Droit-Numérique.cd, Dossier N° 11- Mai 2026

Réflexions sur l’inconstitutionnalité de la décision de l’ARPTC sur la procédure d’autorisation et de déclaration des traitements de données personnelles

Brozeck KANDOLO

Chargé d’enseignement en Master Droit de l’intelligence artificielle, ICP – Paris
Responsable du Master Droit du Numérique – Université Protestante de Lubumbashi (RDC)
Doctorant contractuel en droit du numérique – Université de Nantes
Président de Droit-Numérique.cd

Inconstitutionnalité de la décision de l’ARPTC Télécharger

RÉSUMÉ

L’adoption du Code du numérique a instauré en République démocratique du Congo, un cadre juridique en matière de protection des données à caractère personnel, fondé notamment sur un régime de déclaration et d’autorisation préalable des traitements. Dans l’attente de la mise en place effective de l’Autorité de protection des données prévue par le législateur, ces compétences sont exercées à titre provisoire par l’Autorité de Régulation de la Poste et des Télécommunications du Congo (ARPTC). C’est dans ce contexte que l’ARPTC a pris, en date du 11 septembre 2025, une décision fixant les modalités applicables aux procédures de déclaration et d’autorisation des traitements de données personnelles. Si ce texte contribue à opérationnaliser le régime congolais de protection des données, il soulève néanmoins plusieurs interrogations, notamment en ce qu’il subordonne la mise en conformité des responsables de traitement au paiement de frais administratifs susceptibles d’affecter l’effectivité de la protection d’un droit fondamental garanti par l’article 31 de la Constitution. Le présent article analyse la conformité constitutionnelle de la décision de l’ARPTC.

INTRODUCTION

La protection des données personnelles dans le Code du numérique en RDC.— L’adoption du Code du numérique en République démocratique du Congo « ci-après RDC »[1] a marqué une étape décisive dans l’organisation juridique de l’écosystème numérique en RDC[2]. Pour la première fois, le législateur congolais consacre un régime normatif détaillé sur la protection des données à caractère personnel[3], érigeant cette dernière en composante de la souveraineté numérique[4] et de la protection des droits fondamentaux des personnes[5]. À cet effet, le Code du numérique institue une Autorité de protection des données « ci-après APD », appelée à jouer un rôle central dans l’encadrement, le contrôle et la régulation des traitements de données personnelles[6], tant dans le secteur public que privé[7].
Transfert provisoire des attributions de l’APD à l’ARPTC.— Toutefois, la mise en œuvre de ce dispositif institutionnel a conduit dans un premier temps à une solution transitoire encore en vigueur, consistant en la transmission provisoire des attributions de l’APD à l’Autorité de Régulation de la Poste et des Télécommunications du Congo « ci-après ARPTC »[8]. Si cette démarche témoigne d’une volonté politique louable d’opérationnaliser sans délai le régime de protection des données personnelles, elle soulève néanmoins de sérieuses interrogations quant à la régularité juridique de cette délégation de compétences. Ces points ont déjà fait l’objet d’une analyse doctrinale de notre part[9], auxquelles la présente réflexion ne reviendra pas.
Le choix congolais d’un régime déclaratif et d’autorisation préalable.— Dans le Code du numérique congolais, le législateur a opté pour un régime classique de protection des données personnelles, fondé sur la déclaration préalable et l’autorisation administrative des traitements[10], fondé selon les cas[11]. Ce choix, susceptible de débat, s’écarte de l’approche dite de l’« accountability »[12], qui privilégie la responsabilisation des acteurs tout en allégeant les formalités administratives. S’il renforce le contrôle ex ante, il peut aussi affecter la fluidité de l’activité économique, la conformité opérationnelle des acteurs et l’attractivité numérique du pays. Les mécanismes ainsi institués restent par ailleurs peu éprouvés dans la pratique[13], mais leur étude détaillée dépasse le cadre de cette analyse.
Clarification des procédures administratives en matière de données personnelles par l’ARPTC.— Depuis l’entrée en vigueur du Code du numérique, les modalités concrètes de mise en œuvre des procédures de déclaration et d’autorisation demeuraient incertaines, laissant les responsables de traitement dans une zone d’insécurité juridique[14]. C’est dans ce contexte que le Collège de l’ARPTC[15] a adopté, en date du 11 septembre 2025, une décision fixant les modalités et la procédure d’examen des demandes d’autorisation et de déclaration des traitements de données à caractère personnel[16]. Cette décision, composée de quatorze (14) articles et assortie d’une annexe relative aux frais d’étude des dossiers ainsi qu’aux frais de délivrance des récépissés et des autorisations, établit les règles procédurales applicables aux entités souhaitant déclarer un traitement ou obtenir une autorisation préalable de traitement des données à caractère personnel. Le texte précise notamment les conditions applicables au transfert des données vers l’étranger et énumère les catégories de données sensibles soumises à un contrôle renforcé. Il détermine également les frais de dossier, les délais d’examen par l’autorité de régulation ainsi que les sanctions susceptibles d’être prononcées en cas de non-respect des prescriptions établies.
Cette première décision de l’ARPTC, rendue publique depuis l’attribution de ses nouvelles compétences[17], constitue désormais le premier socle opérationnel du régime congolais de protection des données à caractère personnel depuis l’adoption du Code du numérique.
L’inconstitutionnalité de la décision de l’ARPTC.— Si la Décision N°039/ARPTC/CLG/2025 contribue à préciser le cadre réglementaire applicable à la protection des données personnelles en RDC, elle soulève néanmoins de sérieuses interrogations quant à sa conformité à la Constitution et au principe de légalité. Ces interrogations nous les articulons autour de quatre griefs principaux. D’abord, l’incompétence matérielle de l’ARPTC à statuer par voie de décision contraignante, le Code du numérique ne lui reconnaissant que des pouvoirs d’avis et de recommandations. Ensuite, l’inconstitutionnalité des frais administratifs institués par la décision, qui subordonnent l’effectivité d’un mécanisme de protection d’un droit fondamental, le droit à la vie privée consacré par l’article 31 de la Constitution, au paiement préalable de sommes parfois élevées, sans aucune habilitation légale expresse. Enfin, un excès de pouvoir révélé par l’article 11 de la décision, qui instaure une durée de validité des récépissés et autorisations qu’aucune disposition légale ne prévoit. Dès lors, la question principale est de savoir si une autorité administrative provisoire pouvait, par simple décision réglementaire, créer de telles obligations et charges sans fondement constitutionnel ni légal suffisant.
La décision de l’ARPTC et les libertés fondamentales.— Face à cette situation d’inconstitutionnalité identifiée prima facie, le présent article se propose, dans un premier temps, de revenir sur les conditions juridiques du traitement des données à caractère personnel en RDC telles qu’issues du Code du numérique (I), ceux-ci facilitera dans un second temps d’analyser de manière critique la décision de l’ARPTC relative aux procédures de déclaration et d’autorisation, en vue d’en relever les principales difficultés juridiques et constitutionnelles (II).

I. LES CONDITIONS DE TRAITEMENT DES DONNÉES PERSONNELLES EN RDC

Principes et formalités du traitement des données personnelles.— Le choix de ce titre n’est pas fortuit, puisqu’il s’inspire directement de l’intitulé du chapitre correspondant dans le Code du numérique congolais[18]. En effet, tout traitement de données personnelles doit en premier lieu, respecter les principes fondamentaux fixés par le Code du numérique. Dans ce cadre, deux aspects se distinguent, d’une part, les principes directeurs et bases légales encadrant le traitement des données personnelles (A), et d’autre part, les formalités de déclaration et d’autorisation instituées par le Code du numérique (B).

A. PRINCIPES FONDAMENTAUX DU TRAITEMENT DES DONNÉES PERSONNELLES

Les garanties juridiques attachées au traitement des données personnelles.— L’article 192 du Code du numérique dispose qu’un traitement de données à caractère personnel n’est licite que si la personne concernée y a consenti « on parle du consentement », ou si ce traitement est nécessaire à une obligation légale du responsable[24]. Le principe de « licéité, loyauté et transparence » est clairement affirmé[25]. En règle générale, le consentement préalable doit être libre, spécifique, éclairé, explicite[26], sauf en cas d’incapacité de la personne concernée, régie selon le droit commun[27]. Par ailleurs, les finalités de la collecte doivent être déterminées, explicites et légitimes[28]. Et les données ne peuvent être réutilisées d’une manière incompatible avec ces finalités. S’y ajoute une obligation d’information et de transparence[29] à l’égard de la personne concernée, laquelle se traduit par la reconnaissance des droits tels que le droit à l’information, le droit d’accès, le droit à la portabilité, le droit de rectification et d’effacement des données[30].
Les exigences substantielles de protection des données personnelles.— Par ailleurs, le traitement doit garantir la confidentialité et la sécurité des données[31]. Le responsable du traitement est tenu de mettre en place des mesures techniques et organisationnelles appropriées afin de protéger les données contre tout accès non autorisé, vol, altération ou perte[32]. La conservation des données ne doit intervenir que le temps nécessaire à la finalité poursuivie[33], des durées plus longues étant tolérées uniquement pour des usages archivistiques dans l’intérêt public, statistique ou historique, et sous conditions de sécurité renforcées[34]. Sur le plan substantiel, les principes adoptés par la RDC en matière de protection des données personnelles peuvent être qualifiés de classiques, alignés sur la plupart des législations récentes en Afrique. Comme l’observe Edouard Schlumberger,

« Les textes prévoient que toute entité (publique ou privée) qui traite des données personnelles doit respecter les principes fondamentaux suivants : licéité, transparence, finalité déterminée, minimisation […][35]».

Par son Code du numérique, la RDC s’aligne ainsi sur les régimes pionniers de l’Afrique francophone (Sénégal[36], Bénin[37], Côte d’Ivoire[38], etc.), qui ont institué des principes similaires. De même, certains autres pays africains exigent des autorisations pour les traitements sensibles ou encore la déclaration, comme en RDC[39].
Ainsi, après avoir présenté de manière très concise les principes fondamentaux sur lesquels repose la protection des données à caractère personnel, il convient à présent d’examiner les mécanismes formalistes prévus par le Code du numérique, lequel soumet tout traitement de données personnelles soit à une déclaration préalable, soit à une demande d’autorisation.

B. LES FORMALITÉS PRÉALABLES APPLICABLES AUX TRAITEMENTS DE DONNÉES PERSONNELLES

La base légale du formalisme.— Comme indiqué en introduction, le législateur congolais a écarté l’approche de l’accoumptability[40]au profit d’un système fondé sur la déclaration et l’autorisation préalables. Ainsi, aux termes des articles 186 et 187 du Code du numérique, le responsable du traitement ou son mandataire est tenu de remplir un formulaire de déclaration ou demande d’autorisation auprès de l’APD, en l’espèce l’ARPTC.
Le régime de déclaration préalable et d’autorisation des traitements.— Dès le moment où le responsable de traitement met en œuvre un traitement de données à caractère personnel, elle est tenue d’accomplir, selon le cas, les formalités prévues par le Code du numérique. À cet effet, le Code fixe le contenu minimal des demandes de déclaration ou d’autorisation, lesquelles doivent notamment comporter l’identité du responsable du traitement, les finalités poursuivies, les catégories de données traitées et de personnes concernées, ainsi que les mesures de sécurité mises en place[41]. Le Code du numérique institue ainsi deux régimes distincts de contrôle préalable des traitements, le régime de la déclaration (1) et celui de l’autorisation préalable (2).

1) Le régime de la déclaration préalable des traitements de données personnelles

Principe de la déclaration préalable.— Le Code du numérique consacre un régime de déclaration préalable applicable, en principe, à tout traitement de données à caractère personnel[42]. Ainsi, avant toute mise en œuvre d’un traitement, le responsable du traitement ou son représentant dument mandaté est tenu d’adresser une déclaration à l’Autorité de protection des données (APD)[43], aujourd’hui l’ARPTC. Par cette formalité, le déclarant atteste formellement que le traitement envisagé respecte les exigences légales et règlementaires applicables en matière de protection des données personnelles.
Les difficultés du contrôle déclaratif des traitements de données personnelles.— Si le système déclaratif présente l’avantage de permettre à l’autorité de régulation d’exercer une surveillance initiale des traitements mis en œuvre sur le territoire national, il soulève néanmoins plusieurs difficultés pratiques et théoriques. D’une part, un régime généralisé de déclaration risque d’alourdir considérablement les obligations administratives pesant sur les entreprises et administrations, particulièrement dans un environnement numérique où les traitements de données sont permanents, évolutifs et parfois automatisés à grande échelle. D’autre part, l’efficacité réelle d’un tel mécanisme dépend étroitement des capacités techniques, humaines et institutionnelles de l’autorité de contrôle, lesquelles demeurent encore limitées dans plusieurs États africains ayant adopté des dispositifs similaires[44].
L’assouplissement du formalisme déclaratif.— Le Code admet toutefois qu’une déclaration unique puisse couvrir plusieurs traitements lorsque ceux-ci poursuivent des finalités identiques ou connexes[45]. Cette possibilité vise à atténuer le caractère excessivement formaliste du système déclaratif, sans pour autant remettre en cause la logique générale de contrôle préalable retenue par le législateur congolais.
Un régime déclaratif aux allures d’autorisation préalable.— Cependant, une difficulté réside dans la nature même du régime instauré par le Code du numérique. En théorie, un régime déclaratif consiste en une simple formalité informative par laquelle l’administration est portée à la connaissance de l’existence d’un traitement, sans que sa mise en œuvre soit conditionnée à une décision d’acceptation préalable. Or, à la lecture des dispositions du Code du numérique, le régime congolais apparait davantage comme une forme d’autorisation déguisée que comme un véritable système déclaratif.
Cette ambigüité ressort notamment de l’article 190, alinéa 3, qui dispose que : « Si la déclaration (…) à l’Autorité de protection des données n’est pas rendue dans le délai prévu, le silence de l’Autorité de protection des données vaut acceptation ». Une telle formulation laisse entendre que l’APD, en l’espèce l’ARPTC dispose du pouvoir d’accepter ou de refuser une déclaration, ce qui s’éloigne substantiellement de la logique d’un simple régime déclaratif.
Cette impression est renforcée par l’alinéa 4 du même article, lequel prévoit qu’« en cas de refus de l’Autorité de protection des données, il est accordé au responsable du traitement le droit de recours gracieux dans un délai de quinze jours à partir de la notification de la décision du refus ». Le texte ne précise toutefois pas clairement si ce refus concerne uniquement les demandes d’autorisation ou également les déclarations. Or, dans la mesure où l’article vise indistinctement les deux régimes, il semble possible d’en déduire que l’Autorité pourrait également rejeter une simple déclaration[46]. Une telle interprétation soulève d’importantes difficultés juridiques. En droit administratif, un régime déclaratif ne peut, en principe, donner lieu à un refus que dans des hypothèses limitées tenant notamment à titre d’exemple, l’irrégularité formelle du dossier, à son caractère frauduleux ou à une atteinte manifeste à l’ordre public ou à une règle impérative[47]. En l’espèce, le Code du numérique parait reconnaitre à l’autorité de contrôle un pouvoir de refus beaucoup plus large, sans encadrement suffisamment précis. Dès lors, le risque d’un usage excessif ou arbitraire de ce pouvoir ne peut être exclu en pratique. L’Autorité pourrait ainsi s’appuyer sur cette ambigüité normative pour bloquer ou retarder certains traitements de données, transformant de facto un régime déclaratif en véritable mécanisme d’autorisation administrative préalable[48].
Cas de dispense de déclaration.— Le Code du numérique prévoit plusieurs hypothèses dans lesquelles la déclaration préalable n’est pas requise[49]. Sont notamment exemptés les traitements réalisés à des fins exclusivement personnelles, domestiques ou familiales, les données dont la publication est expressément prévue par la loi ainsi que certains traitements internes relatifs à la gestion comptable, salariale ou administrative des organismes. Le législateur prévoit également une dispense lorsque le responsable du traitement a désigné un Délégué à la protection des données (DPD), plus communément désigné par son acronyme anglais Data Protection Officer (DPO), sauf en cas de transfert des données vers un État tiers. Cette solution témoigne d’une influence partielle du modèle européen fondé sur l’« accountability », dans lequel la présence d’un DPO constitue un mécanisme interne de conformité susceptible de réduire l’intensité du contrôle administratif préalable[50].
Toutefois, certains traitements, considérés comme plus sensibles ou présentant un risque accru pour les droits et libertés des personnes concernées, sont soumis non plus à un simple régime déclaratif, mais à un régime d’autorisation préalable.

2) Le régime de l’autorisation préalable des traitements de données personnelles

Principe du régime d’autorisation préalable.— À côté du régime déclaratif, le Code du numérique congolais institue un régime d’autorisation préalable applicable aux traitements considérés comme particulièrement sensibles ou susceptibles de présenter un risque élevé pour les droits et libertés des personnes concernées[51]. Contrairement à la déclaration, qui repose essentiellement sur une logique informative (du moins en apparence[52]), l’autorisation préalable implique ici une véritable validation administrative du traitement avant sa mise en œuvre. Le choix du législateur congolais témoigne ainsi d’une volonté de maintenir un contrôle étatique étroit sur les traitements les plus sensibles. Néanmoins, une telle approche peut également ralentir l’innovation numérique, alourdir les obligations de conformité des entreprises et accentuer la dépendance des acteurs économiques à l’égard de l’administration.
Les traitements soumis à autorisation obligatoire.— Le Code du numérique soumet à une autorisation préalable plusieurs catégories de traitements considérés comme particulièrement sensibles. Sont notamment concernés les traitements portant sur les données génétiques, biométriques ou médicales, les traitements réalisés à des fins de recherche scientifique dans le domaine de la santé, ainsi que les données relatives aux infractions, condamnations pénales ou mesures de sûreté. L’autorisation est également exigée pour les traitements portant sur un numéro national d’identification ou tout identifiant similaire, ainsi que pour les traitements poursuivant un objectif d’intérêt public à des fins historiques, statistiques ou scientifiques. Enfin, tout transfert de données à caractère personnel vers un État tiers est également soumis à l’autorisation préalable de l’autorité compétente[53]. Cette liste révèle une conception extensive du contrôle administratif préalable.
En comparaison, plusieurs législations récentes tendent à limiter les hypothèses d’autorisation obligatoire aux seuls traitements présentant des risques particulièrement graves ou exceptionnels. Le régime congolais apparait ainsi relativement formaliste et centralisé, notamment en matière de transferts internationaux de données où l’exigence systématique d’autorisation peut constituer un frein aux échanges numériques internationaux.
Procédure administrative et délais.— L’Autorité de protection des données dispose d’un délai de trente (30) jours à compter de la réception de la demande pour se prononcer. Ce délai peut être prorogé une seule fois pour une durée identique, sur décision motivée. Le silence gardé par l’Autorité à l’expiration du délai vaut acceptation tacite de la demande. Ce mécanisme d’acceptation tacite vise à éviter qu’un excès de lenteur administrative ne bloque durablement la mise en œuvre des traitements nécessitant une autorisation. Il traduit également une tentative d’équilibre entre la protection des droits fondamentaux et les impératifs de fluidité économique et administrative. En cas de refus, le responsable du traitement dispose d’un recours gracieux dans un délai de quinze (15) jours à compter de la notification de la décision[54]. Enfin, le Code rappelle que l’obtention de l’autorisation ne décharge nullement le responsable du traitement de sa responsabilité civile ou pénale en cas de violation des dispositions relatives à la protection des données personnelles[55]. Ainsi, l’ARPTC a adopté une décision destinée à préciser les modalités d’application des différentes procédures que nous venons d’examiner.

II. LES LIMITES DE LA DÉCISION DE L’ARPTC SUR LA PROCÉDURE D’AUTORISATION ET DE DÉCLARATION

L’ARPTC et la mise en œuvre du régime congolais de protection des données personnelles.— C’est précisément en raison de ces obligations de déclaration et d’autorisation que le régime mis en place par le Code du numérique suppose nécessairement que l’APD mette à la disposition des responsables de traitement des formulaires et des instructions détaillées[56]. Ainsi, l’article 190 prévoit que « les conditions et la procédure de la déclaration sont fixées par l’Autorité de protection des données » et l’article 187 réitère que « les conditions et la procédure d’autorisation sont fixées par l’Autorité de protection des données ».
Dans ce contexte, l’ARPTC, assumant provisoirement les missions de l’APD, a adopté la décision n° 039/ARPTC/CLG/2025. Toutefois, nous estimons que cette décision soulève d’importantes difficultés de constitutionnalité et de légalité. Il convient dès lors de s’interroger, d’une part, sur le point de savoir si la protection des données personnelles constitue un droit fondamental garanti par la Constitution (A) et d’analyser d’autre part, la conformité légale et constitutionnelle de la Décision de l’ARPTC (B).

A. LA PROTECTION DES DONNÉES AU TITRE DE DROIT FONDAMENTAL À VALEUR CONSTITUTIONNELLE

Les fondements internationaux de la protection de la vie privée.— Bien avant l’apparition des problématiques liées au numérique, le droit international des droits de l’homme avait déjà reconnu la nécessité de protéger l’individu contre les ingérences arbitraires dans sa sphère privée, qu’on reconnait sous l’appellation du droit au respect de la vie privée[57]. Ainsi, l’article 12 de la Déclaration universelle des droits de l’homme du 10 décembre 1948 dispose que « Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance […] ». Dans le même sens, l’article 17 du Pacte international relatif aux droits civils et politiques du 16 décembre 1966, ratifié par la RDC le 1^er novembre 1976, interdit toute ingérence illégale ou arbitraire dans la vie privée et impose aux États l’obligation d’assurer une protection juridique effective contre de telles atteintes.
L’interprétation évolutive du droit à la vie privée face aux enjeux numériques.— Ces instruments internationaux, bien qu’adoptés dans un contexte antérieur à l’évolution des technologies numériques, leur interprétation a progressivement évolué. Le droit à la vie privée ne se limite plus à la protection de l’intimité physique ou familiale, il englobe désormais la protection des informations relatives à la personne, notamment les données à caractère personnel[58]. C’est dans ce contexte que certains auteurs rattachent les droits liés au numérique et aux nouvelles technologies à une quatrième génération des droits de l’homme[59]. Cette évolution se manifeste également au niveau africain avec l’adoption par l’Union africaine de la Convention sur la cybersécurité et la protection des données à caractère personnel, dite Convention de Malabo, ratifiée par la RDC le 27 juin 2025[60].
La dimension informationnelle du droit à la vie privée.— Dans cette perspective, la protection des données personnelles apparait comme le prolongement naturel du droit au respect de la vie privée. La donnée personnelle constitue en effet une projection de la personnalité humaine dans l’espace numérique[61]. Sa protection participe ainsi de la sauvegarde de la dignité humaine, de l’autonomie individuelle et des libertés fondamentales[62]. Le droit à la vie privée cesse dès lors d’être conçu comme un simple droit à l’isolement pour devenir un véritable droit à l’autodétermination informationnelle[63].
La protection constitutionnelle des données personnelles à travers le droit à la vie privée.— En RDC, la protection des données personnelles trouve son fondement constitutionnel dans le droit au respect de la vie privée[64]. Certes, la Constitution du 18 février 2006 telle que modifiée ne consacre pas expressément un droit autonome à la protection des données personnelles. Toutefois, une interprétation évolutive de ses dispositions permet de considérer que cette protection s’intègre désormais dans le champ des droits fondamentaux garantis par la Constitution. À cet égard, l’article 31, inscrit dans le Titre II relatif aux droits humains et aux libertés fondamentales, garantit le respect de la vie privée ainsi que le secret de la correspondance, des télécommunications et de « toute autre forme de communication ». Cette dernière formule présente une ouverture vers d’autres formes de communication, dès lors elle d’étendre la protection constitutionnelle aux communications numériques et plus largement, aux traitements de données personnelles dans l’environnement technologique. La protection de la vie privée ne dépend donc plus du support utilisé (papier, télécommunications ou plateformes numériques) mais de la nécessité de préserver la personne contre les ingérences dans sa sphère informationnelle.
Le constitutionnalisme numérique et la protection des données personnelles.— Cette évolution s’inscrit dans le mouvement du constitutionnalisme numérique[65], qui vise à adapter la protection des droits fondamentaux aux nouveaux risques créés par les technologies numériques, tant du côté des pouvoirs publics que des acteurs privés. Dans ce contexte, la protection des données personnelles apparait progressivement comme l’une des garanties essentielles des libertés individuelles dans l’espace numérique. Cette lecture est renforcée par l’article 60 de la Constitution, qui impose le respect des droits fondamentaux tant aux pouvoirs publics qu’aux particuliers. Or, les obligations prévues par le Code du numérique en matière de protection des données s’imposent également aux personnes publiques et privées, physiques ou morales[66]. La protection des données personnelles participe ainsi directement du régime général des libertés fondamentales. Au niveau interne, certaines dispositions du Code pénal congolais participent également à la protection de la sphère privée, notamment les articles 69 à 73, qui répriment diverses atteintes au secret des correspondances et à l’intimité de la personne. Par ailleurs, une évolution notable de la protection de la vie privée se manifestait pour une première fois dans le secteur des télécommunications.
La reconnaissance des données personnelles dans le secteur des télécommunications.— La loi n° 20/017 du 25 novembre 2020 relative aux télécommunications et aux technologies de l’information et de la communication constitue le premier texte congolais à avoir consacré expressément la protection des données personnelles comme relevant des droits fondamentaux, avant même l’adoption du Code du numérique[67]. Dès son article premier, cette loi affirme qu’elle vise notamment à « assurer la protection des droits et libertés fondamentaux des personnes physiques, à l’égard du traitement des données à caractère personnel », il s’agit là d’une première reconnaissance, par le législateur congolais, de la protection des données personnelles comme un droit fondamental. Dans le même esprit, son article 13 confie à l’autorité de régulation instituée par cette loi, à savoir l’ARTPC, une mission de contrôle en matière de protection des données[68], tandis que son Titre III est spécifiquement consacré à « la protection de la vie privée et des données à caractère personnel ». Plus encore, les articles 126 et 132 garantissent respectivement le secret des correspondances et la confidentialité des données personnelles. Autrement dit, bien avant l’entrée en vigueur du Code du numérique, le législateur congolais avait déjà identifié les données personnelles comme le prolongement normatif du droit au respect de la vie privée.
Le Code du numérique et la fondamentalisation de la protection des données personnelles.— Le Code du numérique n’a donc pas créé ex nihilo un droit à la protection des données personnelles, il en a plutôt précisé le contenu technique, institutionnel et procédural dans l’environnement numérique. Cette évolution participe de l’émergence de ce que la doctrine qualifie désormais de « vie privée informationnelle[69]», selon laquelle la collecte, l’enregistrement, la conservation ou la communication de données à caractère personnel constituent des atteintes au droit fondamental au respect de la vie privée. Le Code du numérique confirme expressément cette orientation également. Son article 192 impose que tout traitement de données personnelles soit réalisé dans le respect de la dignité humaine, de la vie privée et des libertés publiques. De même, l’article 255 qualifie de manquement grave toute utilisation de données portant une « atteinte grave aux droits fondamentaux » ou à l’intimité de la vie privée. Enfin, l’article 202 exige, dans le cadre des transferts internationaux de données, que soient garantis la protection de la vie privée ainsi que les « libertés et droits fondamentaux des personnes ». Il ressort ainsi du Code du numérique que la protection des données personnelles est désormais appréhendée par le législateur congolais comme une composante essentielle de la protection des libertés publiques et des droits fondamentaux.
Dès lors que nous avons démontré que la protection des données personnelles constitue un droit fondamental rattaché au droit au respect de la vie privée garanti par l’article 31 de la Constitution de la République démocratique du Congo, il convient à présent d’examiner si la décision n° 039/ARPTC/CLG/2025 de l’ARPTC respecte effectivement les exigences constitutionnelles, notamment en ce qu’elle impose des frais aux responsables de traitement pour les formalités de déclaration et de demande d’autorisation.

B. LE CONTRÔLE DE LÉGALITÉ ET DE CONSTITUTIONNALITÉ DE LA DÉCISION DE L’ARPTC

Le contrôle de constitutionnalité de la décision n° 039/ARPTC/CLG/2025 du Collège de l’ARPTC.— La décision n° 039/ARPTC/CLG/2025 du Collège de l’ARPTC, intitulée Décision fixant les modalités et la procédure d’examen des demandes d’autorisations et de déclaration de traitement des données à caractère personnel, a été adoptée le 11 septembre 2025 dans le cadre des missions provisoirement confiées à l’ARPTC en matière de protection des données personnelles[70]. Ces nouvelles compétences lui avaient été attribuées par le ministère des Postes, Télécommunications et Nouvelles Technologies de l’Information et de la Communication, avant la réorganisation ultérieure de ce ministère en deux entités distinctes[71]. La légalité même de cet acte attributif de compétence justifie à lui seul l’illégalité de la décision du Collège de l’ARPTC, que nous avons d’ailleurs relevée dans un précédent article[72]. Toutefois, nous ne nous y attarderons pas ici, dans la mesure où nous entendons plutôt démontrer en quoi cette décision viole la constitution ainsi que les principes généraux du droit.
Les deux niveaux d’irrégularité de la décision n° 039/ARPTC/CLG/2025.—D’abord, la compétence de l’ARPTC à adopter une telle décision peut être contestée, le Code du numérique ne reconnaissant pas à l’APD, en l’espèce l’ARPTC un pouvoir règlementaire général de cette nature (1). Ensuite, la décision soulève une difficulté constitutionnelle en imposant des frais pour les procédures de déclaration et d’autorisation des traitements de données personnelles (2).

1) L’absence de compétence règlementaire de l’ARPTC en matière de données personnelles

Le principe de spécialité et l’absence de pouvoir décisionnel de l’APD.— La première question que soulève la décision litigieuse de l’ARPTC est d’ordre organique, le Code du numérique reconnait-il à l’APD, en l’espèce à l’ARPTC qui assure provisoirement ses missions, le pouvoir de prendre des décisions contraignantes en matière de protection des données à caractère personnel ? La réponse après l’analyse rigoureuse des textes est résolument négative. L’article 263 du Code du numérique procède à une énumération limitative des compétences dévolues à l’APD et parmi ces attributions, nulle disposition ne confère explicitement à cette autorité le pouvoir de rendre des décisions juridiquement contraignantes en matière de traitement des données personnelles[73]. En droit, ce silence n’est pas anodin, il est au contraire juridiquement déterminant. Le principe de spécialité des personnes morales de droit public[74], corolaire du principe de légalité, impose en effet que toute autorité administrative n’agisse que dans les limites des compétences qui lui ont été expressément attribuées par la loi, traduit par l’expression latine Competencia non praesumitur, la compétence ne se présume pas.
L’absence de pouvoir contraignant des avis et recommandations de l’APD (ARPTC).— À y regarder de plus près, les seules prérogatives susceptibles de s’apparenter à un pouvoir décisionnel reconnues à l’APD (l’ARPTC) dans le domaine de la protection des données sont, en réalité, des avis et des recommandations portant sur les questions soulevées par le Code du numérique et d’autres lois relatives au traitement des données personnelles[75]. Or, en droit il existe bien une très grande différence entre un avis ou recommandation et une décision. Un avis ou une recommandation, par nature, ne crée pas d’obligations juridiques à la charge de ses destinataires. Il exprime une opinion, un conseil, une orientation, sans produire d’effets de droit susceptibles de modifier l’ordonnancement juridique ou d’imposer des obligations nouvelles aux responsables de traitement. Ainsi, l’ARPTC, en adoptant une décision formelle portant sur l’autorisation et la déclaration des traitements de données, a manifestement excédé les limites de ses attributions légales, substituant à un pouvoir d’influence un pouvoir de contrainte que la loi ne lui a pas conféré.
Le droit comparé comme révélateur de l’intention du législateur congolais.— Cette analyse est corroborée par l’examen du droit comparé, et notamment du modèle français dont s’est largement inspiré le législateur congolais[76]. La Commission nationale de l’informatique et des libertés « ci-après CNIL », autorité française en matière de protection des données personnelles, rend elle aussi des recommandations et les lignes directrices. Ces instruments ont par nature, une portée persuasive et non coercitive[77]. Ils orientent les pratiques, éclairent les responsables de traitement, mais ne sauraient se substituer à la loi pour créer des obligations nouvelles. Le pouvoir de contrainte, en droit français comme en droit congolais, demeure l’apanage exclusif du législateur.
L’encadrement légal des pouvoirs de l’APD (ARPTC).— Ce n’est que dans le cadre de ses pouvoirs de sanctions administratives et pécuniaires[78] (distincts du pouvoir décisionnel normatif), ceux-ci en cas de non-respect des règles relatives à la protection des données personnelles par le responsable du traitement, que l’APD (ARPTC), en l’espèce l’ARPTC, peut imposer des mesures contraignantes, et encore, dans les limites strictement définies par le Code du numérique. Ainsi, la décision n° 039/ARPTC/CLG/2025 du collège de l’ARPTC révèle d’un excès de pouvoir car en procédant par voie de décision là où la loi ne lui reconnait que le pouvoir d’émettre des avis et recommandations, elle s’est arrogé une compétence normative qui n’est pas la sienne.
La violation du principe de légalité et de la hiérarchie des normes par l’ARPTC.— La décision de l’ARPTC ne soulève pas seulement une question de légalité ordinaire[79]. Elle met en cause un principe à valeur constitutionnelle, celui de l’État de droit, consacré au Préambule de la Constitution de la RDC ainsi qu’à son article premier. L’État de droit implique que l’exercice de tout pouvoir public soit effectivement soumis au respect du droit, et ce à tous les échelons de la hiérarchie des normes[80]. Il signifie que nulle autorité, fût-elle administrative, ne peut s’affranchir des limites que la loi lui impose, et que tout acte contraire au droit est susceptible d’être censuré par le juge compétent[81]. Dans ce cadre, le principe de hiérarchie des normes, dont Hans Kelsen a théorisé, impose qu’une décision administrative soit conforme à la loi qui lui est supérieure, laquelle doit elle-même respecter la Constitution qui lui est supérieure[82].
En l’espèce, l’ARPTC a rendu une décision portant sur l’autorisation et la déclaration des traitements de données, alors que le Code du numérique, qui est la norme de rang législatif et donc supérieur à tout acte administratif, ne lui reconnait pas cette compétence. La décision litigieuse contredit ainsi directement les dispositions légales applicables. La démarche de l’ARPTC est donc constitutive d’une illégalité administrative doublement caractérisée : illégalité externe, en ce que l’auteur de l’acte était incompétent pour l’édicter ainsi que l’illégalité interne, en ce que le contenu de l’acte excède les attributions légalement reconnues à son auteur. Or, en droit congolais comme dans tous les systèmes juridiques d’inspiration romano-germanique, une décision administrative illégale est nulle et de nul effet.
L’instauration illégale d’une durée de validité des fiches de traitement.— Sans s’y attarder davantage, il convient de relever que cet excès de pouvoir se manifeste également dans les dispositions mêmes de la décision. À titre d’exemple, l’article 11 de la décision n° 039/ARPTC/CLG/2025 du collège de l’ARPTC institue une durée de validité des titres délivrés par l’ARPTC, cette durée dépend du régime de traitement (déclaration ou autorisation) auquel les données sont soumises[83], alors qu’aucune disposition du Code du numérique ni d’aucun autre texte législatif n’impose une telle exigence. Ce faisant, l’ARPTC crée de toutes pièces une obligation nouvelle, sans fondement légal, aggravant ainsi le vice d’illégalité qui entache l’ensemble de la décision. Cet exemple illustre, s’il en était encore besoin, la tendance de l’ARPTC à s’ériger en autorité normative là où la loi ne lui a confié qu’un rôle de régulation souple et non contraignante.

2) L’inconstitutionnalité des frais imposés par la décision de l’ARPTC

Le régime financier imposé aux responsables de traitement par l’ARPTC.— L’annexe de la Décision N°039/ARPTC/CLG/2025 du 11 septembre 2025 institue un double système de frais à la charge des responsables de traitement. D’une part, des frais d’étude de dossier, exigibles dès le dépôt de la déclaration ou de la demande d’autorisation, expressément qualifiés de non remboursables, dont les montants s’échelonnent entre deux-cent-cinquante dollars américains (250 USD[84]) pour l’étude d’une déclaration de traitement, cinq-cents dollars américains (500 USD) pour une demande d’autorisation de traitement et sept-cent-cinquante dollars américains (750 USD) pour une demande d’autorisation de transfert de données vers un pays tiers. D’autre part, des frais de délivrance, exigibles après décision favorable, conditionnant la remise matérielle du récépissé ou de l’autorisation avec des montants identiques respectivement fixés à deux-cent-cinquante dollars américains (250 USD), cinq-cents dollars américains (500 USD) pour l’autorisation et sept-cent-cinquante dollars américains (750 USD) pour l’autorisation de transfert.
La décision précise en outre qu’aucun récépissé ou autorisation ne peut être délivré sans le paiement préalable des frais y relatifs, conférant ainsi à ces frais un caractère véritablement coercitif et bloquant. L’on notera également que des frais de modification substantielle sont prévus, allant de cent dollars américains (100 USD) à quatre-cent-cinquante dollars américains (450 USD) selon la nature de la modification. Au total, un responsable de traitement souhaitant se conformer à ses obligations légales peut se trouver redevable d’une somme pouvant atteindre mille-cinq-cents dollars américains (1 500 USD) voire davantage en cas de procédures cumulées[85].
L’absence totale de base légale habilitant l’ARPTC à percevoir de tels frais.— La première critique que soulève ce dispositif tarifaire est d’ordre purement légal, avant même d’aborder la question constitutionnelle. Ni le Code du numérique ni aucune disposition législative en vigueur n’habilitent expressément l’ARPTC à percevoir des frais au titre de l’instruction des déclarations et demandes d’autorisation en matière de protection des données personnelles. L’article 7 de la décision de l’ARPTC, qui fonde ce dispositif, ne fait référence qu’à la nécessité de fixer des montants en annexe, sans aucun renvoi à une habilitation légale supérieure. Alors que la perception de toute redevance ou taxe par une autorité publique exige une base légale explicite, celui-ci est d’ailleurs fixé par la constitution congolaise, notamment à l’article 174[86]. Ainsi, le principe de légalité fiscale, interdit à toute autorité administrative de s’autohabiliter à percevoir des sommes d’argent auprès des administrés[87]. Ce premier vice d’illégalité suffirait, à lui seul, à justifier l’annulation de l’article 7 ainsi que l’annexe tarifaire de cette décision. Mais les griefs vont bien au-delà.
Les frais administratifs face au droit fondamental à la protection des données.—Comme nous l’avons établi dans les développements précédents[88], la protection des données à caractère personnel constitue, en droit congolais, un droit fondamental de la personne humaine, rattaché au droit à la vie privée consacré à l’article 31 de la Constitution de la RDC. Dès lors, toutes les lois ainsi que tous les actes règlementaires adoptés en matière de protection des données personnelles doivent nécessairement se conformer aux exigences constitutionnelles. Ainsi, la déclaration et l’autorisation préalables au traitement de données personnelles ne sont pas des formalités administratives ordinaires assimilables à une demande de permis de construire ou d’une licence commerciale. Elles constituent le mécanisme par lequel l’État garantit concrètement, à travers l’APD, l’effectivité du droit fondamental à la protection des données des personnes concernées. En d’autres termes, la procédure de déclaration et d’autorisation est instituée, en premier lieu, dans l’intérêt des personnes dont les données sont traitées et non dans l’intérêt commercial des responsables de traitement. Dès lors, soumettre cette procédure au paiement de frais revient à faire supporter aux responsables de traitement le coût financier de la protection d’un droit fondamental constitutionnellement garanti, ce qui constitue une inversion radicale de la logique du droit.
L’analogie révélatrice avec d’autres droits fondamentaux.— Pour mieux apprécier les interrogations constitutionnelles soulevées par ce dispositif, une comparaison avec d’autres mécanismes de garantie des droits fondamentaux peut être utile. Il serait difficilement envisageable que l’exercice de certains droits fondamentaux, tels que le droit de vote, le droit à la non-discrimination ou l’accès à la justice, soit conditionné au paiement préalable de frais administratifs (élevés) et non remboursables. Une telle exigence risquerait en effet d’introduire une contrainte financière susceptible d’affecter l’effectivité même de ces droits. La protection des données personnelles, en tant que droit fondamental de même rang constitutionnel, ne saurait être traitée différemment. L’État ne peut instrumentaliser le mécanisme de protection des citoyens, pour en faire une source de revenus administratifs.
La violation du principe d’égalité devant la loi.— Le dispositif tarifaire contesté engendre, par ses effets concrets, une violation caractérisée du principe d’égalité devant la loi, consacré par la Constitution de la RDC[89]. En conditionnant la mise en conformité à des frais pouvant atteindre mille-cinq-cents dollars américains (1 500 USD) ou davantage, la décision de l’ARPTC crée de facto une discrimination fondée sur les capacités financières des responsables de traitement. Les grandes entreprises, disposant de ressources suffisantes, pourront s’acquitter aisément de ces frais et se conformer à la loi. Alors que pour les petites et moyennes entreprises, les associations, les organisations de la société civile, les acteurs informels, ou encore les administrations publiques aux budgets contraints, se trouveront placés devant un choix inéquitable, soit décaissé des sommes disproportionnées pour exercer légalement leurs activités, soit renoncer à la conformité et s’exposer aux sanctions[90]. Cette différence de traitement, fondée sur la seule capacité financière, viole le principe d’égalité et crée un régime à deux vitesses dans l’accès à la conformité légale.
La violation du principe de gratuité des services publics régaliens liés aux droits fondamentaux.— Plus fondamentalement encore, la perception de frais pour l’instruction de dossiers relatifs à la protection des données personnelles heurte de front le principe selon lequel les services publics directement liés à la garantie des droits fondamentaux doivent, en principe, être gratuits ou au moins accessibles sans condition financière dirimante[91]. L’APD, en l’espèce l’ARPTC qui en exerce provisoirement les missions, est une institution de l’État dont le financement relève du budget national. Ses missions de contrôle et d’instruction des déclarations et autorisations s’inscrivent dans l’exercice de la puissance publique au service de la protection des droits des citoyens. Les faire financer par les opérateurs soumis au contrôle revient à privatiser le coût d’une mission régalienne, ce que l’État de droit ne saurait tolérer sans trahir sa propre raison d’être.
Des frais non remboursables en cas de refus : une atteinte supplémentaire au droit fondamental.— L’annexe de la décision précise expressément que les frais d’étude de dossier sont non remboursables, y compris en cas de refus de la déclaration ou de la demande d’autorisation. Cette disposition aggrave singulièrement l’inconstitutionnalité du dispositif. En effet, un responsable de traitement qui introduit de bonne foi une déclaration ou une demande d’autorisation, se voit contraint d’acquitter des frais d’étude, sans garantie aucune que sa demande sera acceptée. En cas de refus, ces sommes sont définitivement perdues. Le responsable de traitement est ainsi financièrement pénalisé pour avoir simplement tenté d’exercer son obligation à la mise en conformité légale. Il s’agit là d’une véritable sanction financière. Ce mécanisme pourrait, en outre, être analysé comme une forme de taxation déguisée, perçue sans base légale et sans contrepartie réelle, ce qui le rend doublement illicite.
Quant aux voies de contrôle juridictionnel. Si le présent article traite de l’inconstitutionnalité de la Décision N°039/ARPTC/CLG/2025, il convient de préciser le cadre juridictionnel dans lequel cette inconstitutionnalité peut être soulevée car la question des voies de droit ouvertes aux justiciables est d’une importance déterminante. En tant qu’acte émanant d’une autorité administrative, la décision de l’ARPTC est soumise, en premier lieu, au contrôle du juge administratif. L’article 75 de la Loi organique n°16-027 portant organisation, compétence et fonctionnement des juridictions de l’ordre administratif habilite en effet le juge administratif à annuler tout acte administratif méconnaissant une norme constitutionnelle. Par ailleurs, la section consultative du Conseil d’État peut, sur le fondement de l’article 83 de la même loi, rendre des avis motivés sur la légalité ou la constitutionnalité des dispositions des textes qui lui sont soumis, offrant ainsi un mécanisme préventif d’appréciation de la régularité des actes administratifs.
Toutefois, ce contrôle administratif n’épuise pas la question et n’exclut nullement la compétence de la Cour Constitutionnelle. Celle-ci demeure, en droit congolais, la juridiction suprême de la constitutionnalité, y compris à l’égard des actes réglementaires des autorités administratives. Cette compétence ressort clairement tant de l’exposé des motifs de la Loi organique n°13/026 du 15 octobre 2013 portant organisation et fonctionnement de la Cour Constitutionnelle, que de son article 43. Ainsi, la Cour Constitutionnelle et le juge administratif exercent des contrôles complémentaires et non exclusifs l’un de l’autre, le premier garantit la suprématie de la Constitution dans l’ordre normatif, le second assure la légalité de l’action administrative au quotidien. En l’espèce, les griefs soulevés à l’encontre de la décision de l’ARPTC relevant à la fois de l’illégalité administrative et de l’inconstitutionnalité, nous estimons que l’une ou l’autre des voies de recours peut être mobilisée. Il convient en outre d’écarter la théorie de la loi-écran[92], qui pourrait être invoquée pour faire obstacle au contrôle de constitutionnalité de la décision litigieuse. Celle-ci suppose en effet, comme condition préalable, que l’acte administratif contesté soit pris en conformité avec la loi dont il se réclame. Or, la décision de l’ARPTC s’écarte très largement des dispositions du Code du numérique, qui constituait pourtant la loi censée lui servir d’écran, de sorte que cette théorie ne saurait trouver application en l’espèce.

QUE CONCLURE ?

Au terme de cet article, il apparait avec évidence que l’annexe tarifaire de la Décision N°039/ARPTC/CLG/2025 est entachée d’une inconstitutionnalité manifeste. Elle viole le principe de légalité fiscale, le principe d’égalité devant la loi et le principe de gratuité des services publics régaliens liés aux droits fondamentaux. Elle transforme la mise en conformité à une obligation légale destinée à protéger un droit constitutionnel en une charge financière discriminatoire, aux effets potentiellement dissuasifs.
En cela, elle trahit non seulement la lettre et l’esprit du Code du numérique, mais aussi les exigences fondamentales d’un État de droit au service de ses citoyens. Son annulation par la juridiction administrative compétente, ou sa censure par la Cour constitutionnelle sur renvoi, s’impose comme une nécessité juridique impérieuse.

[1] Ordonnance loi n° 23/010 du 13 mars 2023 portant Code du numérique.

[2] Outre le Code du numérique, on peut citer la loi n° 20/017 du 25 novembre 2020 relative aux télécommunications et aux TIC. Plus récemment, la RDC a également ratifié la Convention de Malabo sur la cybersécurité et la protection des données personnelles. Pour une analyse, voir : B. Kandolo wa Kandolo, « La ratification par la RDC de la Convention de Malabo : progrès juridique ou saut dans le passé ? », News-Juritech – n°11 – 28 Juin 2025, Droit-Numérique.cd, 28 juin 2025, en ligne https://droitnumerique.cd/convention-malabo-rdc/ (consulté le 14 janvier 2026).

[3] Bien que la loi n° 20/017 du 25 novembre 2020 relative aux télécommunications et aux technologies de l’information et de la communication en RDC contenait déjà certaines dispositions relatives à la protection des données personnelles, celles-ci demeuraient limitées. Le Code du numérique est ainsi venu consacrer de manière plus détaillée le régime juridique de la protection des données à caractère personnel, principalement aux articles 183 à 270 du Livre III : « Contenus numériques », Titre III : « Données personnelles », couvrant les articles 183 à 270. Selon l’article 2, point 30, la donnée personnelle est définie comme « […] toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement ».

[4] La question de la souveraineté numérique devient un enjeu constitutionnel en Afrique. Certains pays, comme le Gabon, se distinguent par l’intégration explicite de cette notion dans le préambule de sa Constitution de la Ve République du 19 décembre 2024, faisant indirectement de la protection et de la maîtrise des données numériques un principe constitutionnel.

[5] Pour en savoir plus sur la question de la protection des données personnelles en RDC et en droit comparé lire notamment : C. Kayudi Misamu, J.-F. Henrotte, La protection des données à caractère personnel en République démocratique du Congo: guide pratique, 2^e édition, Bruxelles, Bruylant, 2026 ; B. Loleka Ramazani, « Le droit congolais face aux enjeux de protection de l’identité numérique : quel regard prospectif ? », Droit-Numérique.cd, Dossier n° 5, janvier 2025, en ligne https://droitnumerique.cd/le-droit-congolais-face-aux-enjeux-de-protection-de-lidentite-numerique-quel-regard-prospectif/ (consulté le 26 mai 2026) ; M. Ouattara, D. Bangali, La protection des données à caractère personnel en Afrique francophone: guide pratique, LGDJ, Droits africains, 2020 ; J. Lutaku Wata, « La protection de l’identité numérique du salarié en droit congolais : entre surveillance légitime et vie privée », Droit-Numérique.cd, Dossier n° 10, mai 2026, en ligne https://droitnumerique.cd/la-protection-de-lidentite-numerique-du-salarie-en-droit-congolais-entre-surveillance-legitime-et-vie-privee/ (consulté le 26 mai 2026) ; M. Lo, La protection des données à caractère personnel en Afrique, Abis éditions, 15 décembre 2024 ; P.F. Dramé, R. Sarr, L’impact du règlement sur la protection des données, RGPD, en Afrique, L’Harmattan, Études africaines, 2021 ; E. Rançon, Code de la protection des données personnelles 2025, 7ed – Annoté commenté, Groupe Lefebvre Dalloz, 20 février 2025.

[6] L’art. 3 du Code du numérique définit le traitement des données à caractère personnel comme toute : « […] opération ou ensemble d’opérations effectuées ou non à l’aide de procédés entièrement ou partiellement automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».

[7] Pour plus de détails sur le fonctionnement de cette autorité, voir articles 262 à 270 du Code du numérique, ainsi que nos publications consacrées à cette institution : B. Kandolo wa Kandolo, « RD-Congo : perspectives de l’autorité de protection des données », Africa Data Protection Report, janvier 2024, p. 18 ; B. Kandolo, « ARPTIC/ARPTC Investie des missions de l’Autorité de Protection des Données en RD-Congo », Africa Data Protection Rapport, décembre 2024, en ligne https://droitnumerique.cd/arptic-arptc-investie-des-missions-de-lautorite-de-protection-des-donnees-en-rd-congo/ (consulté le 14 janvier 2026) ; B. Kandolo wa Kandolo, « Régulation du numérique en RDC : l’ARPTIC investie autorité unique pour la régulation du numérique, la certification électronique et la protection des données », Droit-Numérique.cd, Dossier N° 4 – Août 2024, en ligne https://droitnumerique.cd/regulation-du-numerique-en-rdc-larptic-investie-autorite-unique-pour-la-regulation-du-numerique-la-certification-electronique-et-la-protection-des-donnees/ (consulté le 14 janvier 2026).

[8] Cela a été effectué par le biais de l’Arrêté ministériel n°cab/min/pt&n/akim/kl/kbs/051/ 2024 du 17/08/2024, portant harmonisation des modalités de mise en œuvre des régimes de l’ordonnance-loi n° 023/010 du 13 mars 2023 portant code du numérique et de la loi n°20/017 du 25 novembre 2020 relative aux télécommunications et aux technologies de l’information et de la communication en République démocratique du Congo, journal officiel – Numéro spécial – 18 septembre 2024.

[9] Nous avons relevé la non-conformité légale de cet arrêté quant à la régularité de la délégation, en particulier son incompatibilité avec le principe de spécialité administrative et le manquement à l’indépendance fonctionnelle requise pour une autorité de protection des données. Voir B. Kandolo, « Régulation du numérique en RDC : l’ARPTIC investie autorité unique pour la régulation du numérique, la certification électronique et la protection des données », art. cit. note 5.

[10] Les procédures de déclaration préalable et d’autorisation sont régies par les articles 186 à 191 du Code du numérique.

[11] Nous examinerons ultérieurement les cas dans lesquels une déclaration des traitements est requise, ainsi que les situations où le législateur impose une autorisation préalable.

[12] Le principe d’accountability (responsabilisation) en matière de protection des données personnelles oblige les organisations à démontrer la conformité de leurs traitements aux règles applicables, remplaçant progressivement le système des déclarations préalables. Il repose sur une logique de responsabilité interne, selon laquelle le responsable du traitement doit garantir et pouvoir prouver la conformité de ses traitements sans passer par une validation systématique des formalités auprès de l’autorité de contrôle. Pour un développement détaillé, voir : M. Vivant, L. Rapp, G. Vercken, Le Lamy Droit du Numérique, Editions Lamy, 2025, paragraphe 1210, intitulé « Principe de responsabilité ou « accountability » et allègement des formalités préalables ».

[13] Plusieurs pays ont aujourd’hui adopté une approche fondée sur l’accountability en matière de protection des données personnelles. Parmi ceux-ci, on peut notamment citer, de manière non exhaustive : l’Afrique du Sud avec la Protection of Personal Information Act (POPIA), le Botswana avec la Data Protection Act, l’Union européenne avec le Règlement général sur la protection des données (RGPD), et le Canada avec la Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA).

[14] V. G. Cerqueira, H. Fulchiron, N. Nord, Insécurité juridique, l’émergence d’une notion ? actes du colloque tenu à la Cour de cassation, le 22 mars 2021, Paris, Société de législation comparée, Collection Colloques n^o volume 53, 2022.

[15] Le « Collège de l’ARPTC » désigne l’un des organes dirigeants et décisionnels de l’Autorité de régulation de la poste et des télécommunications du Congo (ARPTC). Il est composé de sept membres. Sa composition, ses attributions et son fonctionnement sont régis par les articles 8 à 18 de la loi n° 014/2002 portant création de l’ARPTC.

[16] Il s’agit de la décision n°039/ARPTC/CLG/2025 du Collège de l’Autorité de Régulation de la Poste et des Télécommunications du Congo du 11 Septembre 2025 fixant les modalités et la procédure d’examen des demandes d’autorisations et de déclaration de traitement des données à caractère personnel, Journal officiel de la République démocratique du Congo, numéro spécial, 67e année, 23 avril 2026.

[17] V. supra, note n° 8.

[18] Il s’agit du Chapitre II, Titre III du Livre III, intitulé « Conditions de traitement des données ».

[19] V. la définition du responsable du traitement à l’article 2, point 66, du Code du numérique, qui le désigne comme la « personne physique ou morale établie de manière stable sur le territoire du pays, qui se substitue au responsable du traitement dans l’accomplissement des obligations prévues par la présente ordonnance-loi ».

[20] Il convient de relever que le Code du numérique ne retient pas une définition précise de la notion de sous-traitant en matière de protection des données à caractère personnel. Cette imprécision s’explique probablement par le caractère transversal du Code, lequel couvre plusieurs branches du droit dans lesquelles la notion de sous-traitant revêt des significations différentes. Toutefois, dès lors que l’article 2 du Code est spécifiquement consacré aux définitions, le législateur aurait dû clarifier cette distinction terminologique afin d’éviter toute confusion. En droit de la protection des données personnelles, le sous-traitant désigne en effet la personne qui traite les données pour le compte du responsable du traitement et sur instruction de celui-ci, contrairement à l’acception plus large retenue en droit commercial ou en droit des sociétés. V. sur le sujet : E. Rançon, « CEPD : adoption du nouveau référentiel pour les sous-traitants », Dalloz IP/IT, 2026, p. 58.

[21] Selon l’art.185 du Code du numérique, certains traitements de données à caractère personnel sont exclus du champ d’application des règles relatives à la protection des données personnelles prévues par le Code. Il s’agit notamment des traitements effectués dans le cadre d’activités exclusivement personnelles ou domestiques, des copies techniques temporaires ainsi que des traitements réalisés aux fins de prévention, de recherche, de constatation ou de répression des infractions pénales.

[22] V. L’art. 184 du Code du numérique.

[23] Pour en savoir plus sur le transfert des données personnelles hors de la RD Congo, nous lire : B. Kandolo wa Kandolo, « Le transfert des données personnelles hors de la RD Congo », Journal CODES Africa – Numéro 2 – Vol 1, 27 mars 2025, en ligne https://droitnumerique.cd/le-transfert-des-donnees-personnelles-hors-de-la-rd-congo/ (consulté le 14 janvier 2026).

[24] À l’analyse du Code du numérique congolais, il apparaît que le droit congolais ne retient que deux bases légales pour le traitement des données à caractère personnel : le consentement et l’obligation légale. Cette approche contraste avec celle d’autres systèmes juridiques, qui prévoient généralement un éventail plus large de bases, telles que le consentement, l’exécution d’un contrat, l’obligation légale, l’intérêt légitime ou la mission d’intérêt public. Cette spécificité congolaise, caractérisée par la dispersion des bases légales dans des dispositifs distincts, soulève, selon nous, une certaine incohérence législative, dont la logique et la justification demeurent difficiles à appréhender. D’autres bases légales apparaissent toutefois dans le Code, notamment à l’article 195 pour le traitement des données sensibles, ainsi qu’aux articles 206, 211, 215 et 216, qui énoncent des justifications supplémentaires pour certains traitements spécifiques.

[25] V. L’article 193 du Code du numérique.

[26] À l’instar de ce qui a été relevé concernant les bases légales (voir note infra n°24 24), les conditions du consentement valable au sens du Code du numérique congolais ne font pas l’objet d’une définition unifiée, contrairement au RGPD (art. 4, §11), qui prévoit quatre exigences cumulatives, à savoir un consentement libre, spécifique, éclairé et univoque. Le Code du numérique ne retient pas expressément la condition du consentement univoque et énonce les autres exigences de manière éparse. Ainsi, la condition du consentement libre est évoquée à l’article 196 du Code, celle du consentement spécifique à l’article 195, tandis que l’exigence d’un consentement explicite est prévue à l’article 146 du Code. Cette dernière notion, absente de certaines législations ayant inspiré le Code du numérique, telles que le RGPD, se substitue partiellement à des exigences classiques sans que le texte ne précise clairement son articulation avec les autres conditions du consentement, ce qui contribue à une certaine insécurité juridique.

[27] En droit commun congolais, sont considérés comme incapables, selon l’article 215 du Code de la famille, les mineurs (personnes n’ayant pas atteint la majorité civile) ; les majeurs aliénés interdits (adultes atteints de troubles mentaux les empêchant d’exercer leurs droits) ; ainsi que les majeurs faibles d’esprit, prodigues ou affaiblis par l’âge ou l’infirmité, placés sous curatelle. Lire E. Mwanzo idin’ Aminye, É. Katusele Bayongi, T. Katembo Zawadi, Que dit le « Code de la famille » de la République démocratique du Congo ? commentaire article par article, L’Harmattan, Études africaines, 2019, Pour la jurisprudence relative à cette question, v. égal. : S. Kitenge Lobaba, Code judiciaire congolais annoté: dispositions constitutionnelles, législatives et réglementaires, Paris, L’Harmattan, Études africaines, 2023.

[28] V. Article 193 du Code du numérique

[29] Ibid.

[30] À la lecture du Code du numérique, et notamment de l’article 209 relatif aux droits de la personne concernée, il apparaît que ces droits ne sont pas toujours formulés sous les dénominations classiques retenues par la doctrine ou les instruments internationaux. Le législateur privilégie une approche descriptive, en exposant les actions ou prérogatives liées à ces droits sans les désigner expressément expressis verbis. Cette méthode rédactionnelle, que l’on peut regretter, a pour effet de laisser dans l’ombre certains droits reconnus en matière de protection des données personnelles, tels que le droit à la limitation du traitement ou encore le droit d’opposition, lesquels jouent un rôle déterminant dans la sauvegarde des droits des personnes concernées.

[31] Article 221 du Code du numérique.

[32] Article 219 du Code du numérique.

[33] Article 193, point 3 du Code du numérique.

[34] Ibid.

[35] Lire E. Schlumberger, « La protection des données personnelles en Afrique : où en est-on ? », Leto Legal, 5/07/2025, en ligne https://www.leto.legal/guides/rgpd-afrique (consulté le 14/01/2026).

[36] Loi n° 2008-12 du 25 janvier 2008 vise à protéger les données personnelles au Sénégal.

[37] Loi n° 2017-20 portant code du numérique en République du Bénin.

[38] Loi n°2013-450 portant protection des données à caractère personnel.

[39] À titre d’exemple, le Sénégal permet la réalisation de certaines procédures de protection des données personnelles directement en ligne via le site de la Commission de Protection des Données Personnelles : https://www.cdp.sn/conformite/classification (consulté le 14/01/2026).

[40] V. supra. § 3, p. 3.

[41] Pour la liste détaillée des onze éléments devant obligatoirement figurer dans les demandes de déclaration et d’autorisation, v. l’art. 188 du Code du numérique, qui en fixe le contenu minimal requis.

[42] V. art. 186 du Code du numérique.

[43] V. art. 188 du Code du numérique.

[44] N. Gninou, « Accès au droit et protection des données personnelles », Cliniques Juridiques, Réseau des Cliniques Juridiques Francophones, 24 janvier 2026, n^o 14, en ligne https://cliniques-juridiques.org/revue/volume-8-2025/acces-au-droit-et-protection-des-donnees-personnelles/ (consulté le 26 mai 2026).

[45] V. art. 186, al. 5 du Code du numérique.

[46] L’art. 190 du Code du numérique, dispose qu’en cas de refus par l’Autorité, le responsable du traitement dispose d’un recours gracieux à exercer dans un délai de quinze (15) jours à compter de la notification de la décision de rejet. Le Code demeure toutefois relativement silencieux quant aux garanties juridictionnelles susceptibles d’être exercées ultérieurement contre les décisions de l’autorité de régulation.

[47] Pour une étude plus approfondie du régime de la déclaration en droit administratif congolais, v. not. F. Vunduawe te Pemako, J.-M. Mboko Dj’Andima, Traité de droit administratif: de la République démocratique du Congo, Bruylant, 2^e éd, 2020, 1218 p. ; B. Batanga, Précis du contentieux administratif congolais, vol 1, Academia-l’Harmattan, 2014, 160 p. ; B. Batanga, Précis du contentieux administratif congolais, Academia-l’Harmattan, 2017, vol. 2, 326. p.

[48] Concernant la procédure administrative et les délais, la déclaration peut être transmise par voie électronique, postale ou par tout moyen permettant d’obtenir un accusé de réception. L’Autorité dispose d’un délai de trente (30) jours, prorogeable une seule fois, pour se prononcer, son silence valant acceptation tacite du traitement. En cas de conformité, un récépissé est délivré au responsable du traitement, sans préjudice des responsabilités légales qui lui incombent, v. l’article 190 du Code du numérique.

[49] V. art. 189 du Code du numérique.

[50] La fonction de Délégué à la protection des données constitue une innovation récente du Code du numérique congolais, largement inspirée du modèle européen issu du RGPD. Son statut et ses missions ressortent principalement des articles 222 à 226 du Code du numérique relatifs à sa désignation et à son rôle dans la conformité des traitements. Cette fonction fait progressivement son apparition dans l’écosystème numérique congolais, notamment à travers les formations organisées par Droit-Numérique.cd en partenariat avec Rudi International, lesquelles ont conduit au lancement officiel du Réseau des DPO de la RDC. V. Droit-Numérique.cd, « La cérémonie de lancement officiel du Réseau des DPO de la RDC », Droit-Numérique.cd, 16 mars 2026, en ligne https://droitnumerique.cd/la-ceremonie-de-lancement-officiel-du-reseau-des-dpo-de-la-rdc/ (consulté le 27 mai 2026).

[51] On retrouve à l’article 187 du Code du numérique la liste des traitements de données à caractère personnel soumis à une autorisation préalable de l’Autorité de contrôle.

[52] V. notre critique du régime déclaratif, supra, § 18, p. 10.

[53] Nous lire sur cette question dans, B. Kandolo, Le transfert des données personnelles hors de la RD Congo, art. cit. note 24.

[54] V. art. 190 du Code du numérique.

[55] V. art. 187 du Code du numérique.

[56] Parmi les missions reconnues à l’Autorité de protection des données figure également celle d’émettre des avis motivés et des recommandations sur toute question relative à la protection des données à caractère personnel. V. art. 263 du Code du numérique.

[57] Lire sur cette question la thèse de A. de Solminihac, La vie privée: les racines d’un concept juridique protéiforme, XVIe-XIXe siècle, thèse, Dalloz, Nouvelle bibliothèque de thèses n^o volume 238, 2024, 526 p.

[58] L. Pailler, « Titre 1 – La protection des données personnelles et de la vie privée », Précis Droit des activités numériques, Dalloz, Précis, 2^e éd., 2023, § 1084 à 1311. Lire en droit congolais C. Kayudi Misamu, J.-F. Henrotte, La protection des données à caractère personnel en République démocratique du Congo, op. cit. note 5, p. 23 et s.

[59] L. Arnaud, « En attendant la Déclaration de droits fondamentaux du numérique », Dalloz IP/IT, 2020, p. 593 ; E. Gaillard, « L’entrée dans l’ère du droit des générations futures », Les cahiers de la justice, 2019, p. 441.

[60] Nous lire dans B. Kandolo wa Kandolo, « La ratification par la RDC de la Convention de Malabo : progrès juridique ou saut dans le passé ? », News-Juritech, 28 juin 2025, n° 11, en ligne https://droitnumerique.cd/convention-malabo-rdc/ (consulté le 11 juillet 2025) ; lire aussi sur cette question P. Ntetika, « 5 choses à savoir sur la ratification par la RDC de la convention de l’UA sur la cybersécurité et la protection des données à caractère personnelle », Focus Droit & Tech, juillet 2025, n^o 2, en ligne https://www.law-and-technologies.org/actu/5_choses_savoir_sur_la_ratification_par_la_rpublique_dmocratique_du_congo_de_la_convention_de_lunion_africaine_sur_la_cyberscurit_et_la_protection_des_donnes_caractre_personnel_convention_de_malabo/34 (consulté le 28 mai 2026).

[61] A.-M. Courage, « Réseaux sociaux et nouvelles dérives sectaires dans l’océan numérique », AJ pénal, 2021, p. 403.

[62] N. Ochoa, « Pour en finir avec l’idée d’un droit de propriété sur ses données personnelles : ce que cache véritablement le principe de libre disposition », RFDA, 2015, p. 1157.

[63] L’expression « droit à l’autodétermination informationnelle » trouve son origine dans la jurisprudence de la Cour constitutionnelle fédérale allemande, notamment dans sa célèbre décision du 15 décembre 1983 relative au recensement de la population (Volkszählungsurteil). À cette occasion, la juridiction allemande a consacré le droit pour chaque individu de décider lui-même de la communication et de l’utilisation des informations le concernant, en le rattachant à la dignité humaine et au libre développement de la personnalité. V. G. Galustian, « La protection des données personnelles à l’épreuve du numérique », Revue du droit public, Lextenso, 2018, n^o 5, p. 1389 à 1415.

[64] Bien que cette étude ait été publiée antérieurement à la Constitution du 18 février 2006, elle demeure pertinente en ce qu’elle met en évidence les premières réflexions doctrinales relatives à la protection de la vie privée dans l’environnement numérique en RDC. V. E.-L. Owenga Odinga, « Le respect de la vie privée et les inforoutes en République Démocratique du Congo », Lex Electronica, Centre de recherche en droit public, Université de Montréal, janvier 2001, vol. 6, n^o 2, en ligne https://www.lex-electronica.org/en/articles/vol6/num2/le-respect-de-la-vie-privee-et-les-inforoutes-en-republique-democratique-du-congo/ (consulté le 28 mai 2026)

[65] R. Fassi-Fihri, « Le constitutionnalisme numérique : nouvel horizon du droit constitutionnel ? », Revue franc. de droit constitutionnel, Presses Universitaires de France, 30 octobre 2025, vol. 143, n^o 3, p. 683‑698 ; G. Tusseau, « Prendre le chaos au sérieux : le constitutionnalisme numérique, par Guillaume TUSSEAU », SciencesPo, 29 novembre 2023, en ligne https://webserver07.reims.sciences-po.fr/public/chaire-numerique/2023/11/29/papier-de-recherche-prendre-au-serieux-le-chaos-le-constitutionnalisme-numerique-par-guillaume-tusseau/ (consulté le 17 janvier 2026)

[66] Art. 184 du Code du numérique.

[67] C. Kayudi Misamu, J.-F. Henrotte, La protection des données à caractère personnel en République démocratique du Congo, op. cit. note 5, p. 157.

[68] L’adoption ultérieure du Code du numérique, instituant une autorité spécifiquement compétente en matière de protection des données personnelles, a rendu cette disposition inopérante dans ce domaine, conformément au principe specialia generalibus derogant, selon lequel la règle spéciale déroge à la règle générale.

[69] Lire A. Bachert-Peretti, « La protection constitutionnelle des données personnelles : les limites de l’office du Conseil constitutionnel face à la révolution numérique », Revue franc. de droit constitutionnel, Presses Universitaires de France, 2 juillet 2019, vol. 118, n^o 2, p. 261‑284.

[70] V. Arrêté ministériel n°cab/min/pt&n/akim/kl/kbs/051/ 2024 du 17/08/2024, portant harmonisation des modalités de mise en œuvre des régimes de l’ordonnance-loi n° 023/010 du 13 mars 2023 portant code du numérique et de la loi n°20/017 du 25 novembre 2020 relative aux télécommunications et aux technologies de l’information et de la communication en République démocratique du Congo, journal officiel – Numéro spécial – 18 septembre 2024.

[71] Depuis le remaniement gouvernemental d’août 2025 en RDC, l’ancien ministère des Postes, Télécommunications et Nouvelles Technologies de l’Information et de la Communication (PTNTIC) a été scindé en deux entités distinctes, à savoir le ministère des Postes et Télécommunications, d’une part, et le ministère de l’Économie numérique, d’autre part. Pour une analyse des enjeux et défis de cette réforme institutionnelle, voy. not. P. Ntetika, « RDC : Du ministère du numérique, ministère des postes, télécommunications et numérique au ministère de l’économie numérique, enjeux et défis du nouvel ordre du numérique congolais », Focus Droit & Tech, août 2025, n^o 3, en ligne https://www.law-and-technologies.org/actu/rdc_du_ministre_du_numrique_ministre_des_postes_tlcommunications_et_numrique_au_ministre_de_lconomie_numrique_enjeux_et_dfis_du_nouvel_ordre_du_numrique_congolais/35 (consulté le 28 mai 2026)

[72] Nous lire aussi dans B. Kandolo, « Régulation du numérique en RDC », art. cit. note 7.

[73] V. le Titre IV intitulé « De l’Autorité de protection des données », spécialement les articles 262 à 270 du Livre III du Code du numérique relatifs aux contenus numériques.

[74] H. Ripert, Le principe de la spécialité chez les personnes morales de droit administratif : son application en matière de dons et legs, thèse, 1906. Lire en droit congolais A. Makengo Nkutu, L’essentiel de droit public: le cas de la République démocratique du Congo, L’Harmattan, Études africaines, 2014, 184 p. F. Vunduawe te Pemako, J.-M. Mboko Dj’Andima, Traité de droit administratif, op. cit. note 47, 1218 p. ; B. Batanga, Précis du contentieux administratif congolais, vol 1, Academia-l’Harmattan, 2014, 160 p. ; B. Batanga, Précis du contentieux administratif congolais, op. cit. note 47, 326. p.

[75] V. le point 2 de l’article 263 du Code du numérique.

[76] Le Code du numérique est dans son essence, largement inspiré du Règlement général sur la protection des données (RGPD), lequel s’est lui-même notamment inspiré du modèle français issu de la loi Informatique et Libertés de 1978.

[77] On peut d’ailleurs lire sur le site de la CNIL, c’est qui suit : « Les lignes directrices de la CNIL viennent en complément de celles adoptées au niveau européen par le CEPD. Elles donnent des éléments d’interprétation des textes en informant les acteurs des procédures à suivre et règles à appliquer. Les recommandations de la CNIL, non prescriptives, ont un rôle de guide pratique ayant pour objectif d’éclairer les acteurs concernés sur les règles applicables. », Lire CNIL, « Lignes directrices et recommandations de la CNIL », en ligne https://www.cnil.fr/fr/decisions/lignes-directrices-recommandations-CNIL (consulté le 28 mai 2026)

[78] V. le point 16 de l’article 263 du Code du numérique.

[79] V. supra, § 42, p. 19.

[80] R. Carré de Malberg, Théorie générale de l’État, 1922 ; B. Bernardi, « Démocratie et État de droit : un essai de clarification conceptuelle », Les cahiers de la justice, 2025, p. 369 ; H. Kelsen, La Démocratie : sa nature, sa valeur, 1920 (première édition de la Théorie pure du droit), 1934. Lire en droit congolais L. Odimula Lofunguso Kos’Ongenyi, L’État de droit en droit congolais, L’Harmattan, 2021, 286 p.

[81] Ibid.

[82] H. Kelsen, La Démocratie : sa nature, sa valeur, 1920 (première édition de la Théorie pure du droit), 1934.

[83] Le récépissé de déclaration : Il est délivré pour une durée de trois (3) ans, renouvelable ; l’autorisation de traitement : Elle est accordée pour une durée de deux (2) ans, également renouvelable ; l’autorisation de transfert vers un pays tiers : Elle est délivrée pour une durée maximale d’un (1) an, renouvelable.

[84] L’usage du dollar américain est repris tel qu’il figure dans la décision, aucun équivalent en francs congolais n’y étant indiqué.

[85] Nous n’aborderons pas ici les incohérences relevées dans cette annexe, notamment le cumul, dans certains cas, de la déclaration et de la demande d’autorisation de transfert, alors qu’un tel mécanisme n’a jamais été prévu par le législateur. Sur le mécanisme du récépissé, nous lire supra, § 15, p. 9 et s.

[86] V. l’art. 174, al. 1er, de la Constitution de la République démocratique du Congo, aux termes duquel « il ne peut être établi d’impôts que par la loi ». Tant bien même que les frais d’étude prévus par la décision ne sont pas expressément qualifiés d’impôts, ils s’analysent néanmoins comme des charges financières obligatoires imposées aux responsables de traitement dans le cadre de l’exercice d’une obligation légale, ce qui soulève la question de leur conformité au principe de légalité fiscale.

[87] Lire L. Philip, Droit fiscal constitutionnel: évolution d’une jurisprudence, Economica, Collection Finances publiques, 2014 ; B. Lignereux, Précis de droit constitutionnel fiscal, LexisNexis, Précis fiscal, 2e éd, 2023 ; lire en droit congolais G. Bakandeja wa Mpungu et T.-G.M. Kalonji, Droit fiscal des affaires en République démocratique du Congo, Bruylant, 2025, 166 p. ; T.-G.M. Kalonji, Droit congolais des compétences fiscales: procédures fiscales, douanières et non fiscales de l’État et des collectivités territoriales, L’Harmattan, Actes et manuels LMD/Kin, 2024, 294 p.

[88] V. supra, § 23, p. 11 et s.

[89] V. les articles 11 et 12 de la Constitution. L’art.12 dispose que « tous les Congolais sont égaux devant la loi et ont droit à une égale protection des lois », tandis que l’art. 11 garantit l’égalité en dignité et en droits en énonçant que « tous les êtres humains naissent libres et égaux en dignité et en droits ».

[90] Même si l’article 189 du Code du numérique prévoit certains cas de dispense du régime déclaratif, aucune disposition similaire ne semble avoir été prévue par le législateur en matière de demandes d’autorisation préalable.

[91] K. Matthias, S. Emilie, K. Matthiesen, « Autopsie du respect des principes classiques régissant les services publics en République démocratique du Congo », KAS African Law Study Library – Librairie Africaine d’Etudes Juridiques, 1 novembre 2018, vol. 5, p. 511 et 522.

[92] La théorie de la loi-écran ou écran-législatif est une théorie jurisprudentielle du droit administratif qui signifie qu’un juge administratif ne peut pas écarter un acte administratif au motif qu’il serait contraire à la Constitution lorsque cet acte ne fait qu’appliquer une loi. Pour en savoir plus, lire sur cette question M. Verpeaux, M. Heitzmann Patin, « Contentieux constitutionnel : actes administratifs – Actes administratifs susceptibles de contrôle », Répertoire de contentieux administratif, Dalloz, avril 2025 ; A. Denizot, « L’obscure clarté de l’écran transparent », AJDA, 2025, p. 747.

Inconstitutionnalité de la décision de l’ARPTC Télécharger

Réflexions sur l’inconstitutionnalité de la décision de l’ARPTC sur la procédure d’autorisation et de déclaration des traitements de données personnelles

INTRODUCTION

I. LES CONDITIONS DE TRAITEMENT DES DONNÉES PERSONNELLES EN RDC

A. PRINCIPES FONDAMENTAUX DU TRAITEMENT DES DONNÉES PERSONNELLES

B. LES FORMALITÉS PRÉALABLES APPLICABLES AUX TRAITEMENTS DE DONNÉES PERSONNELLES

1) Le régime de la déclaration préalable des traitements de données personnelles

2) Le régime de l’autorisation préalable des traitements de données personnelles

II. LES LIMITES DE LA DÉCISION DE L’ARPTC SUR LA PROCÉDURE D’AUTORISATION ET DE DÉCLARATION

A. LA PROTECTION DES DONNÉES AU TITRE DE DROIT FONDAMENTAL À VALEUR CONSTITUTIONNELLE

B. LE CONTRÔLE DE LÉGALITÉ ET DE CONSTITUTIONNALITÉ DE LA DÉCISION DE L’ARPTC

1) L’absence de compétence règlementaire de l’ARPTC en matière de données personnelles

2) L’inconstitutionnalité des frais imposés par la décision de l’ARPTC

QUE CONCLURE ?

Plaidoyer pour l’adhésion de la RDC à la Déclaration Africaine sur l’Intelligence Artificielle

La profession d’avocat à l’ère et à l’épreuve de l’intelligence artificielle

ARPTIC/ARPTC Invertie des missions de l’Autorité de Protection des Données en RD Congo

Modalités d’utilisation des canaux digitaux dans le processus de paiement des recettes fiscales, non fiscales et douanières en RD-Congo

L’Union africaine dévoile sa stratégie continentale de l’IA et le Pacte numérique africain

Entre régulation protectrice et exclusion prédatrice : pour une lecture technodécoloniale des Arrêtés n° 004 et n° 005 du 11 mars 2026 relatifs aux activités et services numériques en RDC

Institutions & Autorités :

Réflexions sur l’inconstitutionnalité de la décision de l’ARPTC sur la procédure d’autorisation et de déclaration des traitements de données personnelles

Publications similaires

Institutions & Autorités :