Droit-Numérique.cd, Dossier N° 4 – Août 2024

RÉGULATION DU NUMÉRIQUE EN RDC : L’ARPTIC INVESTIE AUTORITÉ UNIQUE POUR LA RÉGULATION DU NUMÉRIQUE, LA CERTIFICATION ÉLECTRONIQUE ET LA PROTECTION DES DONNÉES

RÉSUMÉ

L’année 2023 a marqué l’entrée en vigueur du Code du Numérique en République Démocratique du Congo (RDC), suscitant de fortes attentes quant à la création d’entités régulatrices dédiées au secteur numérique. Cependant, un arrêté ministériel du 17 août 2024 a pris une direction inattendue, plutôt que de créer de nouvelles autorités spécialisées, le ministre des Postes, Télécommunications et Numérique (PTN) a étendu les prérogatives de l’Autorité de Régulation des Postes, des Télécommunications et des Technologies de l’Information et de la Communication (ARPTIC). Cet arrêté confère à l’ARPTIC de nouvelles missions qui, conformément aux dispositions du Code du Numérique, devraient être exercées par trois autorités distinctes, à savoir l’Autorité de Régulation du Numérique, l’Autorité Nationale de Certification Électronique et l’Autorité de Protection des Données. Bien que cette décision puisse être perçue comme une solution transitoire, elle soulève néanmoins des questions fondamentales. En effet, cette concentration de pouvoirs est-elle compatible avec les principes de spécialité et d’indépendance propres aux autorités administratives ? De plus, l’ARPTIC dispose-t-elle des ressources et de l’expertise nécessaires pour assumer pleinement ces nouvelles responsabilités ?

La régulation du secteur numérique revêt aujourd’hui une importance stratégique[1], tant pour la protection des droits des utilisateurs que pour la promotion d’une économie numérique compétitive et innovante[2]. Elle permet non seulement d’assurer la sécurité des données personnelles, mais également de garantir une concurrence loyale entre les acteurs du marché[3], tout en encourageant l’innovation technologique[4]. Dans ce cadre, la mise en place d’autorités de régulation spécialisées est un enjeu crucial. Ces entités apportent une expertise technique et juridique pointue, essentielle pour renforcer la confiance des utilisateurs, tout en stabilisant l’environnement d’investissement[5].

En République Démocratique du Congo (RDC), l’adoption du Code du Numérique[6] a marqué une étape clé dans cette transformation numérique. Ce texte ambitieux prévoit la création de plusieurs autorités administratives indépendantes chargées de réguler le secteur du numérique[7]. Toutefois, l’établissement de ces autorités nécessite, dans la plupart des cas, l’adoption d’un décret pris par le Premier ministre ou d’un arrêté pris par le ministre en charge du numérique. Contre toute attente, un arrêté ministériel, signé le 17 août 2024[8] par le ministre des Postes, Télécommunications et Numérique (PTN), portant sur l’harmonisation des modalités d’application du Code du numérique et de la loi de 2020 sur les télécommunications et les technologies de l’information et de la communication (TIC), a introduit un changement inattendu. Au lieu de procéder à la création des autorités prévues par les textes législatifs, cet arrêté a transféré les missions dévolues à trois de ces entités à l’Autorité de Régulation des Postes, Télécommunications et Technologies de l’Information et de la Communication (ARPTIC). Cela concerne les missions assignées à l’Autorité de Régulation du Numérique[9], l’Autorité Nationale de Certification Électronique[10] et l’Autorité de Protection des Données[11].

Ce choix, bien que présenté comme provisoire[12], suscite des interrogations quant à la légitimité et l’efficacité de cette nouvelle approche adoptée par le ministère des PTN. En effet, un arrêté ministériel ne saurait substituer la création d’autorités régulatrices établies par des lois, ce qui soulève des questions sur le respect du principe de légalité. L’arrêté du ministre des PTN s’inscrit dans le cadre du Programme d’Actions du Gouvernement 2024-2028 (Action 8, Axe stratégique 3.2.1 Pilier III : Développement des réseaux de communication et d’accès à internet.), qui vise l’harmonisation des lois sectorielles et l’adoption de leurs mesures d’application. La prise en compte de cette action dans le PAG démontre d’une part la reconnaissance par le Gouvernement des superpositions de missions entre les différentes structures, et d’autre part, la volonté de mettre en place un écosystème harmonisé et adapté.

Cet article a pour but analyser les enjeux juridiques et institutionnels soulevés par cette approche. Il s’agira, dans un premier temps, d’examiner le changement de paradigme opéré par le ministère des PTN (I), puis d’évaluer les conséquences potentielles de cette décision sur la régulation du secteur numérique en RDC (II).

I. CHANGEMENT DE CAP DANS L’APPROCHE RÉGLEMENTAIRE

L’ARPTIC trouve son fondement dans la loi sur les télécommunications et les TIC de 2020. Cependant, il a fallu attendre un décret pris par le Premier ministre en 2023 pour qu’elle soit officiellement créée[13], il convient de souligner que cette nouvelle autorité remplace l’ancienne Autorité de régulation des postes et télécommunications du Congo (ARPTC)[14], qui a été dissoute pour être remplacée par l’ARPTIC[15]. 

La première innovation de cette nouvelle appellation réside dans l’ajout des « technologies de l’information et de la communication » à son appellation, un ajout significatif qui reflète l’élargissement du champ d’action de l’autorité. Ce changement marque une volonté claire d’adapter l’ARPTIC aux enjeux numériques contemporains, notamment en prenant en compte les défis liés à la transformation numérique et à la convergence technologique. Initialement limitée à neuf missions par la loi de 2020 sur les télécommunications et les TIC[16], l’ARPTIC voit ses attributions considérablement élargies par le décret relatif à son organisation et à son fonctionnement, qui en étend les missions à vingt-neuf[17].

Sur le plan juridique, toutefois, cette extension soulève une question fondamentale, celle de savoir si un décret peut-il légitimement aller au-delà des limites posées par la loi d’origine ? Selon le principe de hiérarchie des normes[18], un décret d’application doit nécessairement respecter le cadre fixé par la loi. Le pouvoir réglementaire, exercé notamment par voie de décret, est subordonné à la loi. Il en découle que les dispositions d’un décret ne peuvent ni étendre ni restreindre les compétences d’une autorité si celles-ci ne sont pas expressément prévues par la loi elle-même. L’extension des missions de l’ARPTIC via décret pourrait donc être contestée si elle excède les prérogatives conférées par la loi de 2020. Cela pose la question de la légalité et de la conformité de cette réforme avec le principe de légalité, qui impose que toute autorité administrative agisse dans les limites de la loi.

Ainsi, les missions de l’ARPTIC, déjà considérées comme substantiellement importantes, ont été étendues par l’arrêté ministériel du 17 août 2024[19] (A). Cet arrêté lui confère de nouvelles attributions. Désormais, en sus de ses fonctions régulatrices habituelles, l’ARPTIC se voit assigner des responsabilités supplémentaires qui étaient initialement dévolues à d’autres autorités encore non créées. Cette situation soulève la question essentielle de sa capacité à assumer pleinement ces nouvelles missions (B).

A.    Objet et contenu de l’arrêté

L’enjeu principal de l’arrêté 17 août 2024 réside dans sa tentative de combler un vide institutionnel dans l’application du Code du Numérique. Ce dernier prévoit la création de plusieurs autorités de régulation et de contrôle, notamment : le Conseil National du Numérique, l’Autorité de Régulation du Numérique, l’Autorité Nationale de Certification Électronique, l’Autorité de Protection des Données, l’Agence Nationale de Cybersécurité, et le Guichet Numérique de la RDC. Cependant, l’arrêté se limite à transférer à l’ARPTIC les compétences de seulement trois de ces autorités.

L’article premier, qui constitue la disposition clé de cet arrêté composé de deux articles, dispose : « L’Autorité de Régulation, ARPTIC/ARPTC, exerce toutes les missions dévolues respectivement à l’Autorité de Régulation du Numérique, à l’Autorité Nationale de Certification Electronique et à l’Autorité de Protection des Données par le Code du Numérique, en attendant la création effective de ces trois organes. »

Ce transfert temporaire de missions n’est accompagné d’aucune circulaire, ni d’aucune note explicative émanant du ministère des PTN quant au choix de ces trois autorités spécifiques, ni pour préciser les modalités d’organisation de l’ARPTIC dans l’exercice de ses nouvelles missions. Cette situation soulève plusieurs interrogations, notamment celle de savoir pourquoi ces trois organes ont-ils été jugés prioritaires parmi toutes les autorités prévues dans le Code du Numérique. Sont-ils considérés comme les plus urgents ou les plus stratégiques pour l’écosystème numérique actuel de la RDC ? Par ailleurs, l’ARPTIC sera-t-elle en mesure de remplir efficacement ses nouvelles fonctions ?

Répondre à ces questions implique d’examiner d’abord les compétences et le fonctionnement de chacune de ces trois autorités à savoir l’Autorité de Régulation du Numérique (1), l’Autorité Nationale de Certification Électronique (2), et l’Autorité de Protection des Données (3).

1. Autorité de Régulation du Numérique

Le Code du numérique congolais, à travers ses articles 7 et 8, établit la création de l’Autorité de Régulation du Numérique (ARN). Cette autorité sera instituée par un décret du Premier ministre, après délibération en conseil des ministres, et sera placée sous la tutelle du ministre chargé du numérique, actuellement le ministre des PTN. Toutefois, l’arrêté du ministre des PTN du 17 août 2024 a temporairement transféré les prérogatives de l’ARN à l’ARPTIC.

Il est légitime de s’interroger, sur le plan juridique, si une entité qui devrait être créée par le Premier ministre peut voir ses compétences transférées à une autre autorité par un arrêté ministériel. En effet, cette situation soulève une problématique de respect des compétences et de l’autonomie des institutions publiques.

En vertu du principe de la séparation des pouvoirs, inscrit dans la Constitution congolaise[20], chaque entité doit agir dans le cadre des compétences qui lui sont définies par la loi. Le transfert de compétences d’une entité dont la création est conditionnée par un acte du Premier ministre à une autre autorité, sans base légale claire, pourrait constituer une violation de ce principe fondamental. En conséquence, il est essentiel de s’assurer que toute modification des compétences de l’ARN soit opérée par un acte réglementaire approprié, garantissant ainsi la transparence et la légitimité des décisions prises dans le domaine de la régulation numérique.

Bien que le Code du numérique énonce les différentes missions que l’ARN devra accomplir, il n’en précise pas les contours ni les modalités d’application. L’ARN sera chargée d’encadrer le développement et l’utilisation des technologies numériques dans le respect des lois en vigueur. Ses missions incluent la garantie de l’équité des prix et de la qualité des services fournis aux utilisateurs, la définition des principes d’interopérabilité des services numériques, ainsi que la protection des intérêts des utilisateurs et des fournisseurs.

En outre, l’ARN assure également la régulation des activités et des services numériques, tout en promouvant et en développant les initiatives dans le secteur. En outre, elle veille au respect des obligations des plateformes dominantes, participe à la recherche, à la formation et à l’étude du commerce électronique, et contribue à la mobilisation des financements tout en œuvrant pour la réduction de la fracture numérique. Enfin, l’ARN joue un rôle essentiel dans la prévention et la répression des abus commis par les plateformes dominantes[21].

L’ARN jouera un rôle fondamental dans la supervision du secteur numérique dans son ensemble. Toutefois, nous considérons que cette autorité pourrait être jugée redondante, d’autant plus que son appellation laisse entendre qu’elle pourrait agir comme une « super autorité », intervenant sur toutes les questions liées au numérique. De plus, ses missions sont presque identiques à celles qui incombent déjà à l’ARPTIC, ce qui pourrait justifier la décision d’accorder l’exercice de ces missions à cette dernière.

En ce qui concerne la composition de l’ARN, il convient de noter qu’à la différence des autres autorités de contrôle prévues par le Code du numérique, la structure organisationnelle de l’ARN n’a pas encore été clairement définie. Cette absence de précisions soulève des interrogations sur la manière dont cette autorité sera structurée et sur les modalités de désignation de ses membres.

2. Autorité Nationale de Certification Électronique

L’Autorité Nationale de Certification Électronique (ANCE) est prévue aux articles 9 et 10 du Code du numérique. Il convient de noter que, lors de la 105e réunion du Conseil des ministres tenue le 21 juillet 2023, le projet de décret relatif à la création, à l’organisation et au fonctionnement de l’ANCE a été adopté. Cependant, ce décret n’a pas encore été promulgué[22].

Sa création sera officialisée par un décret du Premier ministre, tout comme pour l’Autorité de Régulation du Numérique. La question de principe de la séparation des pouvoirs se pose également concernant le transfert de prérogatives vers l’ARPTIC, qui est effectué par un arrêté ministériel, alors que la création de l’ANCE doit être réalisée par un décret. Cela soulève des préoccupations quant à la légitimité et à la conformité juridique de telles actions, car un arrêté ne saurait remplacer un acte législatif de rang supérieur.

Le statut juridique de l’ANCE sera celui d’un établissement public à caractère technique, placé sous la tutelle du ministre chargé du numérique. L’ANCE aura pour mission principale de jouer le rôle d’Autorité de Certification Électronique pour les activités et services numériques, en veillant à la sécurité et à la fiabilité des transactions électroniques. Bien que le Code du numérique énumère ses attributions de manière succincte, nous en proposons ici un éclairage approfondi, afin d’expliquer les enjeux et implications de ces missions pour l’écosystème numérique.

• Avis sur les activités des fournisseurs de services de confiance

L’ANCE sera chargée de donner des avis concernant les demandes d’exercice des activités des fournisseurs de services de confiance sur l’ensemble du territoire national. Cela inclut les entreprises et les organisations qui offrent des services tels que la signature électronique, l’horodatage électronique, et d’autres mécanismes de sécurité numérique. Cette mission vise à garantir que ces fournisseurs respectent les normes techniques et les exigences légales, afin d’assurer la qualité et la fiabilité des services qu’ils proposent.

• Contrôle du respect des normes

L’ANCE devra assurer le contrôle du respect par les fournisseurs de services de certification électronique des dispositions du code du numérique et de ses mesures d’application. Cela signifie qu’elle sera responsable de surveiller la conformité de ces fournisseurs aux réglementations en vigueur, en menant des audits réguliers et en prenant les mesures nécessaires pour remédier à toute non-conformité. Cette mission est essentielle pour maintenir la confiance du public dans les services numériques et pour protéger les utilisateurs contre les abus.

• Fixation des caractéristiques des dispositifs électroniques

Une autre mission clé de l’ANCE sera de fixer les caractéristiques techniques des dispositifs de création et de vérification de la signature électronique, du cachet électronique, de l’archivage électronique, de l’horodatage électronique et de l’authentification des sites Internet. En établissant des normes claires et précises, l’ANCE contribuera à garantir l’intégrité, la confidentialité et la sécurité des transactions électroniques. Cela permettra également d’assurer l’interopérabilité entre les différents systèmes et services numériques.

• Gestion de l’infrastructure à clés publiques nationales

L’Autorité Nationale de Certification Électronique (ANCE) a pour mission de gérer l’infrastructure à clés publiques nationales. Cela implique qu’elle sera responsable de la création, de la mise en œuvre et de la gestion d’un système destiné à sécuriser les échanges d’informations sur Internet.

L’infrastructure à clés publiques peut être définie comme un ensemble de technologies, de protocoles et de règles qui permettent l’utilisation de « clés » cryptographique pour sécuriser les communications électroniques. Cette infrastructure comprend la mise en place d’un système sécurisé pour la création, la distribution et la gestion des clés cryptographiques utilisées dans les transactions électroniques.

Une infrastructure à clés publiques robuste est essentielle pour garantir la sécurité des communications électroniques. Elle joue un rôle déterminant dans l’établissement de la confiance entre les parties lors d’échanges numériques, en assurant l’authenticité, l’intégrité et la confidentialité des informations échangées. En somme, l’ANCE, par sa gestion de cette infrastructure, contribuera à renforcer la sécurité et la fiabilité des transactions dans l’écosystème numérique congolais.

• Émission et conservation de certificats électroniques

Enfin, l’ANCE sera chargée d’émettre, de délivrer et de conserver des certificats électroniques pour les agents publics habilités à effectuer des échanges électroniques. Ces certificats, qui servent à authentifier l’identité des agents et à garantir l’intégrité des communications, sont indispensables pour assurer la légitimité et la sécurité des transactions effectuées par des organismes publics. La conservation de ces certificats permettra également de garantir leur disponibilité en cas de besoin pour des vérifications futures.

3. Autorité de protection des données

Les articles 262 à 270 du Code du numérique prévoient l’existence de l’Autorité de Protection des Données (APD). Son organisation et son fonctionnement seront établis par un décret du Premier ministre, sur proposition du ministre en charge du numérique. L’APD aura le statut d’une autorité administrative indépendante, ce qui signifie qu’elle agira de manière autonome par rapport au gouvernement et aux autres institutions publiques. Cette indépendance est cruciale pour garantir que l’APD puisse exercer ses missions de protection des données personnelles de manière impartiale et objective[23].

L’une des missions essentielles de l’APD est de veiller à ce que le traitement des données, tant publiques que personnelles, soit conforme aux dispositions du Livre III du Code du Numérique congolais. Pour ce faire, elle répondra à toutes les demandes d’avis ou de recommandations concernant le traitement de ces données, fournissant ainsi une guidance éclairée aux entités concernées[24]. De plus, l’APD émettra de manière proactive des avis motivés sur l’application des principes fondamentaux de la protection de la vie privée, s’assurant que les acteurs concernés respectent les normes établies.

En outre, l’APD jouera un rôle clé dans l’information des parties prenantes. Elle sensibilisera tant les individus que les responsables de traitement sur leurs droits et obligations, créant ainsi un environnement de transparence et de confiance. L’APD aura également la responsabilité d’autoriser ou de refuser les traitements de fichiers, en particulier ceux portant sur des données sensibles, afin de protéger les droits des personnes concernées.

La gestion des formalités préalables à la création de traitements de données personnelles sera également placée sous la supervision de l’APD, qui examinera ces demandes et, si nécessaire, les autorisera. En cas de réclamations, l’APD recevra les plaintes et pétitions relatives à la mise en œuvre des traitements de données, s’engageant à informer les plaignants des suites données à leurs préoccupations.

Dans l’exercice de ses fonctions, l’APD peut mener des enquêtes, soit de sa propre initiative, soit en réponse à des plaintes. Elle informera également les personnes concernées des résultats de ces enquêtes dans un délai raisonnable. En cas de violations des dispositions légales, l’APD notifiera immédiatement l’autorité judiciaire à savoir le Procureur de la République, garantissant ainsi une réaction rapide face aux infractions potentielles.

L’APD jouera aussi un rôle de communication en informant l’Assemblée nationale, le Gouvernement, et le public sur les enjeux liés à la protection des données. En outre, elle veillera à établir des consultations régulières avec les parties prenantes pour aborder des questions susceptibles de nuire à la protection des données.

Un autre aspect essentiel de la mission de l’APD consiste à surveiller les nouvelles évolutions technologiques et commerciales qui pourraient affecter la protection des données. Cela inclut la gestion des opérations de monétisation des données, pour garantir une utilisation éthique de celles-ci[25].

Enfin, l’APD aura pour mission de sensibiliser le public aux droits relatifs au traitement des données, en mettant un accent particulier sur les groupes vulnérables, tels que les enfants ou les personnes âgées. Elle proposera également des modifications législatives susceptibles d’améliorer le cadre juridique en matière de protection des données et mettra en place des mécanismes de coopération avec les autorités de protection des données d’autres États pour partager des informations et favoriser l’assistance mutuelle[26].

Pour conclure ce point sur les compétences des trois autorités désignées, il est essentiel de souligner que chacune d’elles joue un rôle complémentaire dans l’encadrement et la régulation du secteur numérique congolais, garantissant ainsi un environnement sûr, équitable et propice au développement des technologies numériques. On se demande à présent comment l’ARPTIC procédera pour assumer toutes ses missions.

B.    Capacité de l’ARPTIC à remplir ses nouvelles missions

L’ARPTIC, historiquement chargée de la régulation des télécommunications[27], a vu son périmètre d’action s’élargir avec la réforme de 2020[28] et le décret de 2023[29], qui lui ont conféré de nouvelles compétences dans le domaine numérique. Cependant, l’arrêté de 2024[30] a encore accentué cette évolution en lui assignant des missions additionnelles. La question centrale est désormais de savoir si l’ARPTIC dispose des ressources adéquates pour répondre à ces nouvelles responsabilités.

Les missions liées à la régulation du numérique, à la certification électronique et à la protection des données personnelles, exigent une expertise pointue en matière de réglementation, d’infrastructure technologique et de protection des droits des utilisateurs. Sur le plan juridique, le principe de légalité[31] impose à l’ARPTIC d’agir dans le cadre défini par la loi et par l’arrêté qui lui confère ses nouvelles responsabilités. Cela implique qu’elle doit être dotée des ressources nécessaires pour respecter les exigences de cette législation.

Cependant, l’arrêté qui lui attribue ces nouvelles prérogatives ne définit pas de moyens pour l’exécution de ses nouvelles missions. Or, l’exécution de ses nouvelles tâches appelle à renforcer ses capacités internes, notamment par le recrutement d’experts dans des domaines tels que la cybersécurité, la cryptographie (pour la certification électronique), et la protection des données personnelles. La diversification de ses compétences techniques est indispensable pour répondre efficacement à ces nouveaux défis. Ainsi, la légitimité des actions de l’ARPTIC doit reposer sur la proportionnalité entre ses missions et les ressources dont elle dispose.

En parallèle, le droit administratif, qui encadre les personnes morales publiques, consacre le principe de spécialité[32]. Celui-ci signifie que toute personne morale voit sa compétence limitée aux missions définies lors de sa création, à moins qu’une modification de ses statuts n’intervienne. Pour l’ARPTIC, cela signifie que malgré l’élargissement de ses responsabilités en matière numérique, elle ne peut aller au-delà de ce cadre sans une adaptation préalable du cadre légal. Faute de quoi, l’extension de ses missions sans une augmentation correspondante des moyens financiers ou humains risquerait de fragiliser ses actions.

L’ARPTIC devra également s’assurer qu’elle dispose d’infrastructures adaptées pour assumer ces missions. Le contrôle des données et la certification électronique nécessitent des infrastructures robustes et sécurisées pour éviter toute vulnérabilité. Le fait que l’ARPTIC soit chargée simultanément de plusieurs missions critiques pourrait diluer son efficacité. La surcharge de responsabilités pourrait en effet limiter sa capacité à se concentrer sur chacune de ces missions de manière optimale, particulièrement si elle ne reçoit pas un soutien institutionnel et financier adéquat.

II.     LES DÉFIS POSÉS PAR L’ÉLARGISSEMENT DES COMPÉTENCES DE L’ARPTIC

Le choix de transférer provisoirement les compétences de trois autorités à l’ARPTIC soulève d’importantes interrogations quant à l’efficacité de cette approche. En effet, l’ARPTIC, initialement conçue pour réguler les télécommunications ainsi que les technologies de l’information et de la communication, se voit désormais confier des missions additionnelles dans des domaines variés, tels que la régulation du numérique, la certification électronique et la protection des données personnelles. Cette expansion des prérogatives pose les difficultés liées à l’élargissement des compétences de l’ARPTIC (A) et la nécessité de continuer la création de trois autorités distinctes (B).

A.    Les difficultés liées à l’élargissement des compétences de l’ARPTIC

Le transfert de compétences à l’ARPTIC entraine une surcharge de responsabilités, compromettant ainsi son aptitude à exercer un contrôle efficace. Cependant, il convient de noter que ses missions initiales sont en adéquation avec celles de l’Autorité de Régulation du Numérique (ARN), notamment en vertu de l’article 13 de la loi sur les télécoms et TIC, cette disposition confère à l’ARPTIC le pouvoir d’assurer la régulation des activités dans le secteur numérique.

En ce qui concerne l’Autorité Nationale de Certification Électronique (ANCE), la principale difficulté réside dans le manque de compétences techniques, un problème qui pourrait être résolu si les pouvoirs publics octroyaient davantage de ressources à l’ARPTIC pour mener à bien cette mission.

Cependant, l’élargissement des compétences de l’ARPTIC soulève des questions juridiques significatives en ce qui concerne l’Autorité de Protection des Données (ADP). En effet, la loi qui fonde l’ARPTIC[33] lui confère déjà le pouvoir de réguler la protection des données, entraînant ainsi un conflit de compétences avec le code du numérique qui a établi l’ADP (1). De plus, l’indépendance, recommandée pour l’ADP afin d’exercer efficacement ses missions, est compromise dans le cas de l’ARPTIC, qui demeure sous la dépendance du ministère des PTN (2).

1)    Dualité de régulation de la protection des données en RDC

L’idée de confier les missions de l’Autorité de protection des données à l’ARPTIC n’est pas nouvelle. Elle avait déjà été envisagée plusieurs années auparavant. Il convient de rappeler que le projet de loi sur les télécommunications et les TIC, alors en cours d’examen à l’Assemblée nationale en avril 2017, prévoyait de « restructurer l’Autorité de régulation des télécommunications (ARPTC) afin de lui conférer les prérogatives d’une agence nationale de promotion des TIC et de protection des données personnelles »[34] . Toutefois, cette disposition n’a pas été intégrée dans la version finale de la loi, entrée en vigueur en 2020.

Néanmoins, la loi de 2020 sur les télécoms et TIC, dans les missions dévolues à l’ARPTIC, précise à l’article 13, point 6, que celle-ci a également pour mission d’assurer « […] la régulation et le contrôle de la protection des données à caractère personnel ». Par ailleurs, l’article 132 indique qu’un arrêté ministériel viendra fixer « […] les conditions et modalités de collecte d’enregistrement, de traitement, de stockage et de transmission des données à caractère personnel ». Ainsi, nous considérons que la loi de 2020 confère déjà les prérogatives nécessaires à l’ARPTIC.

Par conséquent, il n’était pas nécessaire pour le ministre des PTN d’émettre un nouvel arrêté pour accorder à cette autorité des pouvoirs qu’elle détenait déjà. D’autant plus que le décret de 2023[35], qui a établi l’ARPTIC, a été publié seulement dix jours avant l’entrée en vigueur du Code du numérique. Ce décret réaffirme clairement dans ses missions la responsabilité de l’ARPTIC d’assurer la régulation et le contrôle de la protection des données à caractère personnel[36].

Cependant, la situation se complique lorsque le Code du numérique prévoit la création d’une autre autorité pour la protection des données personnelles[37], à savoir l’Autorité de protection des données (APD). Nous nous retrouvons alors face à une dualité, avec deux autorités détenant des prérogatives similaires, ce qui soulève des questions juridiques fondamentales.

Pour résoudre cette problématique sur le plan juridique, il est essentiel de comprendre que les autorités administratives indépendantes, ou régulateurs sectoriels sont généralement créés pour répondre à des missions spécifiques et bien définies[38]. Le principe de spécialité implique que chaque autorité ne peut intervenir que dans les domaines expressément prévus par la loi[39]. Ainsi, si le Code du numérique confère à l’APD un mandat exclusif sur la protection des données personnelles, il aurait été nécessaire de limiter ou de clarifier les compétences de l’ARPTIC à d’autres secteurs, tels que la régulation des télécommunications et des TIC.

La réponse à cette question des conflits entre la loi sur les télécommunications et TIC de 2020 et le Code du numérique pourrait être envisagée à travers le prisme du principe de la hiérarchie des normes de Hans Kelsen[40]. En cas de contradiction ou de chevauchement entre ces textes, le Code du numérique, en tant que législation plus récente et spécialisée, pourrait prévaloir sur les dispositions antérieures. Cependant, cela nécessiterait une réforme législative pour abroger ou modifier les articles de la loi de 2020[41] et du décret de 2023[42]. Bien que le Code du numérique dispose que toutes les dispositions antérieures contraires sont abrogées[43], nous sommes ici confrontés à une question de compétence administrative qui pourrait poser problème.

À cet égard, il est pertinent de se référer aux standards internationaux en matière de protection des données personnelles, notamment en prenant l’exemple européen avec le Règlement Général sur la Protection des Données (RGPD), qui privilégie une autorité de régulation unique et indépendante pour garantir une protection efficace des données. C’est pourquoi il sera très important que la RDC envisage au moment venu une centralisation de la régulation au sein de l’APD pour s’aligner sur les pratiques internationales.

Pour éviter tout conflit de compétences, une clarification législative ou réglementaire s’avère indispensable. Le législateur pourrait, par exemple, envisager de réviser les textes pour attribuer clairement à l’APD toutes les prérogatives relatives à la protection des données, tout en limitant l’ARPTIC à un rôle d’appui technique ou d’interface dans le cadre des TIC. Nous suggérons également que l’arrêté ministériel qui établira l’APD puisse préciser la répartition des compétences entre les deux autorités.

Enfin, il est essentiel de promouvoir une approche coopérative entre l’ARPTIC et l’APD lors de la création de cette dernière. Cela pourrait se traduire par la mise en place d’un protocole d’accord ou de collaboration entre les deux entités, garantissant que leurs compétences respectives soient exercées de manière complémentaire et non contradictoire. Une telle coopération permettrait de mieux gérer les frontières entre la régulation des télécommunications et la protection des données personnelles, tout en renforçant l’efficacité de la régulation.

2)    L’indépendance de l’ARPTIC un enjeu crucial pour la protection des données personnelles

L’indépendance de l’ARPTIC se révèle être un enjeu fondamental dans le contexte de la protection des données personnelles en République Démocratique du Congo. En effet, la question de l’autonomie de cette institution est d’une importance capitale, surtout face à des enjeux aussi sensibles que la gestion et la sécurité des informations personnelles des citoyens.

Selon l’article 262 du Code du numérique, l’APD, dont les missions sont désormais attribuées à l’ARPTIC, est désignée comme une autorité administrative indépendante. Cette formulation s’inspire largement de la législation française, notamment de la loi « Informatique et Libertés »[44], qui a instauré la Commission nationale de l’informatique et des libertés (CNIL) en tant qu’autorité française chargée de la protection des données personnelles. L’intention du législateur français était de créer une autorité autonome, non soumise aux pressions politiques, afin de garantir la protection des citoyens dans un domaine aussi sensible. L’histoire qui a conduit à la création de cette loi, en particulier l’affaire Safari[45], illustre les préoccupations qui ont motivé cette approche organisationnelle. Cet incident a révélé les dangers d’une régulation influencée par des considérations politiques et économiques, mettant ainsi en lumière la nécessité d’une autorité véritablement indépendante pour assurer une régulation efficace et impartiale des données personnelles.

Cependant, la situation en République Démocratique du Congo présente des défis significatifs. En effet, l’ARPTIC est placée sous la tutelle du ministre des PTN[46]. Bien que l’article 8 du décret de 2023 précise que cette tutelle demeure administrative et que l’ARPTIC conserve son indépendance dans l’exécution de ses missions, des problèmes surgissent dans la pratique. La structure hiérarchique qui lie l’ARPTIC au ministère soulève des interrogations quant à sa capacité à agir de manière autonome. En effet, même si le décret limite les pouvoirs du ministère à des considérations d’ordre économique et politique, ceux-ci demeurent soumis à une autorisation[47] ou à une approbation[48]. Dans ce contexte, la dépendance administrative vis-à-vis du ministère peut compromettre l’objectivité de l’ARPTIC et engendrer des conflits d’intérêts dans l’exercice de ses missions, particulièrement lorsque les intérêts politiques sont en jeu.

Une autre problématique liée à l’indépendance de l’ARPTIC en matière de protection des données personnelles réside dans la nomination de ses responsables, notamment au sein du conseil d’administration et de la Direction générale. Les articles 15 et 21 du décret de 2023 disposent que ces responsables sont « nommés, relevés de leurs fonctions et, le cas échéant, révoqués par ordonnance du Président […] ». De plus, les commissaires aux comptes de cette autorité sont également nommés par décret du Premier ministre, selon l’article 24 du même décret. Or, il est évident que celui qui nomme détient un pouvoir sur celui qui est nommé.

Ainsi, l’indépendance de ces responsables sur les questions de protection des données personnelles pourrait être compromise. D’où la nécessité de mettre en place l’APD, car le Code du numérique prévoit que ses animateurs soient issus de différents secteurs de la vie publique, notamment la présidence, l’Assemblée nationale, le Conseil Supérieur de la Magistrature, l’Ordre national des avocats, la Commission nationale des Droits de l’Homme et des organisations patronales issues de l’écosystème numérique[49]. Cette diversité dans la désignation des membres permet de garantir leur indépendance.

En résumé, l’indépendance de l’ARPTIC est essentielle pour garantir une régulation efficace et impartiale des données personnelles en République Démocratique du Congo. Les enjeux de la protection des données sont trop importants pour être laissés à la discrétion du pouvoir politique, et des mesures concrètes doivent être prises pour assurer que l’ARPTIC puisse remplir ses missions sans ingérence extérieure avant la mise en place de l’APD.

B.    Nécessité de poursuivre la création de ces trois autorités

L’extension des prérogatives de l’ARPTIC, en dehors des compétences qui lui ont été initialement confiées, pose plusieurs défis. D’une part, cette situation peut engendrer une confusion des rôles et des responsabilités entre les différentes autorités. En effet, la concentration des compétences au sein d’une seule entité pourrait nuire à la clarté des missions, rendant difficile la mise en œuvre efficace des politiques numériques.

En ce sens, il est impératif de finaliser la création des trois autorités sectorielles, chacune disposant de prérogatives spécifiques et clairement définies. La spécialisation de ces trois autorités assurerait non seulement une meilleure répartition des compétences et des responsabilités, mais aussi une régulation plus efficace, fondée sur l’expertise propre à chaque domaine. Ce modèle permettrait également de renforcer la transparence des processus de régulation, tout en évitant les conflits d’intérêts potentiels pouvant découler de la concentration des pouvoirs au sein d’une seule entité comme l’ARPTIC. De plus, il favoriserait une plus grande réactivité face aux défis spécifiques posés par la transformation numérique, tant au niveau national qu’international, contribuant ainsi à un cadre normatif plus adapté aux réalités contemporaines du numérique.

La répartition des compétences permettrait également de renforcer la collaboration interinstitutionnelle, notamment avec des organismes internationaux et des homologues étrangers, ce qui serait essentiel pour faire face aux enjeux transfrontaliers de la régulation numérique. Ainsi, la création de ces trois autorités distinctes contribuerait à établir un cadre normatif stable, moderne et en adéquation avec les exigences de la transformation numérique.

En somme, la régulation du numérique en République Démocratique du Congo représente un défi majeur dans le contexte actuel de transformation numérique. L’extension des compétences de l’ARPTIC, bien que présentée comme une solution temporaire, pose des questions fondamentales sur l’efficacité et la légitimité de cette approche. Il est essentiel d’adopter une stratégie de régulation adaptée, fondée sur la création d’autorités spécialisées, pour garantir un environnement numérique sécurisé, transparent et propice à l’innovation. La RDC doit ainsi se doter des moyens juridiques et institutionnels nécessaires pour faire face aux enjeux de la numérisation, dans le respect des droits des citoyens et des acteurs économiques.

---

[1] Voir E. Noël, « Les ingérences numériques étrangères : quand l’UE tente de mobiliser le droit international avec résilience », Revue de l’Union européenne, 2024, p. 403.

[2] É. Geffray, « Droits fondamentaux et innovation : quelle régulation à l’ère numérique ? », Nouveaux Cahiers du Conseil constitutionnel, juin 2016, n° 52, p. 7 à 16, disponible sur https://www.conseil-constitutionnel.fr/nouveaux-cahiers-du-conseil-constitutionnel/droits-fondamentaux-et-innovation-quelle-regulation-a-l-ere-numerique (Consulté le 1 octobre 2024).

[3] Lire L. Arcelin et J.-L. Fourgoux, Droit du marché numérique : accès et régulation du marché numérique, concurrence, distribution, consommation, Les intégrales, n° 18, Issy-les-Moulineaux, LGDJ, 2020.

[4] J. Bretécher, « Les enjeux de la donnée numérique au service de l’économie sociale », Juris associations, 2024, n° 700, p. 29.

[5] Y. Laurier Ngombé, Fiches de droit du numérique : rappels de cours et exercices corrigés, Fiches, Paris, Ellipses, 2024.

[6] Ordonnance loi n° 23/010 du 13 mars 2023 portant Code du numérique

[7] Le Code du numérique établit plusieurs autorités pour la régulation et la gestion des enjeux numériques en République Démocratique du Congo, notamment : Conseil National du Numérique, régissant les articles 11 et 12 ; Autorité de Régulation du Numérique, définie aux articles 7 et 8 ; Autorité Nationale de Certification Électronique, mentionnée dans les articles 9 et 10 ; Autorité de Protection des Données, encadrée par les articles 262 à 270 ; Agence Nationale de Cybersécurité, relevant des articles 275 à 280 ; Guichet Numérique de la RDC, instauré par l’article 41.

[8] Arrêté ministériel n°cab/min/pt&n/akim/kl/kbs/051/ 2024 du 17/08/2024, portant harmonisation des modalités de mise en œuvre des régimes de l’ordonnance-loi n° 023/010 du 13 mars 2023 portant code du numérique et de la loi n°20/017 du 25 novembre 2020 relative aux télécommunications et aux technologies de l’information et de la communication en République démocratique du Congo, journal officiel – Numéro spécial – 18 septembre 2024

[9] Voir les articles 7 et 8 du Code du Numérique, qui établissent la création de l’Autorité de Régulation du Numérique ainsi que les missions qui lui sont confiées.

[10] Les articles 9 et 10 du Code du Numérique prévoient la création de l’Autorité Nationale de Certification Électronique (ANCE) ainsi que la définition de ses missions.

[11] Les articles 262 à 270 du Code du Numérique prévoient la création de l’Autorité de Protection des Données (APD) et en définissent les attributions et responsabilités.

[12] Article 1 de l’arrêté du 17 août 2024 portant harmonisation des modalités de mise en œuvre des régimes du code du numérique et de la loi sur les télécoms et TIC.

[13] Décret n° 23/13 du 3 mars 2023 portant création, organisation et fonctionnement de l’Autorité de Régulation des Postes, des Télécommunications et des Technologies de l’Information et de la Communication (ARPTIC), publié dans le Journal officiel le 7 mars 2023.

[14] L’Autorité de Régulation de la Poste et des Télécommunications du Congo (A.R.P.T.C.) avait été établie conformément aux dispositions de la loi n° 014/2002 du 16 octobre 2002, qui portait création de cet organe. Il s’agissait d’une entité indépendante, dotée de la personnalité morale de droit public et de la personnalité civile, jouissant d’une autonomie tant administrative que financière, avant sa dissolution.

[15] J. Panza et B. Kandolo, « L’histoire du numérique et ses défis réglementaires en République démocratique du Congo », Droit-Numérique.cd, 22 juillet 2024, disponible sur https://droitnumerique.cd/lhistoire-du-numerique-et-ses-defis-reglementaires-en-republique-democratique-du-congo/ (Consulté le 1 octobre 2024).

[16] L’article 13 de la loi sur les télécommunications et les technologies de l’information et de la communication (TIC) énonce les missions de l’ARPTIC : « promouvoir la concurrence et la participation du secteur privé dans les télécommunications et des technologies de l’information et de la communication ; veiller sur la qualité des services rendus aux usagers du service public ; veiller à l’équité des prix des services rendus dans le secteur ; gérer les ressources en numérotation et en spectre de fréquences ; homologuer et assurer le contrôle technique des infrastructures et équipements du secteur ; assurer la régulation et le contrôle de la protection des données à caractère personnel ; assurer le suivi permanent et le contrôle du trafic entrant et sortant ; assurer le règlement des différends entre opérateurs en matière de concurrence et d’interconnexion des réseaux et services ; assurer la police des activités du secteur ».

[17] L’article 5 du décret de 2023 portant création, organisation et fonctionnement de l’ARPTIC vient élargir ses missions. Alors que la loi initiale sur les télécoms et les TIC se limitait à 9 missions, le décret porte ce nombre à 29.

[18] H. Kelsen, Théorie pure du droit, La pensée juridique, Paris, LGDJ, 2010.

[19] Arrêté ministériel de 2024, portant harmonisation des modalités de mise en œuvre des régimes du code du numérique et de la loi sur les télécoms et TIC.

[20] Article 68 de la Constitution de la République démocratique du Congo, telle que modifiée par la Loi n° 11/002 du 20 janvier 2011, portant révision de certains articles de la Constitution du 18 février 2006.

[21] Article 7 du Code du numérique

[22] Point IV.3 du compte rendu de la 105e réunion du Conseil des ministres, tenue le vendredi 21 juillet 2023, Ministère de la Communication et des Médias. Disponible en ligne : https://www.primature.gouv.cd/wp-content/uploads/2023/07/COMPTE-RENDU-DE-LA-CENT-CINQUIEME-REUNION-DU-CONSEIL-DES-MINSITRES-DU-21-JUILLET-2023.pdf (Consulté le 8 octobre 2023)

[23] B. Kandolo, « RD-Congo : perspectives de l’autorité de protection des données », Africa Data Protection Report, janvier 2024, p. 18.

[24] Pour une compréhension du fonctionnement d’une autorité de protection des données personnelles et de ses mécanismes de recommandation, voir C. Féral-Schuhl, « CNIL, une autorité de contrôle pour la France », in Cyberdroit, Praxis Dalloz, Paris, Dalloz, s.d., p. 126.

[25] Article 263 du code du numérique

[26] B. Kandolo, « RD-Congo : perspectives de l’autorité de protection des données », op. cit.

[27] Lire J. Panza et B. Kandolo, « L’histoire du numérique et ses défis réglementaires en République démocratique du Congo », op. cit.

[28] La loi sur les télécoms et TIC 2020

[29] Décret portant la création de l’ARPTIC de 2023

[30] Arrêté ministériel de 2024, portant harmonisation des modalités de mise en œuvre des régimes du code du numérique et de la loi sur les télécoms et TIC.

[31] Le principe de légalité impose que toute action ou décision prise par une autorité publique doit être conforme à la loi. Cela signifie que l’ARPTIC ne peut agir que dans le cadre des pouvoirs qui lui sont conférés par la législation et les arrêtés qui définissent ses missions et compétences. Pour en savoir plus sur ce principe juridique lire, J. Gourdou, « Principe de légalité – Fiche LexisNexis 360 », Fiches pratiques [Lexis 360 Intelligence], 2018, disponible sur https://univ-pau.hal.science/hal-02447543 (Consulté le 5 octobre 2024).

[32] Pour en savoir plus sur ce principe, lire J.-P. Colson et P. Idoux, Droit public économique, Manuel, Issy-les-Moulineaux, LGDJ, 2018.

[33] Pour rappel, il s’agit du titre II de la loi n° 20/017 du 25 novembre 2020 relative aux télécommunications et aux technologies de l’information et de la communication en République Démocratique du Congo.

[34] K. Ndukuma Adjayi, Le droit de l’économie numérique en République Démocratique du Congo à la lumière des expériences européennes et Françaises, These de doctorat, Paris 1, 16 novembre 2017, p. 375, disponible sur https://theses.fr/2017PA01D085 (Consulté le 12 juillet 2024).

[35] Décret portant la création de l’ARPTIC du 3 mars 2023

[36] Article 5 point 11 du décret portant la création de l’ARPTIC de 2023

[37] Articles 262 à 270 du code du numérique

[38] J.-P. Colson et P. Idoux, Droit public économique, op. cit.

[39] Ibid.

[40] H. Kelsen, Théorie pure du droit, op. cit.

[41] La loi relative aux télécoms et TIC

[42] Décret portant la création de l’ARPTIC du 3 mars 2023

[43] Article 389 du code du numérique

[44] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

[45] SAFARI est un acronyme de « Système Automatisé pour les Fichiers Administratifs et Répertoires des Invendus », il s’agissait d’un projet de mise en œuvre d’une base de données centralisée de la population, notamment en utilisant le numéro national d’identification. Cette initiative avait été très critiquée pour son potentiel atteint à la vie privée et la liberté individuelle. Le projet avait été révélé dans un article du journal Le Monde. Voir P. BOUCHER, « SAFARI ou la chasse aux Français », Le monde, 21 mars 1974 cité par W. GILLES, « l’administration numérique en France quel modèle juridique ? », in I. BOUHADANA, W. GILLES (dir.), Droit et Gouvernance des administrations publiques à l’ère du numérique, éd. Imodev, 2014, p.17.

[46] La section III du décret portant création de l’ARPTIC en 2023, intitulée « De la tutelle », précise à l’article 7 que l’ARPTIC est placée sous la tutelle du ministre en charge des postes, des télécommunications et des technologies de l’information et de la communication dans l’exercice de ses attributions.

[47] Article 10 du décret mentionné ci-dessus.

[48] Article 11 du même décret

[49] Article 266 du code du numérique