Toutefois, le législateur congolais n’a pas donné de précision, contrairement à d’autres législations, sur la possibilité d’externalisation ou de mutualisation de l’exercice de la fonction de délégué à la protection des données.
Dans cet article, nous explorerons en détail les possibilités qui s’offrent à l’exercice de la fonction de délégué à la protection des données, en l’occurrence les possibilités d’externalisation et de mutualisation de ladite fonction.
Avec l’avènement de l’Ordonnance-loi N°23/010 du 13 mars 2023 portant Code du Numérique, la République Démocratique du Congo s’est mis à la page de l’évolution des normes en vue de se conformer au progrès des technologies de la communication et de l’information (TICs).
Certes, il existe toujours un écart entre l’évolution des TICs et la législation congolaise en vigueur, notamment sur de questions comme l’intelligence artificielle, mais cet écart a été fortement réduit avec ce nouveau texte, en vigueur depuis un peu plus d’une année.
Si la question de l’intelligence artificielle, pour ne citer que cela, n’a pas encore un encadrement juridique adéquat en droit congolais, la question des données personnelles bénéficie largement, quant à elle, d’un encadrement efficace.
C’est ainsi que la protection des données personnelles occupe une place importante dans la législation congolaise du numérique. Au cœur de cette question, l’on retrouve un acteur important : le délégué à la protection des données à caractère personnel, en abrégé DPD ou DPO (pour Data Protection Officer).
La fonction de délégué à la protection des données à caractère personnel a été introduit par l’article 222 du Code du numérique en ces termes :
« Le responsable du traitement désigne un délégué à la protection des données à caractère personnel pour garantir que les traitements ne soient pas susceptibles de porter atteinte aux droits et libertés des personnes concernées. Le délégué est chargé notamment :
1. d’assurer, d’une manière indépendante, l’application interne des dispositions du présent livre ;
2. de tenir un registre des traitements effectués par le responsable du traitement, contenant les informations visées à l’article 168 de la présente Ordonnance-loi ».
La présente recherche vise à traiter deux aspects importants de l’exercice de cette fonction : l’externalisation et la mutualisation de la fonction de délégué à la protection des données à caractère personnel.
L’externalisation peut être comprise comme le fait pour un responsable de traitement ou un sous-traitant de désigner un délégué à la protection des données en dehors des membres de son personnel, notamment sur la base d’un contrat de service.
La mutualisation peut être comprise comme le fait pour plusieurs responsables de traitement ou plusieurs sous-traitants de désigner un seul et même délégué à la protection des données.
En effet, comme cela est prévu dans plusieurs législations telles que les législations européenne et béninoise, le DPO peut être interne (à l’organisme responsable de traitement ou sous-traitant), externe (personne physique, cabinet d’avocats, cabinet de consultance) ou mutualisé (affilié à plusieurs organismes).
La législation congolaise n’a, pour sa part, pas prévu de manière explicite l’externalisation et la mutualisation de la fonction de délégué à la protection des données.
La législation européenne, qui reste une référence en la matière, précise, dès l’introduction des dispositions traitant de la fonction de délégué à la protection des données, la possibilité d’externalisation et de mutualisation de celle-ci, notamment par ces termes :
« Un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement.
Le délégué à la protection des données peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service ».
Le législateur congolais n’a donc pas voulu suivre cette logique que la législation béninoise (inspirée du droit européen) a tenu de suivre, pour sa part.
Cette position du législateur congolais semble entrer en contradiction avec l’obligation de désigner un délégué à la protection des données qu’il impose à tout responsable de traitement et sous-traitant, sauf pour quelques exceptions.
En effet, en droit européen par exemple, la désignation du DPO est facultative et n’est obligatoire que lorsqu’il s’agit des autorités et organismes publics (par exemple, les ministères, collectivités territoriales, établissements publics), les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, les organismes dont les « activités de base » consistent en un traitement « à grande échelle » de données à caractère particulier - c’est-à-dire relatives à des données sensibles : données médicales, données relatives à des condamnations pénales, données ethniques/raciales…. Pourtant, cette fonction, qui est même de plus en plus perçue comme un métier, a créé plusieurs opportunités d’emplois et de contrat de service, notamment suite à l’externalisation et la mutualisation. Des formations et des diplômes universitaires ont vu le jour suite aux nombreuses opportunités existantes.
Si donc, par le fait qu’une législation ait rendu facultative la désignation du DPO (obligatoire que pour 3 cas) des débouchés sont considérables, qu’en sera-t-il de la législation congolaise qui la rend obligatoire ?
La question reste pendante et l’avenir nous en dira plus.
Il sied, par ailleurs, de préciser que la législation congolaise a, cependant, suivi certaines mesures visant à protéger les missions du DPO, telles que prévues dans d’autres législations. Il s’agit notamment de :
- la garantie de l’indépendance du DPO dans l’exercice de ses missions ;
- l’interdiction, pour le responsable de traitement ou le sous-traitant, de donner des instructions au DPO en ce qui concerne l’exercice de ses missions ;
- l’interdiction de sanctionner le DPO dans l’exercice de ses fonctions ;
- l’imposition du secret professionnel en ce qui concerne l’exercice de ses missions de DPO ;
- la protection du DPO face à toute forme de conflit d’intérêt.
Face à ces observations, faut-il conclure que l’externalisation et la mutualisation de la fonction de DPO seraient-elles illégales en droit congolais ?
De notre point de vue, c’est non.
En effet, notre position se fonde, notamment, sur les arguments suivants :
- le législateur n’impose pas non plus que le DPO ne soit qu’interne (c’est-à-dire un membre du personnel du responsable de traitement ou du sous-traitant) et pas externe ou mutualisé ;
- le nombre très élevé de responsables de traitement et de sous-traitants soumis à l’obligation de désigner un DPO pourra conduire à différentes approches (mutualisation, externalisation) qui faciliteront tant les entreprises visées que l’autorité de protection elle-même. Cela réduirait, en outre, le nombre de points focaux imposés à l’autorité de protection par la loi ;
- le fait que la fonction de DPO a souvent vocation à devenir un métier à part entière (tel que c’est le cas ailleurs) et les conséquences qui en découlent sur le marché de l’emploi finira par conduire à son externalisation et à sa mutualisation ;
- l’expérience en droit étranger a montré que les avocats forment le plus grand groupe des DPO alors que ceux-ci sont soumis à des incompatibilités. Cela n’est donc possible que s’ils ne sont pas membres du personnel du responsable de traitement ou du sous-traitant.
Ainsi donc, la fonction de DPO, qui du reste n’est pas encore suffisamment vulgarisée en RDC, peut s’exercer de plusieurs manières dans le strict respect des missions que lui assigne la législation en la matière. Cela ne pose aucun problème si ces missions sont exercées conformément à la loi.
