilibrées au profit du fournisseur dans les contrats de licence d'IA.

• La responsabilité pénale suppose un élément intentionnel ou une faute caractérisée, difficile à imputer à un algorithme.

L'Union européenne a tenté de clarifier ce paysage avec une proposition de directive sur la responsabilité en matière d'IA (retirée en février 2025) et l'AI Act qui impose des obligations ex ante. Le Cameroun gagnerait à anticiper ce débat plutôt que de le subir au coup par coup en jurisprudence.

3.3. Discrimination algorithmique : un sujet non encore juridicisé

L'article 26 de la Constitution et la loi n°2010/012 garantissent la non-discrimination et la dignité humaine. Mais aucun texte camerounais ne définit la discrimination algorithmique, ne pose d'obligation de tests d'équité, ni n'organise la charge de la preuve dans un contentieux où la victime n'a aucun accès au modèle. Or les biais sont avérés dans les domaines où l'IA s'installe au Cameroun : scoring de crédit, ciblage publicitaire, recrutement, services publics.

L'AI Act européen, dans son annexe III, classe ces usages comme « à haut risque » et impose des obligations de gouvernance des données d'entraînement, de documentation et de supervision humaine. Le droit camerounais ne dispose à ce jour d'aucun équivalent.

3.4. Propriété intellectuelle et IA générative : l'enjeu OAPI

L'Accord de Bangui révisé, applicable au Cameroun via l'Organisation africaine de la propriété intellectuelle (OAPI), ne traite ni de la titularité des œuvres générées par IA, ni du statut des données d'entraînement au regard du droit d'auteur. Deux questions vont rapidement remonter au contentieux :

• La protection des outputs. Une œuvre générée par IA peut-elle bénéficier de la protection du droit d'auteur ? Le critère de l'originalité, entendu comme l'empreinte de la personnalité de l'auteur, semble exclure la titularité d'une IA, mais l'utilisateur prompteur peut-il revendiquer une protection ?

• La licéité des inputs. L'entraînement sur des œuvres protégées sans autorisation soulève une question d'exception ou de licence, débat tranché en partie par l'AI Act (article 53) qui impose aux fournisseurs de modèles d'usage général une politique de respect du droit d'auteur. Le droit OAPI n'a pas encore de réponse explicite.

3.5. Deepfakes, désinformation, fraude documentaire

La loi n°2010/012 réprime déjà la propagation de fausses nouvelles (article 78-1) et l'atteinte à l'honneur en ligne. Elle peut donc absorber une partie du contentieux deepfake, mais sans les outils techniques (obligation d'étiquetage des contenus synthétiques, watermarking, traçabilité) que l'AI Act impose à compter d'août 2026 dans son article 50. Là encore, la dissymétrie est structurelle.

4. L'extraterritorialité de l'AI Act : une contrainte directe pour les acteurs camerounais

Le règlement (UE) 2024/1689, l'AI Act s'applique à tout fournisseur ou déployeur de systèmes d'IA dont les outputs sont utilisés dans l'Union européenne, indépendamment du lieu d'établissement. Pour les opérateurs camerounais, cela signifie concrètement :

• Une startup camerounaise qui propose un service d'IA accessible à des utilisateurs européens entre dans le champ ;

• Un cabinet d'avocats ou un éditeur de SaaS qui sert des clients européens via un système d'IA est concerné ;

• Une entreprise camerounaise filiale d'un groupe européen voit la conformité AI Act remonter par contrat.

Les obligations diffèrent selon le niveau de risque : pratiques interdites (depuis février 2025), systèmes à haut risque (août 2026), modèles d'usage général (depuis août 2025), obligations de transparence pour les contenus générés par IA (août 2026). En pratique, les entreprises camerounaises qui ambitionnent un marché européen doivent déjà construire leur architecture conformité sur le double standard, loi 2024/017 + AI Act, quitte à être plus exigeantes que ce que le droit camerounais leur impose en interne.

C'est précisément ce double track qui constitue, à notre lecture, le levier de modernisation le plus puissant pour le tissu économique camerounais : la conformité externe entraîne la conformité interne, plus vite que le législateur national.

5. L'articulation avec la Stratégie continentale africaine sur l'IA

Adoptée à la 45ᵉ session ordinaire du Conseil exécutif de l'Union africaine à Accra les 18-19 juillet 2024, la Stratégie continentale sur l'intelligence artificielle pose un cadre commun pour le continent autour de cinq axes : maximiser les bénéfices de l'IA pour le développement, renforcer les capacités techniques et humaines, atténuer les risques, stimuler les investissements, et favoriser la coopération régionale et internationale. Elle est complétée par le Pacte numérique africain.

Le Cameroun s'inscrit dans cette dynamique sans être pour autant un précurseur. Selon l'AI Investment Potential Index 2025 publié par l'Agence française de développement, le pays se classe au stade 2 (potentiel intermédiaire), aux côtés du Togo et de l'Angola, derrière les leaders continentaux que sont l'Afrique du Sud, Maurice, le Kenya, le Ghana et le Sénégal. Le Government AI Readiness Index 2023 d'Oxford Insights le situe à la 153ᵉ place mondiale sur 193 pays, avec un score de 30,2/100.

L'enjeu, à l'échelle continentale, n'est pas tant de produire de nouveaux textes que d'opérationnaliser les cadres existants. La Convention de Malabo a mis neuf ans à entrer en vigueur ; la Stratégie continentale risque d'emprunter le même chemin si les États membres ne traduisent pas ses orientations dans le droit national. Le Cameroun, en cohérence avec sa SNIA, devra produire au minimum :

• Un texte spécifique sur l'IA à haut risque (santé, finance, justice, RH, éducation) ;

• Un dispositif de certification ou de marquage des systèmes ;

• Un mécanisme de coordination entre la future Autorité de protection des données, l'ART, l'ANTIC et le MINPOSTEL ;

• Des dispositions sur la transparence des contenus générés par IA, en lien avec le Conseil National de la Communication.

Ce qu'il faut retenir, pour les juristes et les responsables conformité

Le Cameroun n'est plus dans la phase « vide juridique » que décrivait l'article de janvier 2025. Il est entré dans une phase plus délicate : celle où coexistent une loi récente sur les données (loi 2024/017), une stratégie nationale ambitieuse mais non normative (SNIA), un cadre continental (UA) en cours d'opérationnalisation, et une régulation européenne à effet extraterritorial (AI Act).

Pour un opérateur économique au Cameroun qui développe ou déploie de l'IA, trois priorités s'imposent dès aujourd'hui :

Cartographier ses systèmes d'IA et leur niveau de risque au sens AI Act, même en l'absence d'obligation locale équivalente. C'est l'investissement de conformité qui dégage le plus de valeur sur la durée.

Construire la conformité sur la loi 2024/017 avant l'échéance du 23 juin 2026 : registre des traitements, bases légales documentées, AIPD pour les traitements à risque élevé, désignation d'un DPO, contrats avec sous-traitants, gestion des transferts internationaux.

Anticiper les obligations sectorielles que la SNIA finira par décliner, en particulier dans les secteurs prioritaires (santé, agriculture, justice, éducation, services financiers).

Pour les juristes, le terrain est ouvert. La doctrine camerounaise sur l'IA en est à ses débuts ; les premiers contentieux qui remonteront, discrimination algorithmique, responsabilité d'un système d'aide à la décision, atteinte à la vie privée par scraping, façonneront un droit qu'aucun texte ne préfigure encore. C'est à cette frontière que se construit, en ce moment, le droit camerounais de l'IA.

Suivre ce droit en train de se faire

Le droit camerounais de l'IA n'existe pas encore comme corpus autonome. Il se construit à la jonction de textes dispersés, loi 2024/017, loi 2010/012, SNIA, Convention de Malabo, AI Act européen , d'avant-projets en circulation, de positions des régulateurs sectoriels (ART, ANTIC, MINPOSTEL, future Autorité de protection des données), et d'une jurisprudence qui commence à peine à émerger. Pour un juriste, un responsable conformité ou un dirigeant qui doit décider aujourd'hui, le défi n'est pas conceptuel — il est documentaire. Trouver le bon texte, dans la bonne version, au bon moment.

C'est précisément ce que Maathis résout. La plateforme agrège la législation, la jurisprudence et la doctrine de l'ensemble des pays d'Afrique francophone, droit national camerounais, textes CEMAC, actes uniformes et jurisprudence OHADA, Convention de Malabo, instruments de l'Union africaine dans un moteur de recherche unique, mis à jour en continu et conçu pour le travail des praticiens. Vous y retrouvez la loi 2024/017 dans son intégralité, les textes de cybersécurité, de communications électroniques, les décisions des juridictions nationales et régionales, la doctrine francophone africaine, et au fur et à mesure de leur adoption, les futurs textes spécifiques à l'IA, croisés avec la jurisprudence et la doctrine afférentes.

Si vous travaillez la conformité numérique, le contentieux technologique ou la stratégie réglementaire dans cet espace, arrêtez de perdre du temps à reconstituer le corpus à la main. Créez votre compte sur Maathis, l'outil est conçu pour ceux qui n'ont pas trois heures à passer pour ouvrir un texte qui devrait s'ouvrir en trois clics.