Autorité de protection des données

Le Code du numérique congolais prévoit, dans ses articles 262 à 270, la création de l’Autorité de protection des données (APD). Toutefois, à ce jour, cette institution n’a pas encore été mise en place. Un décret du Premier Ministre, sur proposition du ministre ayant le numérique dans ses attributions. fixera l’organisation et le fonctionnement de l’Autorité de protection des données.

L’APD a pour mission de garantir que le traitement des données publiques et personnelles se conforme aux dispositions du Livre III du Code du numérique congolais. Ses responsabilités incluent :

  1. Répondre à toute demande d’avis ou recommandation portant sur un traitement de données publiques et personnelles ;
  2. Émettre de sa propre initiative des avis motivés ou des recommandations sur toute question relative à l’application des principes fondamentaux de la protection de la vie privée dans le cadre du présent Livre, ainsi que des lois contenant des dispositions relatives à la protection de la vie privée à l’égard des traitements de données publiques et personnelles ;
  3. Informer les personnes concernées et les responsables de traitements de leurs droits et obligations ;
  4. Autoriser ou refuser les traitements de fichiers dans un certain nombre de cas, notamment les fichiers sensibles ;
  5. Recevoir les formalités préalables à la création de traitements des données personnelles et le cas échéant autoriser ces traitements ;
  6. Recevoir, par la voie postale ou par voie électronique, les réclamations, les pétitions et les plaintes relatives à la mise en œuvre des traitements des données personnelles et informer leurs auteurs des suites données à celles-ci, notamment si un complément d’enquête ou une coordination avec une autre Autorité de protection nationale est nécessaire ;
  7. Effectuer, sans préjudice de toute action devant les tribunaux, des enquêtes, soit de sa propre initiative, soit à la suite d’une réclamation ou à la demande d’une autre Autorité de protection nationale, et informer la personne concernée, si elle l’a saisie d’une réclamation, du résultat de ses enquêtes dans un délai raisonnable ;
  8. Informer sans délai l’autorité judiciaire pour certains types d’infractions dont elle a connaissance ;
  9. Informer, sans délai, le Procureur de la république, conformément aux dispositions du code pénal, des violations des dispositions du présent Livre, constitutives d’infractions pénales ;
  10. Informer l’Assemblée nationale, le Gouvernement ou d’autres institutions politiques, ainsi que le public, de toute question relative à la protection des données publiques et personnelles ;
  11. Conduire de fréquentes consultations avec des parties prenantes sur des questions que l’Autorité considère comme pouvant nuire à la protection effective des données à caractère personnel pour les services, les installations, les appareils ou les annuaires au titre du présent Livre ;
  12. Requérir des experts ou agents assermentés, en vue de participer à la mise en œuvre des missions de vérification portant sur tout traitement des données à caractère personnel sur le territoire de la République Démocratique du Congo ;
  13. Veiller au respect des autorisations et consultations préalables ;
  14. Prononcer la rectification, l’effacement ou la destruction de toutes les données lorsqu’elles ont été traitées en violation des dispositions du présent Livre et la notification de ces mesures aux tiers auxquels les données ont été divulguées ;
  15. Demander au responsable du traitement ou au sous-traitant de satisfaire aux demandes d’exercice des droits prévus par les dispositions du présent Livre présentées par la personne concernée ;
  16. Prononcer des sanctions administratives et pécuniaires, à l’égard des responsables de traitement ;
  17. Mettre à jour un répertoire des traitements des données à caractère personnel et le mettre à disposition du public ;
  18. Surveiller les faits nouveaux présentant un intérêt, dans la mesure où ils ont une incidence sur la protection des données publiques et personnelles, notamment l’évolution des technologies de l’information et des communications et celle des pratiques commerciales ;
  19. Autoriser et surveiller les opérations de monétisation des données ;
  20. Informer le responsable du traitement ou le sous-traitant d’une violation alléguée des dispositions régissant le traitement des données à caractère personnel et, le cas échéant, d’ordonner au responsable du traitement ou à son sous-traitant de remédier à cette violation par des mesures déterminées, afin d’améliorer la protection de la personne concernée ;
  21. Conseiller les personnes physiques ou morales qui procèdent à des traitements des données à caractère personnel ou à des essais ou expériences de nature à aboutir à de tels traitements ;
  22. Autoriser ou refuser des transferts transfrontaliers de données à caractère personnel vers des États tiers ;
  23. Sensibiliser le public aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel. Les activités destinées spécifiquement aux enfants, personnes âgées ou personnes gravement malades ou à tous ceux qui ne peuvent pas être en mesure de comprendre la portée des activités qui leur sont proposées, font l’objet d’une attention particulière ;
  24. Faire des propositions de modifications législatives ou réglementaires susceptibles de simplifier et d’améliorer le cadre législatif et réglementaire à l’égard du traitement des données ;
  25. Homologuer les codes de conduite et recueillir et autoriser, le cas échéant, les projets, modifications ou prorogations desdits codes ;
  26. Mettre en place des mécanismes de coopération avec les autorités de protection des données publiques et personnelles d’États tiers pour le partage d’informations et l’assistance mutuelle ;
  27. Participer aux négociations internationales en matière de protection des données publiques et personnelles ;
  28. Assurer le renforcement de capacités des responsables de traitement ou leurs délégués, des sous-traitants et leurs préposés.

Pour l’accomplissement de ses missions, l’Autorité de protection des données pourra procéder par voie de recommandations et prendre des décisions individuelles dans les cas prévus par la présente ordonnance-loi.

Organisation

Les organes de l’Autorité de protection des données sont :

  1. L’Assemblée plénière ;
  2. Le Bureau ;
  3. Les Commissions permanentes.

L’Autorité de protection des données disposera d’un Secrétariat technique chargé des questions administratives, juridiques et financières. Elle aura une antenne dans chaque chef-lieu de province, chaque ville et au chef-lieu de territoire.

Les membres de l’Assemblée plénière sont nommés par Ordonnance du Président de la République sur proposition du Ministre ayant le numérique dans ses attributions pour une durée de 5 ans renouvelable une fois et sont soumis au contrôle parlementaire.