La législation relative à la protection des données à caractère personnel en République Démocratique du Congo (RDC)
[Mibeko mitali bobateli ba données personnelles na Kongó-Kinsásá]
1. La loi n° 20/017 du 25 novembre 2020 relative aux télécommunications et aux technologies de l’information et de la communication « détermine le cadre juridique et institutionnel et assure la protection des droits et libertés fondamentaux des personnes physiques, à l’égard du traitement des données à caractère personnel… » pour la première fois en RDC.
Elle est entrée en vigueur le 25 novembre 2020, mais attend encore un arrêté d’exécution qui fixera les conditions et modalités de collecte, d’enregistrement, de traitement, de stockage et de transmission des données à caractère personnel.
2. Le Décret n° 23/13 du 3 mars 2023 porte création, organisation et fonctionnement de l’Autorité de Régulation des Postes, des Télécommunications et des Technologies de l’Information et de la Communication du Congo, ARPTIC en sigle (Acte paru dans le n°Sp (première partie) du 7-03-2023 du Journal officiel)
Ce Décret précise entre autres : (i) les missions de cette nouvelle Autorité de Régulation ; (ii) sa tutelle ; (iii) sa forme juridique et ; (iv) ses ressources nécessaires à la poursuite de sa mission dans ce secteur dont le potentiel d’innovation est en constante évolution et nécessite une régulation adaptée.
L’Arrêté Ministériel n° CAB/MIN/PT&NTIC/ AKIM/KL/Kbs/001/2023 du 22 mars 2023 porte les mesures provisoires d’exécution du Décret n°23/13 du 03 mars 2023 portant création, organisation, et fonctionnement de l’Autorité de Régulation des Postes, des Télécommunications et des Technologies de l’Information et de la Communication du Congo, (ARPTIC en sigle) (Acte paru dans le n°Sp (première partie) du 27-03-2023 du Journal officiel).
3. Par ailleurs, l’Assemblée nationale a ratifié le 4 avril 2023 l’Ordonnance-Loi n° 23/008 du 10 mars 2023 autorisant la ratification de la Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel, adoptée à Malabo, le 27 juin 2014.
4. Enfin, ce même 4 avril 2023, l’Assemblée nationale a également ratifié l’Ordonnance-Loi n° 23/010 du 13 mars 2023 portant Code du Numérique.
Son livre III traite des contenus numériques.
Ce livre comporte quatre titres ci-après :
- De l’objet et du champ d’application (Titre I) ;
- Des contenus publics (Titre II) ;
- Des données personnelles (Titre III) ;
- De l’Autorité de protection des données personnelles (Titre IV).
Nous allons examiner cette ordonnance-loi et vous en livrer un résumé prochainement.
*
Notre équipe est là pour vous aider dans le cadre de votre démarche de conformité et contentieux relatif à cette législation en évolution.
Pourquoi se préoccuper de cette législation si vous n’êtes pas établi en RDC ?
Parce que la législation s’exporte, à l’instar du RGPD, en dehors du territoire de la RDC et s’applique au responsable du traitement s’il est établi ou non en RDC, qui recourt à des moyens de traitement situés sur le territoire congolais.
Notre équipe est là pour vous aider dans le cadre de votre démarche de conformité et contentieux relatif à cette législation en évolution.
Quelles sont les dispositions pertinentes de la loi relative aux télécommunications et aux technologies de l’information et de la communication ?
La loi comprend des droits et obligations comparables à ceux du RGPD, mais se montre (à ce stade) incomplète :
Objet de la loi
La loi détermine le cadre juridique et institutionnel et assure la protection des droits et libertés fondamentaux des personnes physiques, à l’égard du traitement des données à caractère personnel.
Champ d’application de la loi
La loi dispose qu’ « elle s’applique [..] à tout traitement des données à caractère personnel par une personne physique ou personne morale de droit public ou de droit privé, par le pouvoir central, la province et l’entité territoriale décentralisée :
1. lorsqu’il s’agit d’un traitement automatisé ou non des données contenues ou appelées à figurer dans un fichier mis en œuvre par un responsable ».
La loi trouve à s’appliquer si le responsable du traitement est « établi ou non en République Démocratique du Congo, qui recourt à des moyens de traitement situés sur le territoire congolais, à l’exclusion des moyens qui ne sont utilisés qu’à des fins de transit.
Définitions
Aux fins de la loi, les termes suivants ont les significations (fort proches de celles du RGPD) suivantes :
- La donnée à caractère personnel : toute information relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique ;
- Le fichier : une structure des données à caractère personnel selon des critères déterminés, que cet ensemble soit centralisé, décentralisé, ou réparti de manière fonctionnelle ou géographique ;
- Le traitement des données à caractère personnel : toute opération ou ensemble d’opérations effectuées à l’aide de procédés automatisés ou non et appliqué à des données, telles que la collecte, l’exploitation, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction des données à caractère personnel ;
- L’interconnexion de fichiers : tout mécanisme de connexion consistant en la mise en relation de données traitées pour une finalité déterminée avec d’autres données traitées pour des finalités identiques ou non, ou liées par un ou plusieurs responsables de traitement ;
- La personne concernée : personne physique en provenance de laquelle ou au sujet de laquelle les données à caractère personnel ont été demandées et traitées ;
- Le responsable du traitement : n’est étonnamment pas défini par la loi ; Il s’agit d’ « une personne physique ou personne morale de droit public ou de droit privé, [du] pouvoir central, [de] la province et l’entité territoriale décentralisée ».
- Le sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;
- Le destinataire : toute personne habilitée à recevoir la communication des données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données.
La loi confère à la personne concernée trois droits : le droit à la confidentialité, le droit à ne voir ses données à caractère personnel traitées que si elle y consent et le droit à l’interdiction de traitement de ses données particulières.
Droit à la confidentialité
La confidentialité des données à caractère personnel est garantie et protégée par la loi.
La confidentialité se définit comme étant le « maintien du secret des informations et des transactions afin de prévenir la divulgation non autorisée d’information au non-destinataire permettant la lecture, l’écoute, la copie illicite d’origine intentionnelle ou accidentelle durant leur stockage, traitement ou transfert sous réserve de la sécurité publique ».
Droit au consentement
Nécessité du consentement
De façon surprenante, la loi n’autorise les traitements de données à caractère personnel « qu’avec le consentement de la personne concernée ou sur réquisition de l’officier du ministère public ».
Nous pensons que la loi est ici protectrice à l’excès de la personne concernée, au détriment tant de la personne concernée elle-même, que du responsable du traitement et devrait prévoir, comme le RGPD, plusieurs bases de licéité du traitement.
Nécessité d’une autorisation
La collecte, l’enregistrement, le traitement, le stockage et la transmission des données à caractère personnel se font sur autorisation de l’utilisateur concerné ou de l’autorité publique compétente conformément à l’article 126 de la loi.
Ils le sont également sur autorisation de l’autorité publique compétente conformément à l’article 126 de la loi, c’est-à-dire le « ministère public ou [… l]es Cours et Tribunaux dans le cadre de l’instruction judiciaire » ou « les services publics compétents de l’État … pour des raisons de sécurité intérieure et/ou extérieure de l’État, de défense nationale ou d’ordre public ».
Interdiction des traitements de données particulières
Sont interdits la collecte et le traitement des données à caractère personnel qui révèlent l’origine raciale, ethnique ou régionale, la filiation, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, la vie sexuelle, les données génétiques ou plus généralement celles relatives à l’état de santé de la personne concernée.
De façon extrêmement surprenante, la loi ne prévoit pas d’exception à cette interdiction de traitement des données particulières, comme le fait le RGPD.
La loi, de façon très cohérente, indique que « tout consommateur des services de communications électroniques a droit notamment à : …
6. la protection de ses données à caractère personnel conformément aux dispositions des articles 131 à 133 de la présente loi ».
Les opérateurs des réseaux et fournisseurs des services informent les consommateurs de toutes les mesures relatives notamment, à la protection de la vie privée.
Enfin, la loi impose aux fournisseurs de contenus des réseaux « de mettre en place des filtres pour faire face aux atteintes préjudiciables aux données personnelles et à la vie privée des utilisateurs ».
Dans l’hypothèse où la loi viendrait à s’appliquer, le responsable du traitement, sans établissement en RDC, devrait désigner un représentant établi sur le territoire de la République Démocratique du Congo, sans préjudice d’actions qui peuvent être introduites à son encontre.
Le Conseil des ministres du 17 février 2023 a adopté le projet de Décret portant création, composition et fonctionnement de l’Autorité de Régulation des Postes, des Télécommunications et des Technologies de l’Information et de la Communication (ARPTIC)
Ce Décret précise entre autres : (i) les missions de cette nouvelle Autorité de Régulation ; (ii) sa tutelle ; (iii) sa forme juridique et ; (iv) ses ressources nécessaires à la poursuite de sa mission dans ce secteur dont le potentiel d’innovation est en constante évolution et nécessite une régulation adaptée.
En attendant la création effective de l’ARPTIC, l’Autorité de régulation de la poste et des télécommunications du Congo assure le rôle de régulateur.
Attributions de l’ARPTIC
Cette autorité de régulation assure « la régulation et le contrôle de la protection des données à caractère personnel ».
Responsabilité civile
La personne concernée peut naturellement demander le paiement de dommages et intérêts en cas de non-respect de la loi
Sanction pénale
Toute manipulation sans autorisation préalable, des données à caractère personnel est punie d’une amende de 50.000.000 à 100.000.000 de francs congolais à charge de l’employeur.
⇒ Vous pouvez commander ce guide pratique rédigé par Coco Kayudi Misamu et Jean-François Henrotte à cette adresse.
L’Ordonnance-loi n° 23/010 du 13 mars 2023 portant code du numérique a été publiée au Journal officiel du 11 avril 2023 et est donc entrée en vigueur à cette date.
Nous le commenterons prochainement.