NEWS-JURITECH – N°11 – 28 JUIN 2025 – ©DROIT-NUMÉRIQUE.CD
La ratification par la RDC de la Convention de Malabo : progrès juridique ou saut dans le passé ?
Brozeck KANDOLO
Président de Droit-Numérique.cd
Chargé d’enseignement en Master Droit de l’Intelligence Artificielle à l’ICP
Doctorant contractuel en Droit du numérique à l’Université de Nantes
RÉSUMÉ
| Le 27 juin 2025, la République démocratique du Congo a officiellement ratifié la Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel, communément appelée « Convention de Malabo ». Cette démarche soulève toutefois des interrogations quant à la capacité d’un texte datant de 2014 à répondre aux défis technologiques émergents, tels que l’intelligence artificielle et les objets connectés. Dans cet article, nous analyserons la pertinence de cette ratification au regard des évolutions rapides du paysage numérique. |
Le 27 juin 2025, la République démocratique du Congo (RDC) a officiellement ratifié la Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel, communément appelée Convention de Malabo[1]. Ce traité continental, adopté le 27 juin 2014 à Malabo (Guinée équatoriale), est entré en vigueur le 8 juin 2023, à la suite de sa ratification par 19 États membres de l’Union africaine[2]. En devenant le 17ᵉ État, la RDC rejoint ainsi le cercle des pays africains engagés dans une démarche normative de sécurisation de l’espace numérique et de protection des données personnelles[3].
Toutefois, cette ratification suscite des interrogations au sein de la doctrine et des milieux spécialisés. S’agit-il d’un véritable progrès juridique, traduisant une volonté d’harmonisation avec les standards internationaux en matière de cybersécurité et de protection des données ? Ou au contraire, cette adhésion tardive à un instrument parfois jugé dépassé constitue-t-elle un ancrage dans un cadre normatif déjà obsolescent au regard des défis technologiques contemporains ?
Afin d’évaluer la portée juridique et stratégique de cette ratification, il convient d’examiner, d’une part, la pertinence et les limites du dispositif conventionnel au regard des enjeux technologiques actuels (I), et d’autre part, les implications concrètes de l’intégration de cet instrument international dans l’ordre juridique congolais (II).
I. La Convention de Malabo face aux enjeux numériques émergents
La Convention de Malabo n’est pas un texte technique qui définit point par point toutes les règles applicables aux nouvelles technologies. Elle se présente plutôt comme un instrument-cadre « continental de coopération » visant à créer un cadre juridique africain sur la cybersécurité et la protection des données à caractère personnelle[4]. Autrement dit, elle fixe des objectifs et des principes directeurs, incitant les États parties à adopter en droit interne des règles harmonisées. Comme le souligne son préambule, ainsi que l’article 8 de la Convention, « Chaque État partie s’engage à mettre en place un cadre juridique ayant pour objet de renforcer les droits fondamentaux et les libertés publiques, notamment la protection des données physiques et de réprimer toute infraction relative à toute atteinte à la vie privée sans préjudice du principe de la liberté de circulation des données à caractère personnel ».
Toutefois, la Convention « ne fournit pas de garanties tangibles contre la violation » des droits protégés et « laisse aux États membres le soin de mettre en place un cadre juridique et de confier son contrôle à une autorité nationale »[5]. En conséquence, l’objectif premier de la Convention n’est pas de créer des droits directement invocables par les citoyens ou les personnes concernées, mais d’imposer aux États une obligation de moyen, qui est celle de créer les conditions juridiques et institutionnelles indispensables à une protection effective des données à caractère personnel.
Dans cette perspective, les principes fondamentaux énoncés par la Convention de Malabo demeurent pertinents et pleinement applicables aux réalités contemporaines. L’article 13 de la Convention énonce ainsi une série de principes classiques en matière de protection des données à caractère personnel : le consentement libre et éclairé de la personne concernée, licéité et loyauté du traitement, finalité explicite des traitements, collecte « pertinente et non excessive », conservation limitée, exactitude, transparence, confidentialité et sécurité des données. Ces principes, qui relèvent du bon sens juridique, conservent toute leur actualité, y compris face aux mutations technologiques telles que l’intelligence artificielle, les plateformes numériques, ou les réseaux sociaux. Rien, en effet, ne fait obstacle à leur mise en œuvre, quel que soit le vecteur technologique utilisé pour la collecte ou le traitement des données.
De même, la Convention établit un cadre général pour la lutte contre la cybercriminalité[6], en appelant les États parties à incriminer et à adapter des infractions classiques (vol, escroquerie, extorsion) à l’environnement numérique. Ces dispositions montrent que la Convention couvre les grands types d’enjeux techniques, même si elles demeurent plutôt générales.
En revanche, les critiques portant sur l’obsolescence de la Convention ne sont pas infondées. De nombreux auteurs ont relevé que la Convention, adoptée en 2014, ne prend pas en compte un ensemble d’enjeux aujourd’hui devenus centraux, tels que l’intelligence artificielle, l’Internet des objets, le cyberterrorisme ou encore les transferts transfrontaliers de données vers des entreprises technologiques dominantes installées hors du continent. Comme le souligne une partie de la doctrine, « les États africains doivent faire face à une évolution et à une démocratisation des technologies de l’information (…) qui n’avaient pas été prises en considération lors de l’élaboration de la convention. Il s’agit, entre autres, de l’intelligence artificielle, des objets connectés, et surtout de la disparition des frontières physiques, qui oblige à renforcer l’encadrement du transfert des données personnelles vers de puissantes entreprises établies à l’étranger »[7]. Il est également rappelé que la Convention devrait faire l’objet d’une « mise à jour continue » afin « intégrer des questions émergentes telles que l’intelligence artificielle et le cyberterrorisme »[8]. En résumé, la Convention pourrait être complétée (par un protocole ou une révision) afin d’incorporer ces nouveaux défis, ce qui ne diminue pas la portée des dispositions existantes, mais en souligne les limites face aux technologies récentes.
On peut donc soutenir que la Convention de Malabo conserve, encore aujourd’hui, une utilité certaine. Le discours tendant à la qualifier d’obsolète apparaît excessif, voire infondé, lorsqu’on considère qu’il s’agit avant tout d’un socle commun de principes directeurs à vocation incitative pour les États africains. Ce texte n’est pas désuet dans son essence, car il énonce des obligations de principe, notamment en matière de législation nationale, de création d’autorités et d’encadrement du traitement des données à caractère personnel.
Certes, la Convention ne prétend ni se substituer aux législations nationales plus détaillées ni répondre de manière exhaustive aux défis posés par l’évolution rapide des technologies numériques. Le débat reste donc ouvert quant à l’opportunité d’une révision ou d’une mise à jour de son contenu. Toutefois, en l’état, sa ratification par la RDC doit être interprétée moins comme une adhésion à un texte dépassé que comme un engagement à renforcer le cadre juridique national. Il s’agit d’une étape constructive, porteuse de conséquences concrètes pour le droit interne, et non d’un simple attachement à un « morceau de papier » sans portée juridique réelle, une vision que nous ne partageons pas.
II. Les implications juridiques de la ratification de la Convention par la RDC
La ratification de la Convention de Malabo par la RDC emporte plusieurs conséquences juridiques notables. En premier lieu, sur le plan constitutionnel, ce traité acquiert une valeur supérieure à celle de la loi ordinaire. L’article 215 de la Constitution congolaise dispose en effet que : « Les traités et accords internationaux régulièrement conclus ont, dès leur publication, une autorité supérieure à celle des lois, sous réserve, pour chaque traité ou accord, de son application par l’autre partie. ». Cette hiérarchie normative a été expressément réaffirmée par la Cour constitutionnelle lors du 7ᵉ Congrès de l’ACCPUF, qui a souligné que « l’article 215 de la Constitution met en exergue l’autorité supérieure des traités sur les lois »[9].
En conséquence, dès lors que la Convention a été régulièrement ratifiée et publiée, elle s’impose à l’ordre juridique interne, sous réserve de sa conformité à la Constitution[10]. La ratification, dans le cas présent, a été subordonnée à l’adoption préalable d’une loi d’autorisation, conformément aux exigences constitutionnelles en matière d’engagements internationaux, il s’agit de l’ordonnance-loi n°23/008 du 10 mars 2023 autorisant la ratification qui avait été approuvée par l’Assemblée nationale le 4 avril 2023.
Le dépôt officiel par la RDC de son instrument de ratification auprès du Secrétaire général de l’Union africaine, le 27 juin 2025 a eu pour effet de lier juridiquement l’État aux obligations prévues par la Convention. Dès lors, la RDC est tenue, en vertu notamment de l’article 8 de la Convention, de « mettre en place un cadre juridique ayant pour objet de renforcer les droits fondamentaux et les libertés publiques, notamment la protection des données à caractère personnel, et de réprimer toute infraction relative à toute atteinte à la vie privée […]»[11].
Sur le plan législatif, la République démocratique du Congo dispose déjà d’un corpus normatif encadrant la protection des données à caractère personnel. Toutefois, la ratification de la Convention de Malabo constitue un catalyseur pour l’harmonisation et le renforcement de ce cadre juridique.
D’une part, la loi n° 20/017 du 25 novembre 2020 relative aux télécommunications et aux technologies de l’information et de la communication (TIC) a, pour la première fois, introduit en droit congolais des dispositions relatives à la protection des données personnelles. Elle consacre notamment le principe du respect des droits fondamentaux en matière de traitement des données, tout en prévoyant l’adoption de décrets d’application pour en préciser les modalités. Toutefois, ces mesures réglementaires sont restées inabouties.
Par ailleurs, la RDC s’est dotée d’un texte plus récent et juridiquement plus abouti, il s’agit de l’ordonnance-loi n° 23/010 du 13 mars 2023 portant Code du numérique, publiée au Journal officiel le même jour que la ratification de la Convention de Malabo. Ce Code établit un cadre normatif plus complet en matière de gouvernance numérique. Son Livre III est consacré aux contenus numériques et comprend notamment un Titre III intitulé « Des données à caractère personnel » ainsi qu’un Titre IV relatif à « L’Autorité de protection des données à caractère personnel »[12]. Il en résulte une volonté claire du législateur congolais de consacrer à la fois un droit fondamental à l’autodétermination informationnelle et une autorité administrative indépendante chargée d’en garantir la mise en œuvre, conformément aux exigences posées par la Convention de Malabo.
Sur le plan pratique, la ratification de la Convention de Malabo impose à la RDC une exigence de cohérence normative. Il s’agira notamment de veiller à la mise en conformité des instruments juridiques nationaux avec les prescriptions de la Convention. À cet égard, la question de l’Autorité de protection des données (APD) est centrale. Conformément à l’article 11 de la Convention, cette autorité doit jouir d’une indépendance institutionnelle effective et disposer de pouvoirs propres d’enquête, de contrôle et de sanction. Or, dans l’état actuel du droit congolais, ces prérogatives ont été confiées le 17 août 2024 par l’Arrêté ministériel n°cab/min/pt&n/akim/kl/kbs/051/2024 à l’Autorité de régulation de la poste et des télécommunications (ARPTC), ce qui pose question quant à la conformité du dispositif national aux standards fixés par la Convention[13]. Une réforme institutionnelle pourrait donc s’avérer nécessaire pour garantir une véritable autonomie fonctionnelle de l’APD et assurer ainsi le respect des engagements internationaux de la RDC.
En matière répressive, la RDC devra adapter son droit pénal pour y intégrer les infractions liées à la cybercriminalité énumérées par la Convention. Actuellement, bien que le Code du numérique aborde certains actes illicites commis via des systèmes informatiques[14], il reste lacunaire en ce qui concerne d’autres formes de cybercriminalité. Il sera donc nécessaire de compléter le Code pénal et les textes de procédure pénale, ou d’adopter une législation spécifique, afin d’englober l’ensemble des comportements visés par la Convention.
Cela dit, sur plusieurs aspects, la législation nationale est d’ores et déjà partiellement conforme aux dispositions de la Convention de Malabo. Le Code du numérique constitue un exemple en ce sens, notamment en ce qui concerne les principes applicables au traitement des données à caractère personnel, ou encore sur le principe de territorialité élargie, en disposant que le droit congolais s’applique au « responsable du traitement, qu’il soit établi ou non en RDC, s’il recourt à des moyens de traitement situés sur le territoire congolais »[15]. La ratification de la Convention vient ainsi renforcer et consacrer ce principe déjà intégré dans le droit interne.
Au-delà du cadre juridique national, cette ratification constitue un levier important de renforcement de la coopération internationale. En adhérant à cet instrument continental, la RDC se dote de bases juridiques pour solliciter l’assistance technique, échanger des renseignements et coordonner ses actions avec les autres États parties, en particulier dans la lutte contre la cybercriminalité transnationale[16], cela renforcera également la crédibilité du pays auprès de partenaires techniques et commerciaux, et facilitera la coopération entre entreprises congolaises et étrangères dans un cadre normatif désormais plus lisible et partagé.
En définitive, la ratification de la Convention de Malabo par la RDC ne saurait être réduite à un geste symbolique. Elle emporte des effets juridiques concrets, notamment en consolidant la législation nationale sur la cybersécurité et la protection des données personnelles, tout en affirmant la souveraineté numérique de l’État congolais. Certes, les critiques relatives à l’obsolescence partielle du texte, notamment sur des enjeux émergents tels que l’intelligence artificielle ou les objets connectés, demeurent valables, elles n’affectent pas la validité ni l’utilité de l’instrument de nos jours. Cette ratification s’inscrit au contraire dans une dynamique continentale de consolidation de la régulation du numérique[17]. Le véritable défi résidera désormais dans la mise en œuvre effective des obligations conventionnelles, puis, à moyen terme, dans la participation active à une éventuelle actualisation du texte afin de le maintenir en adéquation avec les avancées technologiques. En ce sens, la démarche congolaise constitue bel et bien un progrès juridique et un pas structurant vers une gouvernance numérique plus cohérente et intégrée, et non un saut vers le passé.
[1] Cette ratification fait suite à l’adoption, par l’Assemblée nationale de la RDC, le 4 avril 2023, de l’Ordonnance-loi n° 23/008 du 10 mars 2023, autorisant la ratification de la Convention de l’Union africaine sur la cybersécurité et la protection des données à caractère personnel, adoptée à Malabo le 27 juin 2014.
[2] W.F. Dongbou, W. Semmar-Belghazi, « L’entrée en vigueur de la Convention de l’Union Africaine sur la cybersécurité et la protection des données : quelle pertinence neuf ans plus tard ? », Africa Data Protection, 31 janvier 2024, en ligne https://blog.africadataprotection.org/blog/2024/01/31/lentree-en-vigueur-de-la-convention-de-lunion-africaine-sur-la-cybersecurite-et-la-protection-des-donnees-quelle-pertinence-neuf-ans-plus-tard/ (consulté le 27 juin 2025)
[3] Lire E. Bulonza, « RDC : l’Assemblée nationale ratifie l’ordonnance loi autorisant la ratification de la Convention de Malabo », CIOMAG, 6 avril 2023, en ligne https://cio-mag.com/rdc-lassemblee-nationale-ratifie-lordonnance-loi-autorisant-la-ratification-de-la-convention-de-malabo/ (consulté le 27 juin 2025) ; J. Nadiya, « La RDC ratifie la convention africaine de Malabo sur la cybersécurité, la Tunisie traine encore | THD – Tunisie Haut Debit », 6 avril 2023, en ligne https://www.thd.tn/la-rdc-ratifie-la-convention-africaine-de-malabo-sur-la-cybersecurite-la-tunisie-traine-encore/ (consulté le 27 juin 2025)
[4] M. El Manir, « La cyberespace africain : un champ aux contradictions manifestes », Policy Center for the New South, Policy Brief, November 2019, PB-19/41, p.7.
[5] W.F. Dongbou, W. Semmar-Belghazi, « L’entrée en vigueur de la Convention de l’Union Africaine sur la cybersécurité et la protection des données», op. cit., note 2.
[6] Voir l’article 25 de la Convention de Malabo.
[7] W.F. Dongbou, W. Semmar-Belghazi, « L’entrée en vigueur de la Convention de l’Union Africaine sur la cybersécurité et la protection des données», op. cit. note 2.
[8] B. Diallo, « Entrée en vigueur de la convention de Malabo. Au-delà de la bonne nouvelle, les défis de sa mise en œuvre et de son actualisation », Revue Global Africa n° 05.2024, pp.40-55.
[9] N. Kilomba Ngozi Mala, « Cour constitutionnelle de la République démocratique du Congo », 7e Congrès de l’Association des Cours Constitutionnelles francophones, p. 523.
[10] Lire à ce sujet J. Kazadi Mpiana, La position du droit international dans l’ordre juridique congolais et l’application de ses normes, Paris, Publibook, 2014.
[11] Article 8 de la Convention de Malabo.
[12] Pour en savoir plus sur l’Autorité de protection des données en RDC, nous lire dans B. Kandolo, « ARPTIC/ARPTC Invertie des missions de l’Autorité de Protection des Données en RD-Congo », Africa Data Protection Rapport, décembre 2024, en ligne https://droitnumerique.cd/arptic-arptc-investie-des-missions-de-lautorite-de-protection-des-donnees-en-rd-congo/ (consulté le 27 juin 2025) ; B. Kandolo, « RD-Congo : perspectives de l’autorité de protection des données », Africa Data Protection Report, janvier 2024, p. 18 ; B. Kandolo, « Régulation du numérique en RDC : l’ARPTIC investie autorité unique pour la régulation du numérique, la certification électronique et la protection des données », Droit-Numérique.cd, Dossier N° 4 – Août 2024, en ligne https://droitnumerique.cd/regulation-du-numerique-en-rdc-larptic-investie-autorite-unique-pour-la-regulation-du-numerique-la-certification-electronique-et-la-protection-des-donnees/ (consulté le 27 juin 2025)
[13] Une analyse que nous avons réalisée à la suite de cet arrêté, que nous considérons comme contra legem. Voir B. Kandolo, ARPTIC/ARPTC Invertie des missions de l’Autorité de Protection des Données en RD-Congo, op. cit. note 12.
[14] Voir Livre IV du Code du numérique Congolais.
[15] L’application spatiale du Code du numérique en matière de protection des données repose sur deux critères géographiques, définis par rapport au territoire de la RDC, à savoir le lieu d’établissement du responsable de traitement ou du sous-traitant, ainsi que La localisation des personnes concernées par le traitement. Pour plus de précisions, voir l’article 184, point3, du Code du numérique. Nous lire dans droitnumerique.cd, « Le transfert des données personnelles hors de la RD Congo », Droit-Numérique.cd, 27 mars 2025, en ligne https://droitnumerique.cd/le-transfert-des-donnees-personnelles-hors-de-la-rd-congo/ (consulté le 27 juin 2025)
[16] Voir les articles 12, 25, 26, 28 de la Convention de Malabo.
[17] F.B. Bulambo, « Blog Economie Numérique – Protection des données personnelles : un pont entre l’Union africaine et l’Union européenne ? », Blog Economie Numérique, 9 novembre 2023, en ligne https://blog.economie-numerique.net/2023/11/09/protection-des-donnees-personnelles-un-pont-entre-lunion-africaine-et-lunion-europeenne/ (consulté le 27 juin 2025)
