Le transfert des données personnelles hors de la RD Congo

Journal CODES Africa – Numéro 2 – Vol 1

Le transfert des données personnelles hors de la RD Congo

Dans le contexte numérique mondial actuel, la question des données personnelles constitue un enjeu majeur de souveraineté étatique[1] et d’intérêts économiques[2]. La maîtrise des données confère en effet un pouvoir stratégique considérable, influençant aussi bien les politiques publiques que les dynamiques économiques et sécuritaires.[3] À cet égard, le contrôle des flux de données est devenu un impératif pour les États, en particulier pour les grandes puissances, qui veillent à la collecte, à l’analyse et à l’exploitation de ces ressources numériques.[4] Toutefois, cette problématique ne se limite pas aux pays technologiquement avancés ou aux grandes puissances, elle concerne également des États en développement, tels que la République Démocratique du Congo (ci-après RDC)[5].

En RDC, le transfert des données personnelles vers l’étranger s’opère sous différentes formes tout au long du cycle de vie de la donnée. Une part importante de la population congolaise dispose aujourd’hui d’un téléphone mobile connecté à Internet[6], facilitant ainsi l’accès à divers services numériques, notamment les réseaux sociaux et les plateformes en ligne dont les infrastructures ne sont pas nécessairement situées sur le territoire national. Cette réalité entraîne une circulation constante des données personnelles au-delà des frontières du pays. Par ailleurs, bien que des centres de données aient été implantés en RDC[7] ces dernières années, leur présence ne suffit pas à limiter les transferts transnationaux, dans la mesure où ces infrastructures restent souvent intégrées à des réseaux d’entreprises étrangères dont les serveurs sont localisés dans d’autres juridictions.

Les multinationales opérant en RDC participent également à ces transferts en rapatriant les données personnelles collectées localement vers leurs sièges sociaux situés à l’étranger[8]. Or, cette pratique soulève des interrogations quant à la protection des données des citoyens congolais, notamment lorsque celles-ci sont envoyées vers des États dont la législation en matière de protection des données personnelles est moins rigoureuse.

Dans ce contexte, les États cherchent à encadrer et à sécuriser les transferts de données personnelles hors de leurs territoires, compte tenu des risques juridiques, économiques et sécuritaires qu’ils impliquent. La RDC ne fait pas exception à cette tendance. Il convient ainsi d’examiner, d’une part, les risques inhérents au transfert international des données personnelles (A) et, d’autre part, le cadre réglementaire établi en RDC pour encadrer ces transferts, assurer la protection des données et préserver la vie privée de la population (B).

A. Les risques liés au transfert des données hors de la RDC

Le transfert de données personnelles hors de la RDC, bien que facilitant la circulation de l’information et l’accès aux services numériques mondiaux, comporte des risques pour la confidentialité, la sécurité et la souveraineté des données. Ces données, une fois transférées, peuvent être soumises à des régimes juridiques étrangers, parfois moins protecteurs des droits des individus. La question de la transparence dans la gestion de ces transferts devient ainsi cruciale, notamment en ce qui concerne le consentement des personnes concernées, la traçabilité des flux de données et les garanties offertes par les pays de destination.

Parmi les principaux risques liés au transfert des données hors du territoire national, on peut identifier :

L’absence de contrôle juridictionnel et réglementaire, une fois les données transférées vers un pays tiers, la RDC perd en grande partie son contrôle sur leur gestion et leur utilisation. Les autorités nationales ne disposent généralement d’aucun pouvoir de surveillance ou de sanction à l’égard des entités étrangères qui traitent ces données. Cela peut poser un problème en cas d’atteinte aux droits des citoyens congolais, notamment lorsque les mécanismes de recours sont limités ou inexistants.

Le risque d’accès non autorisé et d’exploitation abusive des données, dans certains pays, les pouvoirs publics et les entreprises étrangères peuvent bénéficier d’un accès facilité aux données personnelles pour diverses raisons, notamment à des fins de surveillance ou d’exploitation commerciale. À titre d’exemple, aux États-Unis (ci-après USA), la surveillance gouvernementale repose sur des programmes tels que PRISM[9] et XKeyscore[10] , autorisés par des textes comme le Patriot Act[11] et le Cloud Act[12], ces législations permettent aux agences de renseignement d’accéder à des données personnelles stockées par des entreprises américaines, y compris lorsque ces données appartiennent à des ressortissants étrangers. Ce type de réglementation favorise ainsi la collecte massive d’informations par les autorités publiques, sans obligation de transparence ni garanties suffisantes pour la protection des droits des personnes concernées.

L’absence de garanties de protection équivalentes, tous les pays ne disposent pas de législations offrant un niveau de protection des données personnelles similaire à celui de la RDC. Le transfert vers des États où les règles en matière de vie privée sont peu contraignantes expose les données congolaises à des pratiques telles que la revente à des tiers, l’utilisation à des fins publicitaires agressives ou encore l’absence d’exigences strictes en matière de sécurisation des informations.

Le risque de cyberattaques et de fuite de données, le transfert transfrontalier des données accroît la surface d’exposition aux cyberattaques. Des acteurs malveillants peuvent exploiter les failles de sécurité des infrastructures étrangères pour intercepter, manipuler ou voler des informations sensibles. En l’absence de mesures de chiffrement robustes et de protocoles sécurisés, les données personnelles des citoyens congolais risquent d’être compromises.

L’exploitation économique des données congolaises par des entités étrangères, les données personnelles constituent une ressource stratégique dans l’économie numérique. Lorsqu’elles sont transférées à l’étranger, elles peuvent être utilisées pour alimenter des modèles d’intelligence artificielle, développer des services commerciaux ou orienter des stratégies marketing sans que la RDC en tire directement profit. Cette situation peut entraîner un déséquilibre économique, où les bénéfices de l’exploitation des données congolaises profitent davantage aux entreprises étrangères qu’à l’économie nationale.

Ainsi, face à ces risques, il est essentiel de mettre en place des mécanismes juridiques et techniques visant à encadrer les transferts de données personnelles. La RDC a ainsi adopté un cadre réglementaire visant à assurer la protection des données et à préserver la souveraineté numérique du pays, comme nous l’examinerons dans le point suivant.

B. La réponse législative au transfert des données en dehors de la RDC

Les États précurseurs en matière de protection des données personnelles, notamment les pays européens, ont d’abord adopté le principe de la libre circulation des données à caractère personnel au sein de l’Union européenne, tout en encadrant strictement les flux transfrontaliers de données vers des pays tiers ou des organisations internationales[13].

Conscient de ces enjeux, le législateur congolais a instauré un cadre juridique visant à réguler l’écosystème numérique. Adopté en 2023, le Code du numérique de la RDC[14] encadre et sécurise les transferts transfrontaliers de données personnelles en imposant des règles strictes afin de garantir la protection des droits des citoyens et la souveraineté numérique du pays.

En RDC, aucun transfert de données personnelles vers un pays étranger ne peut être effectué sans l’autorisation de l’Autorité de Protection des Données (ci-après APD)[15]. Toutefois, dans l’attente de la mise en place effective de cette autorité, ses missions sont temporairement dévolues à l’Autorité de Régulation de la Poste et des Télécommunications du Congo (ci-après ARPTC)[16]. Ainsi, toute entreprise ou entité opérant sur le territoire congolais et souhaitant transférer des données personnelles à l’étranger doit soumettre une demande d’autorisation à l’ARPTC.

Le Code du numérique confère à l’APD le pouvoir de fixer les conditions et la procédure applicable aux demandes de transfert. Toutefois, en l’état actuel, l’ARPTC, qui assure provisoirement cette mission, n’a pas encore défini ces modalités, ce qui crée une incertitude juridique et pratique pour les acteurs économiques.

Le cadre législatif congolais autorise les transferts de données vers un pays tiers uniquement après constat, par l’APD, que ce pays garantit un niveau de protection des données équivalent à celui exigé par la législation congolaise[17]. En d’autres termes, la RDC cherche à s’assurer que les données personnelles de ses citoyens bénéficient d’une protection adéquate, même lorsqu’elles quittent le pays.

Toutefois, une ambiguïté subsiste quant à l’interprétation du second alinéa de l’article 201. Celui-ci prévoit que le transfert de données personnelles en dehors de la RDC ne peut avoir lieu que pour des impératifs de souveraineté numérique et de sécurité. Il introduit également la notion d’« ambassade digitale », désignant un hébergeur situé dans un État tiers ou une organisation internationale, sous réserve de l’accord préalable de l’APD. Cette rédaction pourrait laisser entendre que le transfert de données à l’étranger serait exclusivement limité à ces situations.

Or, une lecture combinée des articles 188, point 10, et 189, point 4, du Code du numérique congolais semble indiquer une approche plus large. Ces dispositions permettent le transfert dès lors que l’APD constate l’existence de garanties de protection suffisantes. Cette contradiction apparente entre les articles 188, 189 et 201 mérite une analyse approfondie afin de clarifier les conditions effectives dans lesquelles un transfert de données peut être réalisé en conformité avec la législation congolaise.

Il est donc essentiel que l’APD, dont la mission est actuellement assumée par l’ARPTC, adopte des directives et des recommandations permettant d’expliciter ces dispositions et de lever les ambiguïtés qui subsistent. Dans l’attente de cette clarification réglementaire, l’interprétation du juge pourrait également jouer un rôle déterminant dans l’application de ces règles et leur articulation au sein du cadre juridique congolais.

Ainsi, en dehors de cette autorisation de transfert des données dont l’interprétation demeure à notre sens ambiguë, le Code du numérique prévoit certaines exceptions permettant un transfert de données vers un pays ne garantissant pas un niveau de protection suffisant. Conformément à l’article 202, ces exceptions incluent notamment le consentement explicite de la personne concernée, après avoir été informée des risques que comporte ce transfert, la nécessité du transfert pour l’exécution ou la conclusion d’un contrat impliquant la personne concernée, une obligation légale ou réglementaire en vue de la sauvegarde d’un intérêt public ou vital, et, pour finir, le transfert de données à partir d’un registre public conformément aux lois en vigueur.

Un problème majeur réside dans le fait que certaines entreprises, bien qu’elles ne soient pas implantées en RDC, accèdent néanmoins aux données des utilisateurs situés sur le territoire congolais. L’exemple le plus frappant concerne les sites internet et plateformes numériques accessibles en RDC, où le transfert des données s’effectue quasi automatiquement vers des serveurs situés à l’étranger.

Le Code du numérique tente de répondre à cette problématique en imposant aux sites accessibles depuis la RDC l’obligation de se conformer à ses dispositions[18]. Toutefois, en pratique, cette exigence demeure largement théorique. En effet, les grandes plateformes du web, notamment les réseaux sociaux tels que Facebook ou X (ex-Twitter), ne semblent pas se conformer aux prescriptions du droit congolais. Une simple analyse de leurs politiques de confidentialité révèle l’absence de toute référence au Code du numérique congolais, contrairement à ce qui est observé pour les utilisateurs européens avec leRèglement général sur la protection des données (RGPD).

Cette situation soulève la question de l’effectivité du cadre législatif congolais face aux acteurs internationaux du numérique et met en lumière les défis liés à l’extraterritorialité du droit. En somme, bien que la RDC cherche à encadrer les transferts de données personnelles vers l’étranger, la mise en place effective de cette réglementation nécessitera un effort continu pour garantir que la souveraineté numérique du pays soit respectée, tout en favorisant l’accès à l’innovation et aux services numériques mondiaux.

---

[1] Pour en savoir plus, lire BELLANGER Pierre, La souveraineté numérique, Stock, 2014. GUEHAM Farid, Vers la souveraineté numérique : Pour une nouvelle gouvernance de l’internet, Fondation pour l’innovation politique, 2017.

[2] V. TOLEDANO Joëlle, GAFA : Reprenons le pouvoir, Odile Jacob, 2020.

[3] On dit même que la donnée est le pétrole – « l’or noir » – de demain, une expression souvent attribuée au mathématicien et entrepreneur britannique Clive Humby. Voir ARTHUR Charles, « Tech giants may be huge, but nothing matches big data », The Guardian, 23 août 2013, [en ligne] https://www.theguardian.com/technology/2013/aug/23/tech-giants-data [consulté le 20 mars 2025].

[4] LEBLANC Claude, « Etats-Unis-Chine : la guerre des data est déclarée », l’Opinion, 16 juillet 2021, [en ligne] https://www.lopinion.fr/international/etats-unis-chine-la-guerre-des-data-est-declaree [consulté le 20 mars 2025].

[5] Lire KAYUDI MISAMU Coco et HENROTTE Jean-François, La protection des données à caractère personnel en République démocratique du Congo, Bruylant, 2023.

[6] Le dernier rapport de l’Observatoire du marché de la fourniture des services Internet, publié par l’ARPTC (Autorité de Régulation de la Poste et des Télécommunications du Congo) pour le deuxième semestre 2023, indique que le nombre d’abonnements à l’Internet mobile s’élève à 29,9 millions. Bien que ce chiffre puisse paraître relativement faible pour un pays dont la population est estimée à 109 millions d’habitants, il représente néanmoins une hausse significative de plus de 15 % par rapport à l’année précédente (25,9 millions en 2022). Ce rapport est disponible en ligne : [https://arptc.gouv.cd/app/uploads/2024/10/Rapport-observatoire-du-marche%CC%81-de-lInternet-mobile-et-fixe-au-2e%CC%80me-Semestre-2023.pdf]

[7] Un exemple récent illustrant cette dynamique est l’ouverture du data center de Raxio Group à Kinshasa. Cette firme américaine, spécialisée dans les infrastructures de données, a choisi la RDC pour implanter son installation. Deux sources documentent cet événement : POIREAULT Kévin, « Datacenters : pourquoi l’américain Raxio Group a choisi la RDC – Jeune Afrique.com », Jeune Afrique, 25 mars 2021, [en ligne] https://www.jeuneafrique.com/1141348/economie-entreprises/datacenters-pourquoi-lamericain-raxio-group-a-choisi-la-rdc/ [consulté le 24 mars 2025]. « Kinshasa : inauguration d’un nouveau Centre des données numériques », Radio Okapi, 23 août 2024, [en ligne] https://www.radiookapi.net/2024/08/23/actualite/societe/kinshasa-inauguration-dun-nouveau-centre-des-donnees-numeriques#:~:text=Kinshasa%20%3A%20inauguration%20d’un%20nouveau%20Centre%20des%20donn%C3%A9es%20num%C3%A9riques,-Publi%C3%A9%20le%20ven&text=L’entr%C3%A9e%20principale%20du%20Centre,donn%C3%A9es%20num%C3%A9riques%20de%20standard%20international. [consulté le 24 mars 2025].

[8] Dernier rapport disponible de l’Agence Nationale pour la Promotion des Investissements (ANAPI) sur le volume des Investissements Directs Étrangers (IDE), classant parmi les trois principaux investisseurs étrangers la Chine, le Royaume-Uni et les Pays-Bas. Pour consulter le rapport, voir : [https://www.investindrc.cd/fr/spip.php?article14]

[9] Le programme « Prism » est un projet secret du gouvernement américain qui autorise l’Agence nationale de sécurité (NSA) à accéder aux données personnelles des utilisateurs étrangers des principales plateformes numériques américaines telles que Google, Facebook, Microsoft, entre autres. En utilisant ce programme, la NSA est en mesure de collecter des informations sur les communications en ligne, les courriels, les fichiers, et les activités sur les réseaux sociaux des utilisateurs étrangers. Lire POIDEVIN Blandine et GELLES Viviane, « La protection des données personnelles sous le Prism français », l’OBS, juin 2013.

[https://www.nouvelobs.com/rue89/rue89-policejustice/20130613.RUE6936/la-protection-des-donnees-personnelles-sous-le-prism-francais.html]

[Consulté le 22/03/2025].

[10] Le programme « XKeyscore », est un programme de surveillance électronique de l’Agence nationale de sécurité américaine (NSA) qui permet d’analyser et de stocker une grande quantité de données de communication en ligne, notamment des courriels, des conversations de chat, des historiques de navigation, des données de localisation et des appels téléphoniques. Il permet à la NSA de rechercher et d’analyser des informations sur les personnes en utilisant des filtres et des mots clés, et de suivre leur activité en ligne dans le cadre de la collecte de renseignements étrangers. XKeyscore a été dévoilé au public en 2013 par l’ancien contractuel de la NSA Edward Snowden. Lire MANENTI Boris, « XKeyscore, le programme de la NSA qui espionne les internautes », L’OBS, août 2013.

https://www.nouvelobs.com/monde/20130801.OBS1908/xkeyscore-le-programme-de-la-nsa-qui-espionne-lesinternautes.html

[Consulté le 22/03/2025].

[11] Le USA Patriot Act, promulgué en 2001, est une loi antiterroriste américaine qui confère aux différents services de renseignement du gouvernement des pouvoirs étendus pour accéder aux données informatiques détenues par les particuliers et les entreprises, sans autorisation préalable et sans en informer les utilisateurs. Cette loi a été créée pour renforcer la sécurité intérieure des États-Unis après les attentats du 11 septembre 2001. Cependant, certains critiques estiment que cette loi porte atteinte aux droits à la vie privée des citoyens. V. « uniting and strengthening america by providing appropriate tools required. To intercept and obstruct terrorism (usa patriot act) act of 200 », Public law 107-56-Oct. 20, 2021. [https://www.congress.gov/107/plaws/publ56/PLAW-107publ56.pdf] [Consulté le 22/03/2025].

[12] Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) est une loi américaine entrée en vigueur en 2018, qui permet aux autorités judiciaires des États-Unis d’accéder aux données numériques stockées par des entreprises américaines, même si ces données se trouvent sur des serveurs à l’étranger.

[13] Lire BENSOUSSAN Alain, Règlement européen sur la protection des données, Bruylant, 2017 ; PRÉVOST Stéphane et ROYER Erwan, Le RGPD, Dalloz, 2018.

[14] Ordonnance loi n° 23/010 du 13 mars 2023 portant Code du numérique.

[15] Article 187, point 6 du Code du numérique

[16] Pour approfondir la question des missions de l’Autorité de Protection des Données (APD) – désormais dévolues à l’ARPTIC/ARPTC en République démocratique du Congo, consultez les travaux suivants: KANDOLO Brozeck, « RD-Congo : perspectives de l’autorité de protection des données », Africa Data Protection Report, 2024; KANDOLO Brozeck, « ARPTIC/ARPTC Inverstie des missions de l’Autorité de Protection des Données en RD-Congo », sur Africa Data Protection Rapport, publié le décembre 2024 ; KANDOLO Brozeck, « Régulation du numérique en RDC : l’ARPTIC investie autorité unique pour la régulation du numérique, la certification électronique et la protection des données », Droit-Numérique.cd, Dossier N° 4 – Août 2024.

[17] L’article 201 du Code du numérique établit une liste de conditions que doit remplir un pays tiers pour être considéré comme offrant un niveau de protection adéquat.

[18] L’application spatiale du Code du numérique en matière de protection des données repose sur deux critères géographiques, définis par rapport au territoire de la RDC, à savoir le lieu d’établissement du responsable de traitement ou du sous-traitant, ainsi que La localisation des personnes concernées par le traitement. Pour plus de précisions, voir l’article 184, point 3, du Code du numérique.