Il est créée une autorité de protection des données, dénommée Autorité de protection des données en sigle « APD », ci-après désignée « Autorité de protection des données », chargée de contrôler le respect des dispositions du présent Livre et celles relatives à la protection de la vie privée et toute action étrangère touchant les données ou le traitement de données publiques et à caractère personnel hébergées en République Démocratique du Congo.

L’Autorité de protection des données est une autorité administrative indépendante dotée de la personnalité juridique et jouissant d’une autonomie administrative et financière.

Un décret du Premier Ministre délibéré en Conseil des Ministres, sur proposition du Ministre ayant le numérique dans ses attributions, fixe l’organisation et le fonctionnement de l’Autorité de protection des données.

L’Autorité de protection des données a pour mission de veiller à ce que le traitement des données publiques et à caractère personnel soit mis en œuvre conformément aux dispositions du Livre III de la présente ordonnance-loi.

À ce titre, l’Autorité de protection des données est chargée de :

  1. Répondre à toute demande d’avis ou recommandation portant sur un traitement de données publiques et personnelles ;
  2. Émettre de sa propre initiative des avis motivés ou des recommandations sur toute question relative à l’application des principes fondamentaux de la protection de la vie privée dans le cadre du présent Livre, ainsi que des lois contenant des dispositions relatives à la protection de la vie privée à l’égard des traitements de données publiques et personnelles ;
  3. Informer les personnes concernées et les responsables de traitements de leurs droits et obligations ;
  4. Autoriser ou refuser les traitements de fichiers dans un certain nombre de cas, notamment les fichiers sensibles ;
  5. Recevoir les formalités préalables à la création de traitements des données personnelles et le cas échéant autoriser ces traitements ;
  6. Recevoir, par la voie postale ou par voie électronique, les réclamations, les pétitions et les plaintes relatives à la mise en œuvre des traitements des données personnelles et informer leurs auteurs des suites données à celles-ci, notamment si un complément d’enquête ou une coordination avec une autre Autorité de protection nationale est nécessaire ;
  7. Effectuer, sans préjudice de toute action devant les tribunaux, des enquêtes, soit de sa propre initiative, soit à la suite d’une réclamation ou à la demande d’une autre Autorité de protection nationale, et informer la personne concernée, si elle l’a saisie d’une réclamation, du résultat de ses enquêtes dans un délai raisonnable ;
  8. Informer sans délai l’autorité judiciaire pour certains types d’infractions dont elle a connaissance ;
  9. Informer, sans délai, le Procureur de la république, conformément aux dispositions du code pénal, des violations des dispositions du présent Livre, constitutives d’infractions pénales ;
  10. Informer l’Assemblée nationale, le Gouvernement ou d’autres institutions politiques, ainsi que le public, de toute question relative à la protection des données publiques et personnelles ;
  11. Conduire de fréquentes consultations avec des parties prenantes sur des questions que l’Autorité considère comme pouvant nuire à la protection effective des données à caractère personnel pour les services, les installations, les appareils ou les annuaires au titre du présent Livre ;
  12. Requérir des experts ou agents assermentés, en vue de participer à la mise en œuvre des missions de vérification portant sur tout traitement des données à caractère personnel sur le territoire de la République Démocratique du Congo ;
  13. Veiller au respect des autorisations et consultations préalables ;
  14. Prononcer la rectification, l’effacement ou la destruction de toutes les données lorsqu’elles ont été traitées en violation des dispositions du présent Livre et la notification de ces mesures aux tiers auxquels les données ont été divulguées ;
  15. Demander au responsable du traitement ou au sous-traitant de satisfaire aux demandes d’exercice des droits prévus par les dispositions du présent Livre présentées par la personne concernée ;
  16. Prononcer des sanctions administratives et pécuniaires, à l’égard des responsables de traitement ;
  17. Mettre à jour un répertoire des traitements des données à caractère personnel et le mettre à disposition du public ;
  18. Surveiller les faits nouveaux présentant un intérêt, dans la mesure où ils ont une incidence sur la protection des données publiques et personnelles, notamment l’évolution des technologies de l’information et des communications et celle des pratiques commerciales ;
  19. Autoriser et surveiller les opérations de monétisation des données ;
  20. Informer le responsable du traitement ou le sous-traitant d’une violation alléguée des dispositions régissant le traitement des données à caractère personnel et, le cas échéant, d’ordonner au responsable du traitement ou à son sous-traitant de remédier à cette violation par des mesures déterminées, afin d’améliorer la protection de la personne concernée ;
  21. Conseiller les personnes physiques ou morales qui procèdent à des traitements des données à caractère personnel ou à des essais ou expériences de nature à aboutir à de tels traitements ;
  22. Autoriser ou refuser des transferts transfrontaliers de données à caractère personnel vers des États tiers ;
  23. Sensibiliser le public aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel. Les activités destinées spécifiquement aux enfants, personnes âgées ou personnes gravement malades ou à tous ceux qui ne peuvent pas être en mesure de comprendre la portée des activités qui leur sont proposées, font l’objet d’une attention particulière ;
  24. Faire des propositions de modifications législatives ou réglementaires susceptibles de simplifier et d’améliorer le cadre législatif et réglementaire à l’égard du traitement des données ;
  25. Homologuer les codes de conduite et recueillir et autoriser, le cas échéant, les projets, modifications ou prorogations desdits codes ;
  26. Mettre en place des mécanismes de coopération avec les autorités de protection des données publiques et personnelles d’États tiers pour le partage d’informations et l’assistance mutuelle ;
  27. Participer aux négociations internationales en matière de protection des données publiques et personnelles ;
  28. Assurer le renforcement de capacités des responsables de traitement ou leurs délégués, des sous-traitants et leurs préposés.

Pour l’accomplissement de ses missions, l’Autorité de protection des données peut procéder par voie de recommandations et prendre des décisions individuelles dans les cas prévus par la présente ordonnance-loi.

Les organes de l’Autorité de protection des données sont :

  1. L’Assemblée plénière ;
  2. Le Bureau ;
  3. Les Commissions permanentes.

L’Autorité de protection des données dispose d’un Secrétariat technique chargé des questions administratives, juridiques et financières. Elle a une antenne dans chaque chef-lieu de province, chaque ville et au chef-lieu de territoire.

L’Assemblée plénière comprend l’ensemble des membres de l’Autorité de protection des données. Elle est l’organe de conception, d’orientation, de décision et de contrôle de l’Autorité. Ses décisions sont prises par consensus ou à défaut par vote majoritaire.

L’Assemblée plénière est composée de neuf (9) membres choisis en raison de leurs compétences et/ou techniques ainsi qu’il suit :

  1. Une personnalité désignée par le Président de la République ;
  2. Trois personnalités désignées par l’Assemblée nationale ;
  3. Deux magistrats de carrière désignés par le Conseil Supérieur de la Magistrature ;
  4. Un avocat désigné par l’Ordre national des avocats ;
  5. Un délégué désigné par la Commission nationale des Droits de l’homme, CNDH en sigle ;
  6. Un représentant des organisations patronales issu de l’écosystème numérique, sous réserve des dispositions de l’article 268 de la présente ordonnance-loi.

La désignation des membres tient compte de leur expertise dans le secteur du numérique et de la représentation nationale, ainsi que celle de la femme.

Nul ne peut être désigné membre de l’Assemblée plénière de l’Autorité de protection des données s’il ne remplit pas les conditions ci-après :

  1. Être de nationalité congolaise ;
  2. Jouir de ses droits civils et politiques ;
  3. Être titulaire d’un diplôme de licence au moins ou d’un titre équivalent et justifier d’une expérience professionnelle de 5 ans ou plus dans un domaine pouvant présenter un intérêt pour l’Autorité de protection des données ;
  4. Ne pas se trouver dans un des cas d’incompatibilité visés à l’article 268 de la présente ordonnance-loi.

Les membres de l’Assemblée plénière sont nommés par Ordonnance du Président de la République sur proposition du Ministre ayant le numérique dans ses attributions pour une durée de 5 ans renouvelable une fois et sont soumis au contrôle parlementaire.

Les membres de l’Assemblée plénière jouissent d’une immunité totale pour les opinions émises dans l’exercice de leurs fonctions. Ils sont justiciables devant la Cour de Cassation.

La qualité des membres de l’Assemblée plénière est incompatible avec la qualité des membres du Gouvernement, des Députés et Sénateurs, de l’exercice des fonctions de dirigeant d’entreprises, de la détention de participation dans les entreprises du secteur du numérique, bancaire ou des télécommunications.

Le Bureau est l’organe de gestion et de coordination de l’Autorité de protection des données. Il est composé de quatre membres : un Président, un Vice-Président, un Rapporteur et un Rapporteur-Adjoint. Les membres du Bureau de l’Assemblée plénière sont élus par leurs pairs à la majorité simple des voix.

Les Commissions sont des organes techniques chargés de traiter des questions relatives à la mission de l’Autorité de protection des données.

Chaque Commission est dirigée par un membre de la plénière autre que les membres du Bureau de la plénière.

Le nombre des commissions, leur composition, organisation et fonctionnement sont déterminés par décret du Premier Ministre visé à l’article 262 de la présente ordonnance-loi.