Depuis le 13 mars 2023, la République démocratique du Congo (ci-après RD-Congo) a mis en place une réglementation dans le domaine du numérique, à travers l’ordonnance-loi n°23/010, qui concerne le Code du numérique. Une partie importante de cette nouvelle législation aborde la question cruciale de la protection des données personnelles. Ces dispositions sont détaillées dans le titre III du Code du numérique.
La pertinence d’une législation sur la protection des données personnelles repose souvent sur l’autorité de contrôle qui lui est associée. Cette autorité de contrôle joue un rôle essentiel en veillant à ce que les règles établies dans ce domaine soient respectées, dans le but de protéger les personnes concernées. En d’autres termes, la force de cette législation se mesure à la puissance de son organe de surveillance, garantissant ainsi une protection efficace des données personnelles.
Afin de garantir le respect de cette réglementation, le législateur congolais prévoit la mise en place d’une autorité de contrôle en matière de protection des données personnelles appelée Autorité de Protection des Données ou « APD ». Il est important de noter qu’à la rédaction de cette note, cet organe de contrôle n’a pas encore été créé. Cependant, nous examinerons ici les compétences prévues, ainsi que les pouvoirs de sanctions qui lui sont reconnus.
Les compétences de l’autorité de protection des données en RD-Congo
Le fonctionnement de l’Autorité de Protection des Données Congolais (APD) s’inspire largement de ses homologues européens et africains. Sa mission principale est de contrôler le respect de la protection des données personnelles afin de sauvegarder la vie privée de ceux dont les données sont hébergées en RD-Congo. Cependant, sa particularité réside dans sa compétence, celle de contrôler également les traitements des données publiques.
Cette entité possèdera le statut d’une autorité administrative indépendante, avec une personnalité juridique, jouissant d’une autonomie administrative et financière. Parmi les compétences qui lui sont attribuées, les plus marquantes incluent la capacité de rendre des avis et de formuler des recommandations sur les traitements des données personnelles et publiques. Ceci vise à informer les personnes concernées ainsi que les responsables de traitement de leurs droits et obligations.
Une particularité distinctive de cette autorité est le système déclaratif des traitements des données personnelles. En d’autres termes, les responsables de traitement doivent soumettre des déclarations à cette autorité avant de traiter certaines données personnelles. Cela diffère du système d’accountability, qui permet la mise en place de traitements sans nécessiter une déclaration préalable à l’autorité de contrôle.
L’APD a également le pouvoir d’engager des actions devant les tribunaux et de mener des enquêtes en cas de constatation de violations des données personnelles et publiques. Cependant, toutes ces actions doivent avoir une finalité répressive ou corrective. En conséquence, l’APD est habilitée à prononcer des sanctions en cas de non-respect des règles relatives aux données personnelles et publiques.
Pouvoirs et Sanctions de l’Autorité de Protection des Données
Un certain nombre de mesures administratives sont reconnues par cette autorité. Notamment, elle peut émettre des avertissements à l’encontre d’un responsable de traitement. De plus, elle a le pouvoir de mettre en demeure pour faire cesser le manquement, et le délai de mise à conformité ne peut excéder huit jours.
L’APD peut également imposer des sanctions pécuniaires à l’encontre d’un responsable de traitement ne respectant pas les dispositions du code du numérique en matière de protection des données. Ces sanctions peuvent inclure un paiement de huit millions à deux cents millions de francs congolais. En cas de violation ayant entraîné la mort ou une tentative de meurtre d’une ou plusieurs personnes, une amende équivalente à 5% de son chiffre d’affaires annuel peut être infligée. De plus, elle a le pouvoir de prononcer une injonction de cessation de traitement des données à caractère personnel si la violation a mis en danger la sécurité et la sûreté nationales et/ou conduit à un crime de masse ou à un génocide.
Bien que l’organe de contrôle en matière de protection des données ne soit pas encore opérationnel, son établissement représente un pas significatif vers l’instauration d’un cadre réglementaire solide. Cette initiative vise à trouver un équilibre entre l’innovation numérique et la protection des droits individuels, nécessitant un suivi attentif pour évaluer son impact sur le paysage numérique congolais.
Par Brozeck KANDOLO, Doctorant droit privé.