Africa Data Protection Rapport, Dec. 2024

ARPTIC/ARPTC Invertie des missions de l’Autorité de Protection des Données en RD Congo

L’année 2023 marque une étape majeure pour le cadre juridique du numérique en République Démocratique du Congo (ci-après « RD Congo ») avec l’entrée en vigueur de l’ordonnance-loi n° 23/010 du 13 mars 2023 portant Code du numérique. Ce texte ambitieux s’inscrit dans une volonté de modernisation et de régulation accrue des technologies numériques et de leurs usages en RD Congo. Il prévoit notamment la création de plusieurs autorités administratives chargées de superviser les différents segments du secteur numérique, comme disposent les articles 7 à 12, 275 à 280 et 41. Parmi ces autorités, on y trouve également l’Autorité de Protection des Données (ci-après « APD »), dont la création est prévue aux articles 262 à 270 (pour en savoir plus sur le fonctionnement de l’APD, voir Brozeck Kandolo, « RD-Congo : perspectives de l’autorité de protection des données », Rapport Africa Data Protection – Janvier 2024, p.18). Cette autorité indépendante s’inscrit dans la
volonté de réguler les traitements de données personnelles, répondant ainsi aux défis croissants d’un monde de plus en plus digitalisé.

Cependant, malgré ces aspirations prometteuses, une évolution réglementaire inattendue est intervenue le 17 août 2024 avec l’Arrêté ministériel n°cab/min/pt&n/akim/kl/kbs/051/2024. Contrairement aux dispositions prévues par le Code du numérique pour la création de l’APD, cet arrêté a provisoirement transféré les prérogatives de cette dernière à l’Autorité de Régulation des Postes, des Télécommunications et des Technologies de l’Information et de la Communication (ci-après « ARPTIC »).

Cette décision suscite des interrogations majeures, tant sur le plan juridique que stratégique. Sur le plan juridique, on s’interroge sur la conformité de l’arrêté ministériel avec les prescriptions du Code du numérique. D’autre part, l’attribution temporaire des prérogatives de l’APD à l’ARPTIC ne pourrait-elle pas être perçue comme une mesure pragmatique visant à surmonter les contraintes financières, administratives ou politiques entravant la mise en place effective de l’APD ?

I. La légalité de l’arrêté attribuant à l’ARPTIC les missions de l’APD

L’ARPTIC trouve son fondement juridique dans la loi de 2020 sur les télécommunications et les TIC. Cependant, ce n’est qu’en 2023, à la suite d’un décret pris par le Premier ministre, qu’elle a été officiellement créée. Il est important de noter que l’ARPTIC succède à l’ancienne Autorité de Régulation des Postes et Télécommunications du Congo (ARPTC), qui a été remplacée par cette nouvelle entité.

L’attribution des missions de l’APD à l’ARPTIC soulève des interrogations majeures quant à sa légalité. D’une part, elle interroge la conformité de cette extension des compétences avec les principes juridiques fondamentaux, notamment ceux de légalité et de spécialité (A). D’autre part, elle met en lumière des questions liées au transfert de compétences entre entités et au respect du principe de séparation des pouvoirs (B).

A. Extension des compétences de l’ARPTIC : Une entorse au principe de légalité et de spécialité ?

L’attribution des missions de l’APD à l’ARPTIC soulève une question juridique essentielle, celle de savoir si un décret peut légitimement étendre les compétences d’une autorité administrative au-delà des limites définies par la loi qui l’a créée. Cette question interroge directement le respect du principe de légalité et du principe de spécialité, deux principes fondamentaux en droit administratif.

Le principe de hiérarchie des normes selon la théorie de Hans Kelsen, impose que les normes juridiques sont organisées selon un ordre de priorité, où chaque norme doit respecter celles qui lui sont supérieures. En vertu de ce principe, toute norme inférieure, telle qu’un décret ou un règlement, doit être conforme à la loi qui lui sert de fondement. Ainsi, le pouvoir réglementaire, exercé par voie de décret, ne peut ni étendre ni restreindre les compétences d’une autorité créée par une loi, sauf si la loi d’origine prévoit explicitement une telle extension. Or, dans le cas présent, l’arrêté en question, qui vise à étendre les compétences de l’ARPTIC, lui accorde des prérogatives qui ne sont pas prévues par la loi créant cette autorité. En effet, seule une loi peut modifier ou compléter les compétences d’une autorité administrative, conformément au principe de la hiérarchie des normes.

Par ailleurs, le principe de spécialité limite les compétences des personnes morales publiques aux missions explicitement définies lors de leur création. Ce principe impose que toute action entreprise par une autorité publique reste dans le cadre strict des prérogatives qui lui ont été attribuées par la loi. Pour l’ARPTIC, cela signifie que, bien que cette autorité ait vu ses responsabilités élargies au domaine de la protection des données, ces nouvelles prérogatives doivent être accompagnées d’une modification préalable du cadre légal d’origine.

Dans le cas de l’arrêté du 17 août 2024, l’ARPTIC se voit attribuer des missions qui ne figuraient pas dans la loi de 2020 sur les télécommunications et les NTIC. Par conséquent, cette extension de compétences excède les prérogatives fixées par la loi de 2020 et pourrait être juridiquement contestée pour non-conformité au principe de légalité.
Ainsi, la conformité de cette réforme avec les principes de légalité et de spécialité demeure incertaine, et son respect doit être examiné de manière approfondie pour garantir que les missions de l’ARPTIC, notamment en matière de protection des données personnelles, s’inscrivent dans un cadre juridique valide et respectueux de l’État de droit.

B. Transfert de compétences et séparation des pouvoirs

Conformément au Code du numérique, l’établissement de l’APD doit se faire par l’adoption d’un décret pris par le Premier ministre. Contre toute attente, c’est finalement par un arrêté ministériel que les compétences de l’APD ont été transférées à l’ARPTIC.

Il est légitime de s’interroger, sur le plan juridique, pour savoir si une entité qui devrait être créée par un décret du Premier ministre peut voir ses compétences transférées par un arrêté du ministre des Postes, Télécommunications et Numérique (PTN) ? En effet, cette situation soulève une problématique de respect des compétences et de l’autonomie des institutions publiques.

En vertu du principe de la séparation des pouvoirs, inscrit dans la Constitution congolaise (Article 68 de la Constitution de la RD Congo), chaque entité doit agir dans le cadre des compétences qui lui sont définies. Par conséquent, le transfert de compétences d’une entité dont la création est conditionnée par un acte du Premier ministre, si cela est fait par une autre autorité, sans base légale claire, pourrait constituer une violation au principe de séparation des pouvoirs.

II. Les défis posés par l’élargissement des compétences de l’ARPTIC

L’attribution temporaire des missions de l’APD à l’ARPTIC peut être perçue comme une démarche salutaire, témoignant de la volonté de l’État congolais de réguler les enjeux numériques tout en limitant les dépenses considérables qu’implique la création d’une nouvelle autorité. Ce choix semble d’autant plus pertinent dans un contexte où le Congo compte déjà de nombreuses institutions, telles que l’Autorité de Régulation du Numérique et l’Autorité Nationale de Certification Électronique, dont certaines compétences ont également été transférées à l’ARPTIC.

Cependant, la question de la protection des données personnelles revêt une dimension particulière. En touchant aux droits fondamentaux, elle appelle une vigilance accrue. Dès lors, confier les missions de l’APD à l’ARPTIC soulève plusieurs interrogations : l’ARPTIC dispose-t-elle de l’indépendance nécessaire pour exercer ces nouvelles missions en toute impartialité (A) ? Et quelle est la pertinence d’associer les objectifs économiques assignés à l’ARPTIC à une mission aussi sensible que celle de la protection des données personnelles (B) ?

A. L’indépendance de l’ARPTIC

L’ARPTIC est placée sous la tutelle du ministre des PTN, ce qui soulève des interrogations sur sa capacité à agir de manière totalement autonome. La dépendance hiérarchique de l’ARPTIC vis-à-vis du ministère risque de nuire à son impartialité et de générer des conflits d’intérêts, particulièrement en présence d’enjeux politiques. En effet, cette subordination administrative pourrait affecter l’autonomie de ses décisions, au détriment de la transparence et de l’impartialité nécessaire pour assurer une protection efficace des données personnelles.

Une autre problématique majeure réside dans la nomination des responsables de l’ARPTIC, en particulier ceux du conseil d’administration et de la Direction générale. Conformément aux articles 15 et 21 du Décret n° 23/13 du 3 mars 2023, ces responsables sont nommés, relevés de leurs fonctions, et révoqués par ordonnance du Président de la République. De plus, l’article 24 du même décret prévoit que les commissaires aux comptes sont nommés par décret du Premier ministre. Ce rapport de dépendance entre l’autorité de nomination et les personnes nommées soulève une question essentielle : l’indépendance des responsables de l’ARPTIC dans leurs décisions, notamment en matière de protection des données personnelles, peut-elle réellement être assurée dans un tel cadre ?

Ainsi, l’indépendance de l’ARPTIC est cruciale pour assurer une régulation impartiale et efficace de la protection des données personnelles en RD Congo. Les enjeux liés à la protection des données sont trop importants pour être soumis à des pressions politiques. Il est donc impératif de prendre des mesures concrètes afin d’assurer que l’ARPTIC puisse exercer ses missions de manière autonome et sans ingérence extérieure, en attendant la mise en place de l’APD.

B. ARPTIC : entre régulation économique et protection des données

L’ARPTIC, qui a pour principales missions la régulation du marché des télécommunications et des technologies de l’information et de la communication (TIC), se concentre principalement sur des objectifs économiques tels que la promotion de la concurrence, l’optimisation des infrastructures et l’amélioration de la qualité des services dans ces secteurs. Ces missions, bien qu’essentielles pour le développement du secteur numérique, ne s’alignent pas toujours avec les exigences inhérentes à une autorité de contrôle dédiée à la protection des données personnelles.

La régulation économique requiert souvent une approche plus flexible et pragmatique, visant à favoriser l’efficacité du marché et à encourager l’innovation. En revanche, la protection des données personnelles impose des obligations strictesen termes de confidentialité, de sécurité et de transparence. Cela nécessite une vigilance constante, une indépendance dans le contrôle et une capacité à s’opposer aux pratiques abusives, même si cela peut engendrer des répercussions économiques pour les acteurs du secteur.

Enfin, l’ARPTIC est appelée à arbitrer des intérêts parfois contradictoires, notamment en conciliant la promotion de la concurrence avec les besoins de sécurité et de confidentialité des données. Cependant, ces objectifs peuvent entrer en conflit, car les initiatives visant à stimuler la compétitivité sur le marché peuvent parfois nuire à la protection des données personnelles.