Promulgué en mars 2023, le Code du Numérique en République Démocratique du Congo marque un tournant majeur dans la réglementation numérique, en comblant les lacunes antérieures liées à la protection des données. Une caractéristique clé de cette nouvelle législation est l’obligation pour tous les responsables de traitement et les sous-traitants de désigner des délégués à la protection des données, une exigence qui s’étend même aux petites entreprises et organisations sous certaines exceptions.

Cependant, la mise en œuvre de cette obligation à grande échelle présente des défis.

Dans cet article, nous explorerons en détail les implications de cette obligation légale et les défis potentiels auxquels feront face les acteurs du numérique en République Démocratique du Congo.

Depuis près de 6 mois, la législation congolaise en matière du numérique connait un grand tournant avec la promulgation de l’Ordonnance-loi N°23/010 du 13 mars 2023 portant Code du Numérique.

Ce texte, malgré quelques lacunes, vient combler le vide qui régnait dans la législation en la matière, notamment en ce qui concerne la protection des données personnelles.

En effet, le texte le plus récent, en l’occurrence la loi n°20/017 du 25 novembre 2020 relative aux télécommunications et aux technologies de l’information et de la communique n’avait consacré que quelques dispositions à cette question majeure, sans en assurer un bon encadrement. Les principes liés au traitement des données, la question du transfert transfrontalier des données, la question des acteurs impliqués dans le traitement des données, leurs rôles et leurs responsabilités, la désignation et les missions des délégués à la protection des données, pour ne citer que cela, n’avaient pas été abordé.

Le législateur de 2020 a néanmoins fixé deux conditions pour le traitement des données, à savoir : le consentement de la personne concernée ou la réquisition de l’officier du ministère public.

Le Code du Numérique vient donc renforcer la législation, notamment en consacrant tout un livre (Livre III) sur les contenus numériques et qui, lui, regorge un titre entier consacré aux données personnelles (Titre III).

Une des innovations majeures de ce code, qui fait l’objet de la présente étude, est l’obligation de désignation du délégué à la protection des données.

En effet, l’article 222 dudit code dispose :

« Le responsable du traitement désigne un délégué à la protection des données à caractère personnel pour garantir que les traitements ne soient pas susceptibles de porter atteinte aux droits et libertés des personnes concernées. Le délégué est chargé notamment de :

• Assurer, d’une manière indépendante, l’application interne des dispositions du présent livre ;
• Tenir un registre des traitements effectués par le responsable du traitement, contenant les informations visées à l’article 168 de la présente Ordonnance-loi ».

De cette disposition découle des observations qui méritent d’être examinées assez minutieusement :

1. La désignation obligatoire du délégué à la protection des données à caractère personnel par tout responsable du traitement, que le traitement soit occasionnel ou régulier.

Le législateur congolais a donc opté pour une position particulière contraire à la « tendance » qui gouverne les autres législations. A titre d’exemple, le RGPD pose le principe de la désignation facultative du DPO et ne le rend obligatoire que lorsqu’il s’agit des autorités et organismes publics (par exemple, les ministères, collectivités territoriales, établissements publics), les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, les organismes dont les « activités de base » consistent en un traitement « à grande échelle » de données à caractère particulier - c’est-à-dire relatives à des données sensibles : données médicales, données relatives à des condamnations pénales, données ethniques/raciales….

Cette position du législateur congolais signifie donc que même les entreprises privées dont les activités de base ne les amènent pas à réaliser un suivi régulier et systématique des personnes à grande échelle (pour autant qu’elles ne soient des petites ou moyennes entreprises ou des startups), les associations, les écoles, les hôpitaux, et même toute personne physique qui effectue le traitement des données sont obligés de désigner un DPO.

Toutefois, le législateur a prévu des exceptions, tant pour les responsables de traitement que les sous-traitants. il s’agit du cas des petites et moyennes entreprises ainsi que les startups sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et les libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données ou sur des données à caractère personnel relatives à des condamnations pénales.

Il sied de comprendre que même ces exceptions ont des limites. Par exemple : lorsque une petite ou moyenne entreprise ou une startup effectue un traitement de manière régulière (càd non occasionnel comme le prévoit le motif d’exception), elle est obligée de désigner un DPO.

Cela est à la fois une difficulté et une opportunité :

• La difficulté résulte du fait que le nombre d’organismes ayant l’obligation de désigner un DPO est tellement élevé qu’il sera difficile de rassurer que tous se soumettent à cette exigence légale. Aussi, l’Autorité de Protection des Données (qui est l’équivalent de la CNIL française), prévue par les articles 262 et suivants du Code du Numérique, aura certainement des difficultés à gérer tous ses points focaux (puisqu’une des missions du DPO est de servir de point focal pour l’autorité de protection) vu le nombre élevé d’organismes censés les désigner obligatoirement.

• L’opportunité se dégage par le fait que le métier de DPO constitue donc en RDC une offre intéressante dans la mesure où des milliers, voire des centaines de milliers, d’organismes ont l’obligation d’avoir un DPO. A ce jour, ce métier reste encore inconnu ou peu connu des responsables des traitements des DCP dont les activités s’exercent en République Démocratique du Congo.

2. L’ambiguïté sur l’obligation du sous-traitant de désigner un DPO.

En effet, l’article 222 sus évoqué ne présente que le responsable de traitement comme acteur de traitement des données soumis à l’obligation de désigner un DPO ?

Sans doute que le souci du législateur était d’éviter de mélanger les dispositions touchant au responsable de traitement d’avec celles touchant au sous-traitant.

Cependant, lorsqu’à partir de l’article 229, le Code du numérique commence à traiter des obligations du sous-traitant, l’obligation de désigner un DPO n’est pas évoqué comme c’est le cas avec le responsable du traitement. Ce n’est que dans les exceptions aux obligations, notamment celle de tenir un registre et désigner un DPO que présente l’article 231 alinéa 2, que semble se lever cette ambiguïté ou encore à l’article 225 où il est question des garanties dont jouit les DPO dans l’accomplissement de ses missions que l’on remarque le responsable de traitement et le sous-traitant sont tous tenus d’avoir des DPO.

3. L’obligation pour le DPO de tenir un registre. Le législateur congolais impose donc au DPO de ne pas se limiter à conseiller ou à intervenir dans la tenue du registre mais aussi tenir lui-même un registre des traitements des données effectués par le responsable de traitement lorsqu’il a été désigné par celui-ci et de faire de même pour les données traitées par le sous-traitant lorsqu’il a été désigné par ce dernier.

Tout compte fait, la législation congolaise en matière du numérique connait des avancées dont les implications affectent de manière positive la protection des droits et libertés des personnes concernées par le traitement des DCP. Les règles imposées par le législateur ainsi que le cadre institutionnel mis en place facilite l’encadrement du traitement des DCP.

Bibliographie.

 Ordonnance-loi N°23/010 du 13 mars 2023 portant Code du Numérique.
 Règlement (UE) 2016/679 Du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Medel Diawa Nsimba Avocat au Barreau près la Cour d'appel de Kinshasa/Matete, Cabinet Kabemba John et associés, Coordonnateur du Réseau des Juristes Congolais du Numérique (RJCN asbl)