PlaneteAfrique
Déconnexion
WS-Apps, le système de gestion de contenus adaptatif développé depuis 15 ans, conçu pour sa puissance, son efficacité et sa simplicité. Trois applications, une présence web maîtrisée :
WS-MySite! Votre présence web immédiate et professionnelle. Découvrir ce pack
WS-Webzine Pour agences de presse et éditeurs. Découvrir ce pack
WS-Ecommerce Vendez en ligne et encaissez par Mobile Money et carte bancaire. Découvrir ce pack

Réflexions sur l’inconstitutionnalité de la décision de l’ARPTC sur la procédure d’autorisation et de déclaration des traitements de données personnelles

Réflexions sur l’inconstitutionnalité de la décision de l’ARPTC sur la procédure d’autorisation et de déclaration des traitements de données personnelles

Droit-Numérique.cd, Dossier N° 11- Mai 2026


Réflexions sur l’inconstitutionnalité de la décision de l’ARPTC sur la procédure d’autorisation et de déclaration des traitements de données personnelles




Brozeck KANDOLO


Chargé d’enseignement en Master Droit de l’intelligence artificielle, ICP – Paris


Responsable du Master Droit du Numérique – Université Protestante de Lubumbashi (RDC)


Doctorant contractuel en droit du numérique – Université de Nantes


Président de Droit-Numérique.cd


Inconstitutionnalite´ de la de´cision de l’ARPTCTélécharger


RÉSUMÉ


L’adoption du Code du numérique a instauré en République démocratique du Congo, un cadre juridique en matière de protection des données à caractère personnel, fondé notamment sur un régime de déclaration et d’autorisation préalable des traitements. Dans l’attente de la mise en place effective de l’Autorité de protection des données prévue par le législateur, ces compétences sont exercées à titre provisoire par l’Autorité de Régulation de la Poste et des Télécommunications du Congo (ARPTC). C’est dans ce contexte que l’ARPTC a pris, en date du 11 septembre 2025, une décision fixant les modalités applicables aux procédures de déclaration et d’autorisation des traitements de données personnelles. Si ce texte contribue à opérationnaliser le régime congolais de protection des données, il soulève néanmoins plusieurs interrogations, notamment en ce qu’il subordonne la mise en conformité des responsables de traitement au paiement de frais administratifs susceptibles d’affecter l’effectivité de la protection d’un droit fondamental garanti par l’article 31 de la Constitution. Le présent article analyse la conformité constitutionnelle de la décision de l’ARPTC.


INTRODUCTION


La protection des données personnelles dans le Code du numérique en RDC.—  L’adoption du Code du numérique en République démocratique du Congo  « ci-après RDC »[1] a marqué une étape décisive dans l’organisation juridique de l’écosystème numérique en RDC[2]. Pour la première fois, le législateur congolais consacre un régime normatif détaillé sur la protection des données à caractère personnel[3], érigeant cette dernière en composante de la souveraineté numérique[4] et de la protection des droits fondamentaux des personnes[5]. À cet effet, le Code du numérique institue une Autorité de protection des données « ci-après APD », appelée à jouer un rôle central dans l’encadrement, le contrôle et la régulation des traitements de données personnelles[6], tant dans le secteur public que privé[7].


Transfert provisoire des attributions de l’APD à l’ARPTC.— Toutefois, la mise en œuvre de ce dispositif institutionnel a conduit dans un premier temps à une solution transitoire encore en vigueur, consistant en la transmission provisoire des attributions de l’APD à l’Autorité de Régulation de la Poste et des Télécommunications du Congo « ci-après ARPTC »[8]. Si cette démarche témoigne d’une volonté politique louable d’opérationnaliser sans délai le régime de protection des données personnelles, elle soulève néanmoins de sérieuses interrogations quant à la régularité juridique de cette délégation de compétences. Ces points ont déjà fait l’objet d’une analyse doctrinale de notre part[9], auxquelles la présente réflexion ne reviendra pas.


Le choix congolais d’un régime déclaratif et d’autorisation préalable.— Dans le Code du numérique congolais, le législateur a opté pour un régime classique de protection des données personnelles, fondé sur la déclaration préalable et l’autorisation administrative des traitements[10], fondé selon les cas[11]. Ce choix, susceptible de débat, s’écarte de l’approche dite de l’« accountability »[12], qui privilégie la responsabilisation des acteurs tout en allégeant les formalités administratives. S’il renforce le contrôle ex ante, il peut aussi affecter la fluidité de l’activité économique, la conformité opérationnelle des acteurs et l’attractivité numérique du pays. Les mécanismes ainsi institués restent par ailleurs peu éprouvés dans la pratique[13], mais leur étude détaillée dépasse le cadre de cette analyse.


Clarification des procédures administratives en matière de données personnelles par l’ARPTC.— Depuis l’entrée en vigueur du Code du numérique, les modalités concrètes de mise en œuvre des procédures de déclaration et d’autorisation demeuraient incertaines, laissant les responsables de traitement dans une zone d’insécurité juridique[14]. C’est dans ce contexte que le Collège de l’ARPTC[15] a adopté, en date du 11 septembre 2025, une décision fixant les modalités et la procédure d’examen des demandes d’autorisation et de déclaration des traitements de données à caractère personnel[16]. Cette décision, composée de quatorze (14) articles et assortie d’une annexe relative aux frais d’étude des dossiers ainsi qu’aux frais de délivrance des récépissés et des autorisations, établit les règles procédurales applicables aux entités souhaitant déclarer un traitement ou obtenir une autorisation préalable de traitement des données à caractère personnel. Le texte précise notamment les conditions applicables au transfert des données vers l’étranger et énumère les catégories de données sensibles soumises à un contrôle renforcé. Il détermine également les frais de dossier, les délais d’examen par l’autorité de régulation ainsi que les sanctions susceptibles d’être prononcées en cas de non-respect des prescriptions établies.


Cette première décision de l’ARPTC, rendue publique depuis l’attribution de ses nouvelles compétences[17], constitue désormais le premier socle opérationnel du régime congolais de protection des données à caractère personnel depuis l’adoption du Code du numérique.


L’inconstitutionnalité de la décision de l’ARPTC.— Si la Décision N°039/ARPTC/CLG/2025 contribue à préciser le cadre réglementaire applicable à la protection des données personnelles en RDC, elle soulève néanmoins de sérieuses interrogations quant à sa conformité à la Constitution et au principe de légalité. Ces interrogations nous les articulons autour de trois griefs principaux. D’abord, l’incompétence matérielle de l’ARPTC à statuer par voie de décision contraignante, le Code du numérique ne lui reconnaissant que des pouvoirs d’avis et de recommandations. Ensuite, l’inconstitutionnalité des frais administratifs institués par la décision, qui subordonnent l’effectivité d’un mécanisme de protection d’un droit fondamental, le droit à la vie privée consacré par l’article 31 de la Constitution, au paiement préalable de sommes parfois élevées, sans aucune habilitation légale expresse. Enfin, un excès de pouvoir révélé par l’article 11 de la décision, qui instaure une durée de validité des récépissés et autorisations qu’aucune disposition légale ne prévoit. Dès lors, la question à laquelle cet article entend répondre est celle de savoir si une autorité administrative, de surcroît provisoire, pouvait par simple décision réglementaire, créer de telles obligations et charges ?


La décision de l’ARPTC et les libertés fondamentales.— Face à cette situation d’inconstitutionnalité identifiée prima facie, le présent article se propose, dans un premier temps, de revenir sur les conditions juridiques du traitement des données à caractère personnel en RDC telles qu’issues du Code du numérique (I), ceux-ci facilitera dans un second temps d’analyser de manière critique la décision de l’ARPTC relative aux procédures de déclaration et d’autorisation, en vue d’en relever les principales difficultés juridiques et constitutionnelles (II).


I. LES CONDITIONS DE TRAITEMENT DES DONNÉES PERSONNELLES EN RDC


Principes et formalités du traitement des données personnelles.— Le choix de ce titre n’est pas fortuit, puisqu’il s’inspire directement de l’intitulé du chapitre correspondant dans le Code du numérique congolais[18]. En effet, tout traitement de données personnelles doit en premier lieu, respecter les principes fondamentaux fixés par le Code du numérique. Dans ce cadre, deux aspects se distinguent, d’une part, les principes directeurs et bases légales encadrant le traitement des données personnelles (A), et d’autre part, les formalités de déclaration et d’autorisation instituées par le Code du numérique (B).


A. PRINCIPES FONDAMENTAUX DU TRAITEMENT DES DONNÉES PERSONNELLES


Les garanties juridiques attachées au traitement des données personnelles.— L’article 192 du Code du numérique dispose qu’un traitement de données à caractère personnel n’est licite que si la personne concernée y a consenti « on parle du consentement », ou si ce traitement est nécessaire à une obligation légale du responsable[24]. Le principe de « licéité, loyauté et transparence » est clairement affirmé[25]. En règle générale, le consentement préalable doit être libre, spécifique, éclairé, explicite[26], sauf en cas d’incapacité de la personne concernée, régie selon le droit commun[27]. Par ailleurs, les finalités de la collecte doivent être déterminées, explicites et légitimes[28]. Et les données ne peuvent être réutilisées d’une manière incompatible avec ces finalités. S’y ajoute une obligation d’information et de transparence[29] à l’égard de la personne concernée, laquelle se traduit par la reconnaissance des droits tels que le droit à l’information, le droit d’accès, le droit à la portabilité, le droit de rectification et d’effacement des données[30].


Les exigences substantielles de protection des données personnelles.— Par ailleurs, le traitement doit garantir la confidentialité et la sécurité des données[31]. Le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles appropriées afin de protéger les données contre tout accès non autorisé, vol, altération ou perte[32]. La conservation des données ne doit intervenir que le temps nécessaire à la finalité poursuivie[33], des durées plus longues étant tolérées uniquement pour des usages archivistiques dans l’intérêt public, statistique ou historique, et sous conditions de sécurité renforcées[34]. Sur le plan substantiel, les principes adoptés par la RDC en matière de protection des données personnelles peuvent être qualifiés de classiques, alignés sur la plupart des législations récentes en Afrique. Comme l’observe Edouard Schlumberger,


« Les textes prévoient que toute entité (publique ou privée) qui traite des données personnelles doit respecter les principes fondamentaux suivants : licéité, transparence, finalité déterminée, minimisation […][35]».


Par son Code du numérique, la RDC s’aligne ainsi sur les régimes pionniers de l’Afrique francophone (Sénégal[36], Bénin[37], Côte d’Ivoire[38], etc.), qui ont institué des principes similaires. De même, certains autres pays africains exigent des autorisations pour les traitements sensibles ou encore la déclaration, comme en RDC[39].


Ainsi, après avoir présenté de manière très concise les principes fondamentaux sur lesquels repose la protection des données à caractère personnel, il convient à présent d’examiner les mécanismes formalistes prévus par le Code du numérique, lequel soumet tout traitement de données personnelles soit à une déclaration préalable, soit à une demande d’autorisation.


B. LES FORMALITÉS PRÉALABLES APPLICABLES AUX TRAITEMENTS DE DONNÉES PERSONNELLES


La base légale du formalisme.— Comme indiqué en introduction, le législateur congolais a écarté l’approche de l’accoumptability[40]au profit d’un système fondé sur la déclaration et l’autorisation préalables. Ainsi, aux termes des articles 186 et 187 du Code du numérique, le responsable du traitement ou son mandataire est tenu de remplir un formulaire de déclaration ou demande d’autorisation auprès de l’APD, en l’espèce l’ARPTC.


Le régime de déclaration préalable et d’autorisation des traitements.— Dès le moment où le responsable de traitement met en œuvre un traitement de données à caractère personnel, elle est tenue d’accomplir, selon le cas, les formalités prévues par le Code du numérique. À cet effet, le Code fixe le contenu minimal des demandes de déclaration ou d’autorisation, lesquelles doivent notamment comporter l’identité du responsable du traitement, les finalités poursuivies, les catégories de données traitées et de personnes concernées, ainsi que les mesures de sécurité mises en place[41]. Le Code du numérique institue ainsi deux régimes distincts de contrôle préalable des traitements, le régime de la déclaration (1) et celui de l’autorisation préalable (2).


1) Le régime de la déclaration préalable des traitements de données personnelles


Principe de la déclaration préalable.— Le Code du numérique consacre un régime de déclaration préalable applicable, en principe, à tout traitement de données à caractère personnel[42]. Ainsi, avant toute mise en œuvre d’un traitement, le responsable du traitement ou son représentant dument mandaté est tenu d’adresser une déclaration à l’Autorité de protection des données (APD)[43], aujourd’hui l’ARPTC. Par cette formalité, le déclarant atteste formellement que le traitement envisagé respecte les exigences légales et règlementaires applicables en matière de protection des données personnelles.


Les difficultés du contrôle déclaratif des traitements de données personnelles.— Si le système déclaratif présente l’avantage de permettre à l’autorité de régulation d’exercer une surveillance initiale des traitements mis en œuvre sur le territoire national, il soulève néanmoins plusieurs difficultés pratiques et théoriques. D’une part, un régime généralisé de déclaration risque d’alourdir considérablement les obligations administratives pesant sur les entreprises et administrations, particulièrement dans un environnement numérique où les traitements de données sont permanents, évolutifs et parfois automatisés à grande échelle. D’autre part, l’efficacité réelle d’un tel mécanisme dépend étroitement des capacités techniques, humaines et institutionnelles de l’autorité de contrôle, lesquelles demeurent encore limitées dans plusieurs États africains ayant adopté des dispositifs similaires[44].


L’assouplissement du formalisme déclaratif.— Le Code admet toutefois qu’une déclaration unique puisse couvrir plusieurs traitements lorsque ceux-ci poursuivent des finalités identiques ou connexes[45]. Cette possibilité vise à atténuer le caractère excessivement formaliste du système déclaratif, sans pour autant remettre en cause la logique générale de contrôle préalable retenue par le législateur congolais.


Un régime déclaratif aux allures d’autorisation préalable.— Cependant, une difficulté réside dans la nature même du régime instauré par le Code du numérique. En théorie, un régime déclaratif consiste en une simple formalité informative par laquelle l’administration est portée à la connaissance de l’existence d’un traitement, sans que sa mise en œuvre soit conditionnée à une décision d’acceptation préalable. Or, à la lecture des dispositions du Code du numérique, le régime congolais apparait davantage comme une forme d’autorisation déguisée que comme un véritable système déclaratif.


Cette ambigüité ressort notamment de l’article 190, alinéa 3, qui dispose que : « Si la déclaration (…) à l’Autorité de protection des données n’est pas rendue dans le délai prévu, le silence de l’Autorité de protection des données vaut acceptation ». Une telle formulation laisse entendre que l’APD, en l’espèce l’ARPTC dispose du pouvoir d’accepter ou de refuser une déclaration, ce qui s’éloigne substantiellement de la logique d’un simple régime déclaratif.


Cette impression est renforcée par l’alinéa 4 du même article, lequel prévoit qu’« en cas de refus de l’Autorité de protection des données, il est accordé au responsable du traitement le droit de recours gracieux dans un délai de quinze jours à partir de la notification de la décision du refus ». Le texte ne précise toutefois pas clairement si ce refus concerne uniquement les demandes d’autorisation ou également les déclarations. Or, dans la mesure où l’article vise indistinctement les deux régimes, il semble possible d’en déduire que l’Autorité pourrait également rejeter une simple déclaration[46]. Une telle interprétation soulève d’importantes difficultés juridiques. En droit administratif, un régime déclaratif ne peut, en principe, donner lieu à un refus que dans des hypothèses limitées tenant notamment à titre d’exemple, l’irrégularité formelle du dossier, à son caractère frauduleux ou à une atteinte manifeste à l’ordre public ou à une règle impérative[47]. En l’espèce, le Code du numérique parait reconnaitre à l’autorité de contrôle un pouvoir de refus beaucoup plus large, sans encadrement suffisamment précis. Dès lors, le risque d’un usage excessif ou arbitraire de ce pouvoir ne peut être exclu en pratique. L’Autorité pourrait ainsi s’appuyer sur cette ambigüité normative pour bloquer ou retarder certains traitements de données, transformant de facto un régime déclaratif en véritable mécanisme d’autorisation administrative préalable[48].


Cas de dispense de déclaration.— Le Code du numérique prévoit plusieurs hypothèses dans lesquelles la déclaration préalable n’est pas requise[49]. Sont notamment exemptés les traitements réalisés à des fins exclusivement personnelles, domestiques ou familiales, les données dont la publication est expressément prévue par la loi ainsi que certains traitements internes relatifs à la gestion comptable, salariale ou administrative des organismes. Le législateur prévoit également une dispense lorsque le responsable du traitement a désigné un Délégué à la protection des données (DPD), plus communément désigné par son acronyme anglais Data Protection Officer (DPO), sauf en cas de transfert des données vers un État tiers. Cette solution témoigne d’une influence partielle du modèle européen fondé sur l’« accountability », dans lequel la présence d’un DPO constitue un mécanisme interne de conformité susceptible de réduire l’intensité du contrôle administratif préalable[50].


Toutefois, certains traitements, considérés comme plus sensibles ou présentant un risque accru pour les droits et libertés des personnes concernées, sont soumis non plus à un simple régime déclaratif, mais à un régime d’autorisation préalable.


2) Le régime de l’autorisation préalable des traitements de données personnelles


Principe du régime d’autorisation préalable.— À côté du régime déclaratif, le Code du numérique congolais institue un régime d’autorisation préalable applicable aux traitements considérés comme particulièrement sensibles ou susceptibles de présenter un risque élevé pour les droits et libertés des personnes concernées[51]. Contrairement à la déclaration, qui repose essentiellement sur une logique informative (du moins en apparence[52]), l’autorisation préalable implique ici une véritable validation administrative du traitement avant sa mise en œuvre. Le choix du législateur congolais témoigne ainsi d’une volonté de maintenir un contrôle étatique étroit sur les traitements les plus sensibles. Néanmoins, une telle approche peut également ralentir l’innovation numérique, alourdir les obligations de conformité des entreprises et accentuer la dépendance des acteurs économiques à l’égard de l’administration.


Les traitements soumis à autorisation obligatoire.— Le Code du numérique soumet à une autorisation préalable plusieurs catégories de traitements considérés comme particulièrement sensibles. Sont notamment concernés les traitements portant sur les données génétiques, biométriques ou médicales, les traitements réalisés à des fins de recherche scientifique dans le domaine de la santé, ainsi que les données relatives aux infractions, condamnations pénales ou mesures de sûreté. L’autorisation est également exigée pour les traitements portant sur un numéro national d’identification ou tout identifiant similaire, ainsi que pour les traitements poursuivant un objectif d’intérêt public à des fins historiques, statistiques ou scientifiques. Enfin, tout transfert de données à caractère personnel vers un État tiers est également soumis à l’autorisation préalable de l’autorité compétente[53]. Cette liste révèle une conception extensive du contrôle administratif préalable.


En comparaison, plusieurs législations récentes tendent à limiter les hypothèses d’autorisation obligatoire aux seuls traitements présentant des risques particulièrement graves ou exceptionnels. Le régime congolais apparait ainsi relativement formaliste et centralisé, notamment en matière de transferts internationaux de données où l’exigence systématique d’autorisation peut constituer un frein aux échanges numériques internationaux.


Procédure administrative et délais.— L’Autorité de protection des données dispose d’un délai de trente (30) jours à compter de la réception de la demande pour se prononcer. Ce délai peut être prorogé une seule fois pour une durée identique, sur décision motivée. Le silence gardé par l’Autorité à l’expiration du délai vaut acceptation tacite de la demande. Ce mécanisme d’acceptation tacite vise à éviter qu’un excès de lenteur administrative ne bloque durablement la mise en œuvre des traitements nécessitant une autorisation. Il traduit également une tentative d’équilibre entre la protection des droits fondamentaux et les impératifs de fluidité économique et administrative. En cas de refus, le responsable du traitement dispose d’un recours gracieux dans un délai de quinze (15) jours à compter de la notification de la décision[54]. Enfin, le Code rappelle que l’obtention de l’autorisation ne décharge nullement le responsable du traitement de sa responsabilité civile ou pénale en cas de violation des dispositions relatives à la protection des données personnelles[55]. Ainsi, l’ARPTC a adopté une décision destinée à préciser les modalités d’application des différentes procédures que nous venons d’examiner.


II. LES LIMITES DE LA DÉCISION DE L’ARPTC SUR LA PROCÉDURE D’AUTORISATION ET DE DÉCLARATION


L’ARPTC et la mise en œuvre du régime congolais de protection des données personnelles.— C’est précisément en raison de ces obligations de déclaration et d’autorisation que le régime mis en place par le Code du numérique suppose nécessairement que l’APD mette à la disposition des responsables de traitement des formulaires et des instructions détaillées[56]. Ainsi, l’article 190 prévoit que « les conditions et la procédure de la déclaration sont fixées par l’Autorité de protection des données » et l’article 187 réitère que « les conditions et la procédure d’autorisation sont fixées par l’Autorité de protection des données ».


Dans ce contexte, l’ARPTC, assumant provisoirement les missions de l’APD, a adopté la décision n° 039/ARPTC/CLG/2025. Toutefois, nous estimons que cette décision soulève d’importantes difficultés de constitutionnalité et de légalité. Il convient dès lors de s’interroger, d’une part, sur le point de savoir si la protection des données personnelles constitue un droit fondamental garanti par la Constitution (A) et d’analyser d’autre part, la conformité légale et constitutionnelle de la Décision de l’ARPTC (B).


A. LA PROTECTION DES DONNÉES AU TITRE DE DROIT FONDAMENTAL À VALEUR CONSTITUTIONNELLE


Les fondements internationaux de la protection de la vie privée.— Bien avant l’apparition des problématiques liées au numérique, le droit international des droits de l’homme avait déjà reconnu la nécessité de protéger l’individu contre les ingérences arbitraires dans sa sphère privée, qu’on reconnait sous l’appellation du droit au respect de la vie privée[57]. Ainsi, l’article 12 de la Déclaration universelle des droits de l’homme du 10 décembre 1948 dispose que « Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance […] ». Dans le même sens, l’article 17 du Pacte international relatif aux droits civils et politiques du 16 décembre 1966, ratifié par la RDC le 1er novembre 1976, interdit toute ingérence illégale ou arbitraire dans la vie privée et impose aux États l’obligation d’assurer une protection juridique effective contre de telles atteintes.


L’interprétation évolutive du droit à la vie privée face aux enjeux numériques.— Ces instruments internationaux, bien qu’adoptés dans un contexte antérieur à l’évolution des technologies numériques, leur interprétation a progressivement évolué. Le droit à la vie privée ne se limite plus à la protection de l’intimité physique ou familiale, il englobe désormais la protection des informations relatives à la personne, notamment les données à caractère personnel[58]. C’est dans ce contexte que certains auteurs rattachent les droits liés au numérique et aux nouvelles technologies à une quatrième génération des droits de l’homme[59]. Cette évolution se manifeste également au niveau africain avec l’adoption par l’Union africaine de la Convention sur la cybersécurité et la protection des données à caractère personnel, dite Convention de Malabo, ratifiée par la RDC le 27 juin 2025[60].


La dimension informationnelle du droit à la vie privée.— Dans cette perspective, la protection des données personnelles apparait comme le prolongement naturel du droit au respect de la vie privée. La donnée personnelle constitue en effet une projection de la personnalité humaine dans l’espace numérique[61]. Sa protection participe ainsi de la sauvegarde de la dignité humaine, de l’autonomie individuelle et des libertés fondamentales[62]. Le droit à la vie privée cesse dès lors d’être conçu comme un simple droit à l’isolement pour devenir un véritable droit à l’autodétermination informationnelle[63].


La protection constitutionnelle des données personnelles à travers le droit à la vie privée.— En RDC, la protection des données personnelles trouve son fondement constitutionnel dans le droit au respect de la vie privée[64]. Certes, la Constitution du 18 février 2006 telle que modifiée ne consacre pas expressément un droit autonome à la protection des données personnelles. Toutefois, une interprétation évolutive de ses dispositions permet de considérer que cette protection s’intègre désormais dans le champ des droits fondamentaux garantis par la Constitution. À cet égard, l’article 31, inscrit dans le Titre II relatif aux droits humains et aux libertés fondamentales, garantit le respect de la vie privée ainsi que le secret de la correspondance, des télécommunications et de « toute autre forme de communication ». Cette dernière formule présente une ouverture vers d’autres formes de communication, dès lors elle d’étendre la protection constitutionnelle aux communications numériques et plus largement, aux traitements de données personnelles dans l’environnement technologique. La protection de la vie privée ne dépend donc plus du support utilisé (papier, télécommunications ou plateformes numériques) mais de la nécessité de préserver la personne contre les ingérences dans sa sphère informationnelle.


Le constitutionnalisme numérique et la protection des données personnelles.— Cette évolution s’inscrit dans le mouvement du constitutionnalisme numérique[65], qui vise à adapter la protection des droits fondamentaux aux nouveaux risques créés par les technologies numériques, tant du côté des pouvoirs publics que des acteurs privés. Dans ce contexte, la protection des données personnelles apparait progressivement comme l’une des garanties essentielles des libertés individuelles dans l’espace numérique. Cette lecture est renforcée par l’article 60 de la Constitution, qui impose le respect des droits fondamentaux tant aux pouvoirs publics qu’aux particuliers. Or, les obligations prévues par le Code du numérique en matière de protection des données s’imposent également aux personnes publiques et privées, physiques ou morales[66]. La protection des données personnelles participe ainsi directement du régime général des libertés fondamentales. Au niveau interne, certaines dispositions du Code pénal congolais participent également à la protection de la sphère privée, notamment les articles 69 à 73, qui répriment diverses atteintes au secret des correspondances et à l’intimité de la personne. Par ailleurs, une évolution notable de la protection de la vie privée se manifestait pour une première fois dans le secteur des télécommunications.


La reconnaissance des données personnelles dans le secteur des télécommunications.— La loi n° 20/017 du 25 novembre 2020 relative aux télécommunications et aux technologies de l’information et de la communication constitue le premier texte congolais à avoir consacré expressément la protection des données personnelles comme relevant des droits fondamentaux, avant même l’adoption du Code du numérique[67]. Dès son article premier, cette loi affirme qu’elle vise notamment à « assurer la protection des droits et libertés fondamentaux des personnes physiques, à l’égard du traitement des données à caractère personnel », il s’agit là d’une première reconnaissance, par le législateur congolais, de la protection des données personnelles comme un droit fondamental. Dans le même esprit, son article 13 confie à l’autorité de régulation instituée par cette loi, à savoir l’ARTPC, une mission de contrôle en matière de protection des données[68], tandis que son Titre III est spécifiquement consacré à « la protection de la vie privée et des données à caractère personnel ». Plus encore, les articles 126 et 132 garantissent respectivement le secret des correspondances et la confidentialité des données personnelles. Autrement dit, bien avant l’entrée en vigueur du Code du numérique, le législateur congolais avait déjà identifié les données personnelles comme le prolongement normatif du droit au respect de la vie privée.


Le Code du numérique et la fondamentalisation de la protection des données personnelles.— Le Code du numérique n’a donc pas créé ex nihilo un droit à la protection des données personnelles, il en a plutôt précisé le contenu technique, institutionnel et procédural dans l’environnement numérique. Cette évolution participe de l’émergence de ce que la doctrine qualifie désormais de « vie privée informationnelle[69]», selon laquelle la collecte, l’enregistrement, la conservation ou la communication de données à caractère personnel constituent des atteintes au droit fondamental au respect de la vie privée. Le Code du numérique confirme expressément cette orientation également. Son article 192 impose que tout traitement de données personnelles soit réalisé dans le respect de la dignité humaine, de la vie privée et des libertés publiques. De même, l’article 255 qualifie de manquement grave toute utilisation de données portant une « atteinte grave aux droits fondamentaux » ou à l’intimité de la vie privée. Enfin, l’article 202 exige, dans le cadre des transferts internationaux de données, que soient garantis la protection de la vie privée ainsi que les « libertés et droits fondamentaux des personnes ». Il ressort ainsi du Code du numérique que la protection des données personnelles est désormais appréhendée par le législateur congolais comme une composante essentielle de la protection des libertés publiques et des droits fondamentaux.


Dès lors que nous avons démontré que la protection des données personnelles constitue un droit fondamental rattaché au droit au respect de la vie privée garanti par l’article 31 de la Constitution de la République démocratique du Congo, il convient à présent d’examiner si la décision n° 039/ARPTC/CLG/2025 de l’ARPTC respecte effectivement les exigences constitutionnelles, notamment en ce qu’elle impose des frais aux responsables de traitement pour les formalités de déclaration et de demande d’autorisation.


B. LE CONTRÔLE DE LÉGALITÉ ET DE CONSTITUTIONNALITÉ DE LA DÉCISION DE L’ARPTC


Le contrôle de constitutionnalité de la décision n° 039/ARPTC/CLG/2025 du Collège de l’ARPTC.— La décision n° 039/ARPTC/CLG/2025 du Collège de l’ARPTC, intitulée Décision fixant les modalités et la procédure d’examen des demandes d’autorisations et de déclaration de traitement des données à caractère personnel, a été adoptée le 11 septembre 2025 dans le cadre des missions provisoirement confiées à l’ARPTC en matière de protection des données personnelles[70]. Ces nouvelles compétences lui avaient été attribuées par le ministère des Postes, Télécommunications et Nouvelles Technologies de l’Information et de la Communication, avant la réorganisation ultérieure de ce ministère en deux entités distinctes[71]. La légalité même de cet acte attributif de compétence justifie à lui seul l’illégalité de la décision du Collège de l’ARPTC, que nous avons d’ailleurs relevée dans un précédent article[72]. Toutefois, nous ne nous y attarderons pas ici, dans la mesure où nous entendons plutôt démontrer en quoi cette décision viole la constitution ainsi que les principes généraux du droit.


Les deux niveaux d’irrégularité de la décision n° 039/ARPTC/CLG/2025.—D’abord, la compétence de l’ARPTC à adopter une telle décision peut être contestée, le Code du numérique ne reconnaissant pas à l’APD, en l’espèce l’ARPTC un pouvoir règlementaire général de cette nature (1). Ensuite, la décision soulève une difficulté constitutionnelle en imposant des frais pour les procédures de déclaration et d’autorisation des traitements de données personnelles (2).


1) L’absence de compétence règlementaire de l’ARPTC en matière de données personnelles


Le principe de spécialité et l’absence de pouvoir décisionnel de l’APD.— La première question que soulève la décision litigieuse de l’ARPTC est d’ordre organique, le Code du numérique reconnait-il à l’APD, en l’espèce à l’ARPTC qui assure provisoirement ses missions, le pouvoir de prendre des décisions contraignantes en matière de protection des données à caractère personnel ? La réponse après l’analyse rigoureuse des textes est résolument négative. L’article 263 du Code du numérique procède à une énumération limitative des compétences dévolues à l’APD et parmi ces attributions, nulle disposition ne confère explicitement à cette autorité le pouvoir de rendre des décisions juridiquement contraignantes en matière de traitement des données personnelles[73]. En droit, ce silence n’est pas anodin, il est au contraire juridiquement déterminant. Le principe de spécialité des personnes morales de droit public[74], corolaire du principe de légalité, impose en effet que toute autorité administrative n’agisse que dans les limites des compétences qui lui ont été expressément attribuées par la loi, traduit par l’expression latine Competencia non praesumitur, la compétence ne se présume pas.


L’absence de pouvoir contraignant des avis et recommandations de l’APD (ARPTC).— À y regarder de plus près, les seules prérogatives susceptibles de s’apparenter à un pouvoir décisionnel reconnues à l’APD (l’ARPTC) dans le domaine de la protection des données sont, en réalité, des avis et des recommandations portant sur les questions soulevées par le Code du numérique et d’autres lois relatives au traitement des données personnelles[75]. Or, en droit il existe bien une très grande différence entre un avis ou recommandation et une décision. Un avis ou une recommandation, par nature, ne crée pas d’obligations juridiques à la charge de ses destinataires. Il exprime une opinion, un conseil, une orientation, sans produire d’effets de droit susceptibles de modifier l’ordonnancement juridique ou d’imposer des obligations nouvelles aux responsables de traitement. Ainsi, l’ARPTC, en adoptant une décision formelle portant sur l’autorisation et la déclaration des traitements de données, a manifestement excédé les limites de ses attributions légales, substituant à un pouvoir d’influence un pouvoir de contrainte que la loi ne lui a pas conféré.


Le droit comparé comme révélateur de l’intention du législateur congolais.— Cette analyse est corroborée par l’examen du droit comparé, et notamment du modèle français dont s’est largement inspiré le législateur congolais[76]. La Commission nationale de l’informatique et des libertés « ci-après CNIL », autorité française en matière de protection des données personnelles, rend elle aussi des recommandations et les lignes directrices. Ces instruments ont par nature, une portée persuasive et non coercitive[77]. Ils orientent les pratiques, éclairent les responsables de traitement, mais ne sauraient se substituer à la loi pour créer des obligations nouvelles. Le pouvoir de contrainte, en droit français comme en droit congolais, demeure l’apanage exclusif du législateur.


L’encadrement légal des pouvoirs de l’APD (ARPTC).— Ce n’est que dans le cadre de ses pouvoirs de sanctions administratives et pécuniaires[78] (distincts du pouvoir décisionnel normatif), ceux-ci en cas de non-respect des règles relatives à la protection des données personnelles par le responsable du traitement, que l’APD (ARPTC), en l’espèce l’ARPTC, peut imposer des mesures contraignantes, et encore, dans les limites strictement définies par le Code du numérique. Ainsi, la décision n° 039/ARPTC/CLG/2025 du collège de l’ARPTC révèle d’un excès de pouvoir car en procédant par voie de décision là où la loi ne lui reconnait que le pouvoir d’émettre des avis et recommandations, elle s’est arrogé une compétence normative qui n’est pas la sienne.


La violation du principe de légalité et de la hiérarchie des normes par l’ARPTC.— La décision de l’ARPTC ne soulève pas seulement une question de légalité ordinaire[79]. Elle met en cause un principe à valeur constitutionnelle, celui de l’État de droit, consacré au Préambule de la Constitution de la RDC ainsi qu’à son article premier. L’État de droit implique que l’exercice de tout pouvoir public soit effectivement soumis au respect du droit, et ce à tous les échelons de la hiérarchie des normes[80]. Il signifie que nulle autorité, fût-elle administrative, ne peut s’affranchir des limites que la loi lui impose, et que tout acte contraire au droit est susceptible d’être censuré par le juge compétent[81]. Dans ce cadre, le principe de hiérarchie des normes, dont Hans Kelsen a théorisé, impose qu’une décision administrative soit conforme à la loi qui lui est supérieure, laquelle doit elle-même respecter la Constitution qui lui est supérieure[82].


En l’espèce, l’ARPTC a rendu une décision portant sur l’autorisation et la déclaration des traitements de données, alors que le Code du numérique, qui est la norme de rang législatif et donc supérieur à tout acte administratif, ne lui reconnait pas cette compétence. La décision litigieuse contredit ainsi directement les dispositions légales applicables. La démarche de l’ARPTC est donc constitutive d’une illégalité administrative doublement caractérisée : illégalité externe, en ce que l’auteur de l’acte était incompétent pour l’édicter ainsi que l’illégalité interne, en ce que le contenu de l’acte excède les attributions légalement reconnues à son auteur. Or, en droit congolais comme dans tous les systèmes juridiques d’inspiration romano-germanique, une décision administrative illégale est nulle et de nul effet.


L’instauration illégale d’une durée de validité des fiches de traitement.— Sans s’y attarder davantage, il convient de relever que cet excès de pouvoir se manifeste également dans les dispositions mêmes de la décision. À titre d’exemple, l’article 11 de la décision n° 039/ARPTC/CLG/2025 du collège de l’ARPTC institue une durée de validité des titres délivrés par l’ARPTC, cette durée dépend du régime de traitement (déclaration ou autorisation) auquel les données sont soumises[83], alors qu’aucune disposition du Code du numérique ni d’aucun autre texte législatif n’impose une telle exigence. Ce faisant, l’ARPTC crée de toutes pièces une obligation nouvelle, sans fondement légal, aggravant ainsi le vice d’illégalité qui entache l’ensemble de la décision. Cet exemple illustre, s’il en était encore besoin, la tendance de l’ARPTC à s’ériger en autorité normative là où la loi ne lui a confié qu’un rôle de régulation souple et non contraignante.


2) L’inconstitutionnalité des frais imposés par la décision de l’ARPTC


Le régime financier imposé aux responsables de traitement par l’ARPTC.— L’annexe de la Décision N°039/ARPTC/CLG/2025 du 11 septembre 2025 institue un double système de frais à la charge des responsables de traitement. D’une part, des frais d’étude de dossier, exigibles dès le dépôt de la déclaration ou de la demande d’autorisation, expressément qualifiés de non remboursables, dont les montants s’échelonnent entre deux-cent-cinquante dollars américains (250 USD[84]) pour l’étude d’une déclaration de traitement, cinq-cents dollars américains (500 USD) pour une demande d’autorisation de traitement et sept-cent-cinquante dollars américains (750 USD) pour une demande d’autorisation de transfert de données vers un pays tiers. D’autre part, des frais de délivrance, exigibles après décision favorable, conditionnant la remise matérielle du récépissé ou de l’autorisation avec des montants identiques respectivement fixés à deux-cent-cinquante dollars américains (250 USD), cinq-cents dollars américains (500 USD)  pour l’autorisation et sept-cent-cinquante dollars américains (750 USD) pour l’autorisation de transfert.


La décision précise en outre qu’aucun récépissé ou autorisation ne peut être délivré sans le paiement préalable des frais y relatifs, conférant ainsi à ces frais un caractère véritablement coercitif et bloquant. L’on notera également que des frais de modification substantielle sont prévus, allant de cent dollars américains (100 USD) à quatre-cent-cinquante dollars américains (450 USD) selon la nature de la modification. Au total, un responsable de traitement souhaitant se conformer à ses obligations légales peut se trouver redevable d’une somme pouvant atteindre mille-cinq-cents dollars américains (1 500 USD) voire davantage en cas de procédures cumulées[85].


L’absence totale de base légale habilitant l’ARPTC à percevoir de tels frais.— La première critique que soulève ce dispositif tarifaire est d’ordre purement légal, avant même d’aborder la question constitutionnelle. Ni le Code du numérique ni aucune disposition législative en vigueur n’habilitent expressément l’ARPTC à percevoir des frais au titre de l’instruction des déclarations et demandes d’autorisation en matière de protection des données personnelles. L’article 7 de la décision de l’ARPTC, qui fonde ce dispositif, ne fait référence qu’à la nécessité de fixer des montants en annexe, sans aucun renvoi à une habilitation légale supérieure. Alors que la perception de toute redevance ou taxe par une autorité publique exige une base légale explicite, celui-ci est d’ailleurs fixé par la constitution congolaise, notamment à l’article 174[86]. Ainsi, le principe de légalité fiscale, interdit à toute autorité administrative de s’autohabiliter à percevoir des sommes d’argent auprès des administrés[87]. Ce premier vice d’illégalité suffirait, à lui seul, à justifier l’annulation de l’article 7 ainsi que l’annexe tarifaire de cette décision. Mais les griefs vont bien au-delà.


Les frais administratifs face au droit fondamental à la protection des données.—Comme nous l’avons établi dans les développements précédents[88], la protection des données à caractère personnel constitue, en droit congolais, un droit fondamental de la personne humaine, rattaché au droit à la vie privée consacré à l’article 31 de la Constitution de la RDC. Dès lors, toutes les lois ainsi que tous les actes règlementaires adoptés en matière de protection des données personnelles doivent nécessairement se conformer aux exigences constitutionnelles. Ainsi, la déclaration et l’autorisation préalables au traitement de données personnelles ne sont pas des formalités administratives ordinaires assimilables à une demande de permis de construire ou d’une licence commerciale. Elles constituent le mécanisme par lequel l’État garantit concrètement, à travers l’APD, l’effectivité du droit fondamental à la protection des données des personnes concernées. En d’autres termes, la procédure de déclaration et d’autorisation est instituée, en premier lieu, dans l’intérêt des personnes dont les données sont traitées et non dans l’intérêt commercial des responsables de traitement. Dès lors, soumettre cette procédure au paiement de frais revient à faire supporter aux responsables de traitement le coût financier de la protection d’un droit fondamental constitutionnellement garanti, ce qui constitue une inversion radicale de la logique du droit.


L’analogie révélatrice avec d’autres droits fondamentaux.— Pour mieux apprécier les interrogations constitutionnelles soulevées par ce dispositif, une comparaison avec d’autres mécanismes de garantie des droits fondamentaux peut être utile. Il serait difficilement envisageable que l’exercice de certains droits fondamentaux, tels que le droit de vote, le droit à la non-discrimination ou l’accès à la justice, soit conditionné au paiement préalable de frais administratifs (élevés) et non remboursables. Une telle exigence risquerait en effet d’introduire une contrainte financière susceptible d’affecter l’effectivité même de ces droits. La protection des données personnelles, en tant que droit fondamental de même rang constitutionnel, ne saurait être traitée différemment. L’État ne peut instrumentaliser le mécanisme de protection des citoyens, pour en faire une source de revenus administratifs.


La violation du principe d’égalité devant la loi.— Le dispositif tarifaire contesté engendre, par ses effets concrets, une violation caractérisée du principe d’égalité devant la loi, consacré par la Constitution de la RDC[89]. En conditionnant la mise en conformité à des frais pouvant atteindre mille-cinq-cents dollars américains (1 500 USD) ou davantage, la décision de l’ARPTC crée de facto une discrimination fondée sur les capacités financières des responsables de traitement. Les grandes entreprises, disposant de ressources suffisantes, pourront s’acquitter aisément de ces frais et se conformer à la loi. Alors que pour les petites et moyennes entreprises, les associations, les organisations de la société civile, les acteurs informels, ou encore les administrations publiques aux budgets contraints, se trouveront placés devant un choix inéquitable, soit décaissé des sommes disproportionnées pour exercer légalement leurs activités, soit renoncer à la conformité et s’exposer aux sanctions[90]. Cette différence de traitement, fondée sur la seule capacité financière, viole le principe d’égalité et crée un régime à deux vitesses dans l’accès à la conformité légale.


La violation du principe de gratuité des services publics régaliens liés aux droits fondamentaux.— Plus fondamentalement encore, la perception de frais pour l’instruction de dossiers relatifs à la protection des données personnelles heurte de front le principe selon lequel les services publics directement liés à la garantie des droits fondamentaux doivent, en principe, être gratuits ou au moins accessibles sans condition financière dirimante[91]. L’APD, en l’espèce l’ARPTC qui en exerce provisoirement les missions, est une institution de l’État dont le financement relève du budget national. Ses missions de contrôle et d’instruction des déclarations et autorisations s’inscrivent dans l’exercice de la puissance publique au service de la protection des droits des citoyens. Les faire financer par les opérateurs soumis au contrôle revient à privatiser le coût d’une mission régalienne, ce que l’État de droit ne saurait tolérer sans trahir sa propre raison d’être.


Des frais non remboursables en cas de refus : une atteinte supplémentaire au droit fondamental.— L’annexe de la décision précise expressément que les frais d’étude de dossier sont non remboursables, y compris en cas de refus de la déclaration ou de la demande d’autorisation. Cette disposition aggrave singulièrement l’inconstitutionnalité du dispositif. En effet, un responsable de traitement qui introduit de bonne foi une déclaration ou une demande d’autorisation, se voit contraint d’acquitter des frais d’étude, sans garantie aucune que sa demande sera acceptée. En cas de refus, ces sommes sont définitivement perdues. Le responsable de traitement est ainsi financièrement pénalisé pour avoir simplement tenté d’exercer son obligation à la mise en conformité légale. Il s’agit là d’une véritable sanction financière. Ce mécanisme pourrait, en outre, être analysé comme une forme de taxation déguisée, perçue sans base légale et sans contrepartie réelle, ce qui le rend doublement illicite.


L’inconstitutionnalité alléguée et ses voies de mise en œuvre contentieuse.— Si le présent article traite de la possible inconstitutionnalité de la décision de l’ARPTC, nous sommes pleinement conscients de la portée que revêt ce terme dans l’ordre juridique. La qualification formelle d’inconstitutionnalité appartient, en droit, au seul juge compétent. Nous ne nous arrogeons nullement cette prérogative juridictionnelle. Toutefois, cette réserve ne saurait priver à la doctrine de soumettre à la réflexion critique la conformité d’un acte aux normes constitutionnelles, comme nous avons tenté de le démontrer tout au long de cet article. C’est dans cet esprit de réflexion (et non de qualification juridictionnelle), qu’il convient de préciser le cadre juridictionnel dans lequel une telle inconstitutionnalité pourrait être utilement soulevée, car la question des voies de droit ouvertes aux justiciables revêt d’une grande importance.


Le juge administratif, gardien de la constitutionnalité des actes administratifs.— En tant qu’acte émanant d’une autorité administrative, la décision de l’ARPTC est soumise au contrôle du juge administratif. L’article 75 de la Loi organique n°16-027 portant organisation, compétence et fonctionnement des juridictions de l’ordre administratif habilite le juge administratif à annuler tout acte administratif méconnaissant une norme constitutionnelle. Par ailleurs, la section consultative du Conseil d’État peut, sur le fondement de l’article 83 de la même loi, rendre des avis motivés sur la légalité ou la constitutionnalité des dispositions des textes qui lui sont soumis, offrant ainsi un mécanisme préventif d’appréciation de la régularité des actes administratifs.


La compétence de la Cour constitutionnelle à l’égard des actes administratifs réglementaires.— Toutefois, ce contrôle administratif n’épuise pas la question et n’exclut pas la compétence de la Cour Constitutionnelle, même si en pratique le contentieux de la constitutionnalité des actes administratifs est le plus souvent traité par le juge administratif. La Cour Constitutionnelle demeure néanmoins la juridiction suprême de la constitutionnalité, y compris à l’égard des actes réglementaires des autorités administratives, cela ressort clairement tant de l’exposé des motifs de la Loi organique n°13/026 du 15 octobre 2013 portant organisation et fonctionnement de la Cour Constitutionnelle, que de son article 43[92]. En l’espèce, les griefs soulevés à l’encontre de la décision de l’ARPTC relevant à la fois de l’illégalité administrative et d’une possible inconstitutionnalité, l’une ou l’autre de ces voies de recours peut être utilement mobilisée par les justiciables concernés.


L’inapplicabilité de la théorie de la loi-écran à la décision de l’ARPTC.— Il pourrait certes être objecté, pour faire obstacle au contrôle de constitutionnalité de la décision litigieuse, que celle-ci trouve son fondement dans le Code du numérique, lequel ferait écran entre elle et la Constitution, selon la théorie classique de la loi-écran[93]. Toutefois, cette théorie suppose, comme condition préalable et indispensable, que l’acte administratif contesté soit effectivement pris en conformité avec la loi dont il se réclame. Or, comme nous l’avons démontré tout au long de cet article, la Décision N°039/ARPTC/CLG/2025 s’écarte très largement des dispositions du Code du numérique ainsi que de nombreux autres textes[94] qui étaient censés lui servir de fondement et d’écran. En s’arrogeant des compétences normatives que cette loi ne lui confère pas et en instituant des charges financières qu’elle ne prévoit nullement, la décision rompt le lien de conformité qui aurait pu activer le mécanisme de la loi-écran. Cette théorie ne saurait dès lors trouver application en l’espèce, ouvrant ainsi pleinement la voie au contrôle de constitutionnalité.


QUE CONCLURE ?


Au terme de cet article, il apparait avec évidence que l’annexe tarifaire de la Décision N°039/ARPTC/CLG/2025 est entachée d’une inconstitutionnalité manifeste. Elle viole le principe de légalité fiscale, le principe d’égalité devant la loi et le principe de gratuité des services publics régaliens liés aux droits fondamentaux. Elle transforme la mise en conformité à une obligation légale destinée à protéger un droit constitutionnel en une charge financière discriminatoire, aux effets potentiellement dissuasifs.


En cela, elle trahit non seulement la lettre et l’esprit du Code du numérique, mais aussi les exigences fondamentales d’un État de droit au service de ses citoyens. Son annulation par la juridiction administrative compétente, ou sa censure par la Cour constitutionnelle sur renvoi, s’impose comme une nécessité juridique impérieuse.


[1] Ordonnance loi n° 23/010 du 13 mars 2023 portant Code du numérique.


[2] Outre le Code du numérique, on peut citer la loi n° 20/017 du 25 novembre 2020 relative aux télécommunications et aux TIC. Plus récemment, la RDC a également ratifié la Convention de Malabo sur la cybersécurité et la protection des données personnelles. Pour une analyse, voir : B. Kandolo wa Kandolo, « La ratification par la RDC de la Convention de Malabo : progrès juridique ou saut dans le passé ? », News-Juritech – n°11 – 28 Juin 2025, Droit-Numérique.cd, 28 juin 2025, en ligne https://droitnumerique.cd/convention-malabo-rdc/ (consulté le 14 janvier 2026).


[3] Bien que la loi n° 20/017 du 25 novembre 2020 relative aux télécommunications et aux technologies de l’information et de la communication en RDC contenait déjà certaines dispositions relatives à la protection des données personnelles, celles-ci demeuraient limitées. Le Code du numérique est ainsi venu consacrer de manière plus détaillée le régime juridique de la protection des données à caractère personnel, principalement aux articles 183 à 270 du Livre III : « Contenus numériques », Titre III : « Données personnelles », couvrant les articles 183 à 270. Selon l’article 2, point 30, la donnée personnelle est définie comme « […] toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement ».


[4] La question de la souveraineté numérique devient un enjeu constitutionnel en Afrique. Certains pays, comme le Gabon, se distinguent par l’intégration explicite de cette notion dans le préambule de sa Constitution de la Ve République du 19 décembre 2024, faisant indirectement de la protection et de la maîtrise des données numériques un principe constitutionnel.


[5] Pour en savoir plus sur la question de la protection des données personnelles en RDC et en droit comparé lire notamment : C. Kayudi Misamu, J.-F. Henrotte, La protection des données à caractère personnel en République démocratique du Congo: guide pratique, 2e édition, Bruxelles, Bruylant, 2026 ; B. Loleka Ramazani, « Le droit congolais face aux enjeux de protection de l’identité numérique : quel regard prospectif ? », Droit-Numérique.cd, Dossier n° 5, janvier 2025, en ligne https://droitnumerique.cd/le-droit-congolais-face-aux-enjeux-de-protection-de-lidentite-numerique-quel-regard-prospectif/ (consulté le 26 mai 2026) ; M. Ouattara, D. Bangali, La protection des données à caractère personnel en Afrique francophone: guide pratique, LGDJ, Droits africains, 2020 ; J. Lutaku Wata, « La protection de l’identité numérique du salarié en droit congolais : entre surveillance légitime et vie privée », Droit-Numérique.cd, Dossier n° 10, mai 2026, en ligne https://droitnumerique.cd/la-protection-de-lidentite-numerique-du-salarie-en-droit-congolais-entre-surveillance-legitime-et-vie-privee/ (consulté le 26 mai 2026) ; M. Lo, La protection des données à caractère personnel en Afrique, Abis éditions, 15 décembre 2024 ; P.F. Dramé, R. Sarr, L’impact du règlement sur la protection des données, RGPD, en Afrique, L’Harmattan, Études africaines, 2021 ; E. Rançon, Code de la protection des données personnelles 2025, 7ed – Annoté commenté, Groupe Lefebvre Dalloz, 20 février 2025.


[6] L’art. 3 du Code du numérique définit le traitement des données à caractère personnel comme toute : « […] opération ou ensemble d’opérations effectuées ou non à l’aide de procédés entièrement ou partiellement automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».


[7] Pour plus de détails sur le fonctionnement de cette autorité, voir articles 262 à 270 du Code du numérique, ainsi que nos publications consacrées à cette institution : B. Kandolo wa Kandolo, « RD-Congo : perspectives de l’autorité de protection des données », Africa Data Protection Report, janvier 2024, p. 18 ; B. Kandolo, « ARPTIC/ARPTC Investie des missions de l’Autorité de Protection des Données en RD-Congo », Africa Data Protection Rapport, décembre 2024, en ligne https://droitnumerique.cd/arptic-arptc-investie-des-missions-de-lautorite-de-protection-des-donnees-en-rd-congo/ (consulté le 14 janvier 2026) ; B. Kandolo wa Kandolo, « Régulation du numérique en RDC : l’ARPTIC investie autorité unique pour la régulation du numérique, la certification électronique et la protection des données », Droit-Numérique.cd, Dossier N° 4 – Août 2024, en ligne https://droitnumerique.cd/regulation-du-numerique-en-rdc-larptic-investie-autorite-unique-pour-la-regulation-du-numerique-la-certification-electronique-et-la-protection-des-donnees/ (consulté le 14 janvier 2026).


[8] Cela a été effectué par le biais de l’Arrêté ministériel n°cab/min/pt&n/akim/kl/kbs/051/ 2024 du 17/08/2024, portant harmonisation des modalités de mise en œuvre des régimes de l’ordonnance-loi n° 023/010 du 13 mars 2023 portant code du numérique et de la loi n°20/017 du 25 novembre 2020 relative aux télécommunications et aux technologies de l’information et de la communication en République démocratique du Congo, journal officiel – Numéro spécial – 18 septembre 2024.


[9] Nous avons relevé la non-conformité légale de cet arrêté quant à la régularité de la délégation, en particulier son incompatibilité avec le principe de spécialité administrative et le manquement à l’indépendance fonctionnelle requise pour une autorité de protection des données. Voir B. Kandolo, « Régulation du numérique en RDC : l’ARPTIC investie autorité unique pour la régulation du numérique, la certification électronique et la protection des données », art. cit. note 5.


[10] Les procédures de déclaration préalable et d’autorisation sont régies par les articles 186 à 191 du Code du numérique.


[11] Nous examinerons ultérieurement les cas dans lesquels une déclaration des traitements est requise, ainsi que les situations où le législateur impose une autorisation préalable.


[12] Le principe d’accountability (responsabilisation) en matière de protection des données personnelles oblige les organisations à démontrer la conformité de leurs traitements aux règles applicables, remplaçant progressivement le système des déclarations préalables. Il repose sur une logique de responsabilité interne, selon laquelle le responsable du traitement doit garantir et pouvoir prouver la conformité de ses traitements sans passer par une validation systématique des formalités auprès de l’autorité de contrôle. Pour un développement détaillé, voir : M. Vivant, L. Rapp, G. Vercken, Le Lamy Droit du Numérique, Editions Lamy, 2025, paragraphe 1210, intitulé « Principe de responsabilité ou « accountability » et allègement des formalités préalables ».


[13] Plusieurs pays ont aujourd’hui adopté une approche fondée sur l’accountability en matière de protection des données personnelles. Parmi ceux-ci, on peut notamment citer, de manière non exhaustive : l’Afrique du Sud avec la Protection of Personal Information Act (POPIA), le Botswana avec la Data Protection Act, l’Union européenne avec le Règlement général sur la protection des données (RGPD), et le Canada avec la Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA).


[14] V. G. Cerqueira, H. Fulchiron, N. Nord, Insécurité juridique, l’émergence d’une notion ? actes du colloque tenu à la Cour de cassation, le 22 mars 2021, Paris, Société de législation comparée, Collection Colloques no volume 53, 2022.


[15] Le « Collège de l’ARPTC » désigne l’un des organes dirigeants et décisionnels de l’Autorité de régulation de la poste et des télécommunications du Congo (ARPTC). Il est composé de sept membres. Sa composition, ses attributions et son fonctionnement sont régis par les articles 8 à 18 de la loi n° 014/2002 portant création de l’ARPTC.


[16] Il s’agit de la décision n°039/ARPTC/CLG/2025 du Collège de l’Autorité de Régulation de la Poste et des Télécommunications du Congo du 11 Septembre 2025 fixant les modalités et la procédure d’examen des demandes d’autorisations et de déclaration de traitement des données à caractère personnel, Journal officiel de la République démocratique du Congo, numéro spécial, 67e année, 23 avril 2026.


[17] V. supra, note n° 8.


[18] Il s’agit du Chapitre II, Titre III du Livre III, intitulé « Conditions de traitement des données ».


[19] V. la définition du responsable du traitement à l’article 2, point 66, du Code du numérique, qui le désigne comme la « personne physique ou morale établie de manière stable sur le territoire du pays, qui se substitue au responsable du traitement dans l’accomplissement des obligations prévues par la présente ordonnance-loi ».


[20] Il convient de relever que le Code du numérique ne retient pas une définition précise de la notion de sous-traitant en matière de protection des données à caractère personnel. Cette imprécision s’explique probablement par le caractère transversal du Code, lequel couvre plusieurs branches du droit dans lesquelles la notion de sous-traitant revêt des significations différentes. Toutefois, dès lors que l’article 2 du Code est spécifiquement consacré aux définitions, le législateur aurait dû clarifier cette distinction terminologique afin d’éviter toute confusion. En droit de la protection des données personnelles, le sous-traitant désigne en effet la personne qui traite les données pour le compte du responsable du traitement et sur instruction de celui-ci, contrairement à l’acception plus large retenue en droit commercial ou en droit des sociétés. V. sur le sujet : E. Rançon, « CEPD : adoption du nouveau référentiel pour les sous-traitants », Dalloz IP/IT, 2026, p. 58.


[21] Selon l’art.185 du Code du numérique, certains traitements de données à caractère personnel sont exclus du champ d’application des règles relatives à la protection des données personnelles prévues par le Code. Il s’agit notamment des traitements effectués dans le cadre d’activités exclusivement personnelles ou domestiques, des copies techniques temporaires ainsi que des traitements réalisés aux fins de prévention, de recherche, de constatation ou de répression des infractions pénales.


[22] V. L’art. 184 du Code du numérique.


[23] Pour en savoir plus sur le transfert des données personnelles hors de la RD Congo, nous lire : B. Kandolo wa Kandolo, « Le transfert des données personnelles hors de la RD Congo », Journal CODES Africa – Numéro 2 – Vol 1, 27 mars 2025, en ligne https://droitnumerique.cd/le-transfert-des-donnees-personnelles-hors-de-la-rd-congo/ (consulté le 14 janvier 2026).


[24] À l’analyse du Code

ONG - ASSOCIATIONS - accès rapides

Actualités par pays

 

Newsletter


 
 
 
 
 
 

Actualités par pays

Newsletter


 
 
 
 
 
ONG - Associations - Actualites