NEWS-JURITECH – N°12 – 12 JUILLET 2025 – ©DROIT-NUMÉRIQUE.CD

Fuite massive de données et alerte de l’ARPTC : quelles obligations pour les entreprises au regard du Code du numérique ?

L’ESSENTIEL

Dans un article publié en juin 2025 sur le site « Cybernews », il a été révélé que plus de 16 milliards d’identifiants et de mots de passe, constituant des données à caractère personnel, ont été mis en ligne. Face à cette situation préoccupante, l’ARPTC, qui exerce les missions de l’Autorité de protection des données en RDC, a publié le 11 juillet un communiqué appelant la population à prendre des mesures de sécurité. Étant donné que les fuites de données peuvent résulter de failles techniques ou organisationnelles au sein des entreprises, celles-ci soulèvent la question de leur conformité aux obligations légales en matière de protection des données personnelles et de leur responsabilité en cas de violation de données.

INTRODUCTION

Le 11 juillet 2025, l’Autorité de Régulation de la Poste et des Télécommunications du Congo « ci-après ARPTC » a publié un communiqué officiel n° ARPTC/CLG/005/2025 annonçant l’existence d’une fuite massive de données personnelles[1], portant sur plus de 16 milliards d’identifiants et de mots de passe désormais accessibles en ligne. L’information a d’abord été relayée par le média spécialisé Cybernews[2], puis confirmée par la Commission nationale de l’informatique et des libertés (CNIL)[3], autorité française de protection des données. Toutefois, selon la CNIL elle-même, il ne s’agirait pas d’une fuite de données inédite, mais plutôt d’une agrégation de plusieurs fuites antérieures, compilées et diffusées à grande échelle. Autrement dit, aucune nouvelle brèche de sécurité n’aurait été identifiée[4], mais l’exposition cumulée de données déjà compromises crée un risque renouvelé pour les personnes concernées.

Cette communication officielle revêt néanmoins une portée symbolique et juridique significative, dans la mesure où elle constitue la première prise de parole publique de l’ARPTC dans le cadre de ses nouvelles compétences en matière de protection des données à caractère personnel[5]. Elle invite ainsi à réinterroger les obligations juridiques qui incombent aux entreprises, congolaises ou étrangères, lorsqu’elles traitent des données personnelles relatives à des résidents congolais, en particulier en cas de fuite ou de violation de ces données.

L’analyse qui suit propose donc, dans un premier temps, de rappeler les obligations générales de conformité à la protection des données imposées aux entreprises par le Code du numérique (A), avant d’examiner, dans un second temps, les devoirs spécifiques qui leur incombent en cas de violation de données personnelles (B).

1. Le cadre juridique de la protection des données personnelles en RDC

La protection des données à caractère personnel en République démocratique du Congo (RDC) repose aujourd’hui sur un socle normatif tripartite, articulé autour de trois instruments principaux, loi n° 20/017 du 25 novembre 2020 relative aux télécommunications et aux technologies de l’information et de la communication, le Code du numérique adopté en 2023, et, plus récemment, la Convention de Malabo (Union africaine), relative à la cybersécurité et à la protection des données à caractère personnel, depuis sa ratification par la RDC, le 27 juin 2025[6].

Ces textes convergent pour reconnaître comme donnée personnelle « toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement »[7]. Cette définition recouvre aussi bien les données directement identifiantes (nom, prénom, etc.) que les données indirectement identifiantes, telles que les identifiants de connexion, l’adresse IP, ou encore les données de géolocalisation.

Le Code du numérique congolais, en particulier, institue un régime contraignant à l’égard des entités qui collectent, traitent ou stockent des données personnelles, qu’il s’agisse d’acteurs publics ou privés, congolais ou étrangers, dès lors que le traitement concerne des résidents situés sur le territoire national[8]. Ces entreprises sont ainsi tenues de respecter les principes fondamentaux d’un traitement licite, notamment la transparence, la finalité déterminée, la proportionnalité, la sécurité des données et le respect des droits des personnes concernées[9].

À ce titre, toutes les entreprises relevant de ce champ d’application sont soumises au contrôle de l’ARPTC, laquelle assure désormais les fonctions d’autorité de protection des données à caractère personnel[10]. En cas de manquement, il est prévu un ensemble de sanctions administratives[11], civiles[12] et pénales[13], selon la gravité de l’infraction.

Dans ce contexte, la fuite massive de données alertée par l’ARPTC constitue un test grandeur nature pour l’effectivité de ce dispositif. Elle impose de s’interroger sur le niveau de préparation des entreprises opérant sur le territoire national face à ce type de risque, mais aussi sur l’effectivité des obligations spécifiques qui leur incombent en cas de violation avérée des données personnelles, ce qui fera l’objet du point suivant.

B. La fuite de données personnelles et responsabilités des entreprises

L’approche légistique contemporaine en matière de protection des données personnelles repose de plus en plus sur le principe de « privacy by design »[14], c’est-à-dire l’intégration, dès la conception d’un traitement ou d’un système informatique, des garanties nécessaires à la protection des données. Cette logique impose aux responsables de traitement d’anticiper les risques et de concevoir des dispositifs techniques et organisationnels permettant de garantir le respect des droits des personnes concernées, avant même toute mise en œuvre opérationnelle. Le Code du numérique congolais, à l’instar des réglementations internationales telles que Le Règlement général de protection des données (RGPD), a intégré cette exigence dans ses  dispositifs[15].

Dans ce contexte, il convient de rappeler qu’une fuite de données personnelles, également appelée violation de données, correspond à tout incident de sécurité, intentionnel ou non, ayant pour conséquence la perte, la destruction, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données à caractère personnel[16]. Il peut s’agir, par exemple, d’un piratage informatique, d’une erreur humaine, d’une perte de support de stockage (clé USB, disque dur), d’un envoi de fichiers au mauvais destinataire, ou encore d’une publication accidentelle sur internet.

En l’espèce, dans le cadre de l’affaire de fuite de données révélée par Cybernews, il s’agit d’une fuite délibérée résultant de plusieurs actes de piratage informatique[17]. Cette situation constitue une violation manifeste des données à caractère personnel. Or, ces données proviennent généralement de bases de données d’entreprises, et rien ne permet d’exclure que, parmi 16 milliards d’identifiants et de mots de passe, certaines informations concernent des résidents congolais.

Le Code du numérique congolais ne fournit pas, à ce jour, de définition précise de la notion de violation de données à caractère personnel. Dans ce vide, il est opportun de se référer à la définition donnée par l’article 4, §12 du RGPD, qui appréhende la violation de données comme tout « […] une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé  […]», pouvant entraîner des risques pour les droits et libertés des personnes concernées. Cette définition a le mérite de couvrir l’ensemble des atteintes possibles à l’intégrité, la confidentialité ou la disponibilité des données, indépendamment du fait qu’elles soient intentionnelles ou non.

Ainsi, lorsqu’une entreprise traitant des données personnelles de citoyens congolais est confrontée à un tel incident, elle ne saurait invoquer son statut de victime pour écarter sa propre responsabilité. En sa qualité de responsable du traitement, elle reste juridiquement tenue de respecter un ensemble d’obligations immédiates, visant à limiter les conséquences de la violation et à garantir la transparence vis-à-vis des personnes concernées et de l’autorité de régulation compétente, en l’occurrence l’ARPTC.

Parmi ces obligations, on peut notamment relever :

• L’obligation de notifier à l’ARPTC : conformément à l’article 244 du Code du numérique, tout responsable de traitement doit déclarer sans délai à l’Autorité de protection des données toute violation susceptible de porter atteinte aux droits et libertés des personnes concernées. Cependant, l’absence de précision sur le délai exact de notification constitue une faiblesse législative notable. Contrairement au RGPD, qui fixe un délai clair de 72 heures à compter de la découverte de la violation, le Code numérique se contente de la formule vague « sans délai ». Ce flou normatif risque d’entraver l’efficacité du contrôle, en offrant aux responsables de traitement une marge d’appréciation discutable, voire un prétexte pour retarder indûment la notification, au détriment des droits des personnes concernées.
• L’obligation d’information des personnes concernées : en cas de fuite de données, le responsable du traitement doit également informer sans délai les personnes concernées, toujours en vertu de l’article 244 du Code du numérique. Cette information directe vise à permettre aux individus d’exercer rapidement leurs droits, de limiter les risques de préjudice (changement de mot de passe, blocage de compte, dépôt de plainte, etc.), et de conserver une maîtrise sur l’usage de leurs données. Là encore, le texte souffre du même manque de rigueur quant à la temporalité de l’information, aucune précision n’est donnée sur le point de départ du délai, il serait souhaitable que l’ARPTC, en sa qualité de régulateur, vienne préciser par voie de soft law (recommandations, lignes directrices ou décisions-cadres) les modalités concrètes d’application.
• L’obligation de mettre en place des mesures préventives : au-delà des seules obligations de notification et d’information précédemment évoquées, il ressort des articles 219 et 221 du Code du numérique, ainsi que l’article 21 de la convention de Malabo, qu’il existence d’une obligation plus large de responsabilité proactive à la charge du responsable de traitement. Cette exigence, bien que de portée générale, est appelée à jouer un rôle central dans les contrôles et investigations menés par l’ARPTC, en particulier en cas de fuite de données. Concrètement, le responsable du traitement doit être en mesure de démontrer qu’il avait mis en place, en amont, des mesures de sécurité adaptées et proportionnées, destinées à limiter les risques d’intrusion, de piratage ou de compromission accidentelle. Il peut s’agir, par exemple, de l’installation de pare-feux, du chiffrement des bases de données, de la gestion stricte des accès, mais aussi de la sensibilisation continue du personnel aux bonnes pratiques en matière de sécurité des systèmes d’information.

QUE CONCLURE ?

Il est aujourd’hui indéniable qu’aucune entreprise, quelle que soit sa taille ou son secteur, n’est à l’abri des menaces croissantes liées aux cyberattaques et aux fuites de données[18]. La République démocratique du Congo n’échappe pas à cette réalité, comme en témoignent les nombreuses attaques visant tant le secteur privé que le secteur public[19]. Le communiqué de l’ARPTC se veut un rappel essentiel pour toutes les organisations, soulignant l’importance capitale de la cybersécurité pour la protection des données personnelles, qui constitue à l’ère du numérique le fondement de la vie privée. Ainsi, les entreprises doivent y voir une invitation à prendre pleinement conscience des risques encourus et à renforcer leurs dispositifs de protection. Par ailleurs, il est crucial que ces entités respectent scrupuleusement la législation congolaise en la matière, afin d’assurer non seulement leur propre sécurité, mais aussi la confiance de leurs partenaires et clients. La vigilance et la conformité réglementaire sont aujourd’hui des enjeux majeurs pour garantir la pérennité des activités économiques dans un environnement numérique toujours plus complexe.

---

[1] Communiqué publié sur les comptes officiels de l’ARPC sur les réseaux sociaux, en ligne https://www.linkedin.com/feed/update/urn:li:activity:7349500496958689280/ (consulté le 11 juillet 2025)

[2] V. Petkauskas, J. Lapienytė, « 16 billion passwords exposed in record-breaking data breach: what does it mean for you? », Cybernews, 30 juin 2025, en ligne https://cybernews.com/security/billions-credentials-exposed-infostealers-data-leak/ (consulté le 11 juillet 2025)

[3]  CNIL, « Exposition de 16 milliards d’identifiants et des mots de passe – que faire ? », 20 juin 2025, en ligne https://www.cnil.fr/fr/exposition-de-16-milliards-didentifiants-et-des-mots-de-passe-que-faire (consulté le 11 juillet 2025)

[4] Ibid.

[5] Nous lire dans B. Kandolo, « ARPTIC/ARPTC Invertie des missions de l’Autorité de Protection des Données en RD-Congo », Africa Data Protection Rapport, décembre 2024, en ligne https://droitnumerique.cd/arptic-arptc-investie-des-missions-de-lautorite-de-protection-des-donnees-en-rd-congo/ (consulté le 11 juillet 2025) ; B. Kandolo, « RD-Congo : perspectives de l’autorité de protection des données », Africa Data Protection Report, janvier 2024, p. 18 ; B. Kandolo, « Régulation du numérique en RDC : l’ARPTIC investie autorité unique pour la régulation du numérique, la certification électronique et la protection des données », Droit-Numérique.cd, Dossier N° 4, Août 2024, en ligne https://droitnumerique.cd/regulation-du-numerique-en-rdc-larptic-investie-autorite-unique-pour-la-regulation-du-numerique-la-certification-electronique-et-la-protection-des-donnees/ (consulté le 11 juillet 2025)

[6] B. Kandolo, « La ratification par la RDC de la Convention de Malabo : progrès juridique ou saut dans le passé ? », News-Juritech – n°11, Droit-Numérique.cd, 27 juin 2025, en ligne https://droitnumerique.cd/convention-malabo-rdc/ (consulté le 11 juillet 2025)

[7] Article 2 point 30 du Code du numérique ; Article 4, point 37 de la loi relative aux télécoms et TIC ; Article 1 de la Convention Malabo.

[8] Article 184 du Code du numérique.

[9] Voir Livre III, Titre III, Ibid.

[10] Ses prérogatives lui ont été confiées par l’Arrêté ministériel n°cab/min/pt&n/akim/kl/kbs/051/ 2024 du 17/08/2024, portant harmonisation des modalités de mise en œuvre des régimes de l’ordonnance-loi n° 023/010 du 13 mars 2023 portant code du numérique et de la loi n°20/017 du 25 novembre 2020 relative aux télécommunications et aux technologies de l’information et de la communication en République démocratique du Congo, journal officiel – Numéro spécial – 18 septembre 2024

[11] Voir Livre III, Titre III, chapitre VII du Code du numérique.

[12] L’article 258 du décret du 30 juillet 1888 portant des contrats ou des obligations conventionnelles, communément appelé Code civil congolais, livre III dispose « Tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer ».

[13] Voir les articles 309, 334, 335 du Code du numérique.

[14] Lire M. Dary, L. Benaissa, « Privacy by Design : un principe de protection séduisant mais complexe à mettre en oeuvre », Dalloz IP/IT 476, 2016 ; C. Zolynski, « La Privacy by Design appliquée aux Objets Connectés : vers une régulation efficiente du risque informationnel ? », Dalloz IP/IT 404, 2016 ; G. Loiseau, « De la protection intégrée de la vie privée (privacy by design) à l’intégration d’une culture de la vie privée », Légipresse 712, 2012 ; P. Pucheral et al., « La Privacy by design : une fausse bonne solution aux problèmes de protection des données personnelles soulevés par l’Open data et les objets connectés ? », Légicom 89, 2016.

[15] Article 243, alinéa 2 du Code du numérique.

[16] Pour en savoir plus lire I. Gavanon, V. Le Marec, « Fuite massive de données personnelles de santé », Dalloz actualité, 17 mars 2021.

[17] V. Petkauskas, J. Lapienytė, « 16 billion passwords exposed in record-breaking data breach: what does it mean for you? », op. cit. note 2.

[18] Voir F. Bayard, « Les 10 cyberattaques qui ont marqué la France en 2024 », 01net.com, 7 décembre 2024, en ligne https://www.01net.com/actualites/cyberattaques-qui-marque-france-2024.html (consulté le 12 juillet 2025) ; N. B’CHiR, « Les 10 cyberattaques qui ont marqué l’année 2024 en Afrique », Leconomiste Maghrebin, 11 janvier 2025, en ligne https://www.leconomistemaghrebin.com/2025/01/11/10-cyberattaques-marque-annee-2024-afrique/ (consulté le 12 juillet 2025)

[19] S. Djuma, « Augmentation des cyberattaques en RDC : Quelle réglementation pour lutter contre ce fléau ? », Droit-Numérique.cd, Dossier N° 2, 1 août 2024, en ligne https://droitnumerique.cd/augmentation-des-cyberattaques-en-rdc-quelle-reglementation-pour-lutter-contre-ce-fleau/ (consulté le 12 juillet 2025)