Quelles sont les perspectives d’avenir pour l’ARPTIC en 2024 ?

Les perspectives futures de l’ARPTIC révèlent un défi crucial : dispose-t-elle des ressources nécessaires pour assumer ses nouvelles missions dans le domaine numérique ? Cette analyse met en lumière les enjeux de la régulation télécom et les implications pour l’évolution du paysage numérique congolais.

Capacité de l’ARPTIC à remplir ses nouvelles missions

L’ARPTIC, historiquement chargée de la régulation des télécommunications217, a vu son périmètre d’action s’élargir avec la réforme de 2020218 et le décret de 2023219, qui lui ont conféré de nouvelles compétences dans le domaine numérique. Cependant, l’arrêté de 2024220 a encore accentué cette évolution en lui assignant des missions additionnelles. La question centrale est désormais de savoir si l’ARPTIC dispose des ressources adéquates pour répondre à ces nouvelles

responsabilités.

216 B. KANDOLO, « RD-Congo : perspectives de l’autorité de protection des données », op. cit.

217 Lire J. PANZA et B. KANDOLO, « L’histoire du numérique et ses défis réglementaires en République Démocratique du Congo », op. cit.

218 La loi sur les télécoms et TIC 2020 ;

219 Décret portant la création de l’ARPTIC de 2023 ;

220 Arrêté ministériel de 2024, portant harmonisation des modalités de mise en œuvre des régimes du code du numérique et de la loi sur les télécoms et TIC.

Les missions liées à la régulation du numérique, à la certification électronique et à la protection des données personnelles, exigent une expertise pointue en matière de réglementation, d’infrastructure technologique et de protection des droits des utilisateurs. Sur le plan juridique, le principe de légalité221 impose à l’ARPTIC d’agir dans le cadre défini par la loi et par l’arrêté qui lui confère ses nouvelles responsabilités. Cela implique qu’elle doit être dotée des ressources nécessaires pour respecter les exigences de cette législation.

Cependant, l’arrêté qui lui attribue ces nouvelles prérogatives ne définit pas de moyens pour l’exécution de ses nouvelles missions. Or, l’exécution de ses nouvelles tâches appelle à renforcer ses capacités internes, notamment par le recrutement d’experts dans des domaines tels que la cybersécurité, la cryptographie (pour la certification électronique), et la protection des données personnelles. La diversification de ses compétences techniques est indispensable pour répondre efficacement à ces nouveaux défis. Ainsi, la légitimité des actions de l’ARPTIC doit reposer sur la proportionnalité entre ses missions et les ressources dont elle dispose.

En parallèle, le droit administratif, qui encadre les personnes morales publiques, consacre le principe de spécialité222. Celui-ci signifie que toute personne morale voit sa compétence limitée aux missions définies lors de sa création, à moins qu’une modification de ses statuts n’intervienne. Pour l’ARPTIC, cela signifie que malgré l’élargissement de ses responsabilités en matière numérique, elle ne peut aller au-delà de ce cadre sans une adaptation préalable du cadre légal. Faute de quoi,

221 Le principe de légalité impose que toute action ou décision prise par une autorité publique doit être conforme à la loi. Cela signifie que l’ARPTIC ne peut agir que dans le cadre des pouvoirs qui lui sont conférés par la législation et les arrêtés qui définissent ses missions et compétences. Pour en savoir plus sur ce principe juridique lire, J. GOURDOU, « Principe de légalité – Fiche LexisNexis 360 », Fiches pratiques [Lexis 360 Intelligence], 2018, disponible sur https://univ-pau.hal.science/hal-02447543 , Consulté le 5 Octobre 2024 ;

222 Pour en savoir plus sur ce principe, lire Jean Pierre COLSON et Paul IDOUX, Droit public économique, Manuel, Issy-Les-Moulineaux, LGDJ, 2018.

l’extension de ses missions sans une augmentation correspondante des moyens financiers ou humains risquerait de fragiliser ses actions.

L’ARPTIC devra également s’assurer qu’elle dispose d’infrastructures adaptées pour assumer ces missions. Le contrôle des données et la certification électronique nécessitent des infrastructures robustes et sécurisées pour éviter toute vulnérabilité. Le fait que l’ARPTIC soit chargée simultanément de plusieurs missions critiques pourrait diluer son efficacité. La surcharge de responsabilités pourrait en effet limiter sa capacité à se concentrer sur chacune de ses missions de manière optimale, particulièrement si elle ne reçoit pas un soutien institutionnel t financier adéquat.

Les défis posés par l’élargissement des compétences de l’ARPTIC

Le choix de transférer provisoirement les compétences de trois autorités à l’ARPTIC soulève d’importantes interrogations quant à l’efficacité de cette approche. En effet, l’ARPTIC, initialement conçue pour réguler les télécommunications ainsi que les technologies de l’information et de la communication, se voit désormais confier des missions additionnelles dans des domaines variés, tels que la régulation du numérique, la certification électronique et la protection des données personnelles. Cette expansion des prérogatives pose les difficultés liées à l’élargissement des compétences de l’ARPTIC et la nécessité de continuer la création de trois autorités distinctes.

Les difficultés liées à l’élargissement des compétences de l’ARPTIC

Le transfert de compétences à l’ARPTIC entraine une surcharge de responsabilités, compromettant ainsi son aptitude à exercer un contrôle efficace. Cependant, il convient de noter que ses missions initiales sont en adéquation avec celles de l’Autorité de Régulation du numérique (ARN), notamment en vertu de l’article 13 de la loi sur les

télécoms et TIC, cette disposition confère à l’ARPTIC le pouvoir d’assurer la régulation des activités dans le secteur numérique.

En ce qui concerne l’Autorité Nationale de Certification Électronique (ANCE), la principale difficulté réside dans le manque de compétences techniques, un problème qui pourrait être résolu si les pouvoirs publics octroyaient davantage de ressources à l’ARPTIC pour mener à bien cette mission. Cependant, l’élargissement des compétences de l’ARPTIC soulève des questions juridiques significatives en ce qui concerne l’Autorité de Protection des Données (ADP). En effet, la loi qui fonde l’ARPTIC223 lui confère déjà le pouvoir de réguler la protection des données, entraînant ainsi un conflit de compétences avec le code du numérique qui a établi l’ADP.

De plus, l’indépendance, recommandée pour l’ADP afin d’exercer efficacement ses missions, est compromise dans le cas de l’ARPTIC, qui demeure sous la dépendance du ministère des PTN.

a. Dualité de régulation de la protection des données en RDC

L’idée de confier les missions de l’Autorité de protection des données à l’ARPTIC n’est pas nouvelle. Elle avait déjà été envisagée plusieurs années auparavant. Il convient de rappeler que le projet de loi sur les télécommunications et les TIC, alors en cours d’examen à l’Assemblée Nationale en avril 2017, prévoyait de « restructurer l’Autorité de régulation des Télécommunications (ARPTC) afin de lui conférer les prérogatives d’une agence nationale d promotion des TIC et de protection des données personnelles ».224 Toutefois, cette disposition n’a pas été intégrée dans la version finale de la loi, entrée en vigueur en 2020.

223 Pour rappel, il s’agit du titre II de la loi n° 20/017 du 25 novembre 2020 relative aux télécommunications et aux technologies de l’information et de la communication en République Démocratique du Congo.

224 KODJO NDUKUMA ADJAYI, Le droit de l’économie numérique en République Démocratique du Congo à la lumière des expériences européennes et Françaises, Thèse de doctorat, Paris 1, 16 novembre 2017, p. 375, disponible sur https://theses.fr/2017PA01D085, Consulté le 12 juillet 2024 ;

Néanmoins, la loi de 2020 sur les télécoms et TIC, dans les missions dévolues à l’ARPTIC, précise à l’article 13, point 6, que celle-ci a également pour mission d’assurer « […] la régulation et le contrôle de la protection des données à caractère personnel ». Par ailleurs, l’article 132 indique qu’un arrêté ministériel viendra fixer « […] les conditions et modalités de collecte d’enregistrement, de traitement, de stockage et de transmission des données à caractère personnel ». Ainsi, nous considérons que la loi de 2020 confère déjà les prérogatives nécessaires à l’ARPTIC.

Par conséquent, il n’était pas nécessaire pour le ministre des PTN d’émettre un nouvel arrêté pour accorder à cette autorité des pouvoirs qu’elle détenait déjà. D’autant plus que le décret de 2023225, qui a établi l’ARPTIC, a été publié seulement dix jours avant l’entrée en vigueur du code du numérique. Ce décret réaffirme clairement dans ses missions la responsabilité de l’ARPTIC d’assurer la régulation et le contrôle de la protection des données à caractère personnel.226 Cependant, la situation se complique lorsque le Code du numérique

prévoit la création d’une autre autorité pour la protection des données personnelles227, à savoir l’Autorité de protection des données (APD). Nous nous retrouvons alors face à une dualité, avec deux autorités détenant des prérogatives similaires, ce qui soulève des questions juridiques fondamentales.

Pour résoudre cette problématique sur le plan juridique, il est essentiel de comprendre que les autorités administratives indépendantes, ou régulateurs sectoriels sont généralement créés pour répondre à des missions spécifiques et bien définies228. Le principe de spécialité implique que chaque autorité ne peut intervenir que dans les domaines expressément prévus par la loi229. Ainsi, si le Code du numérique confère

225 Décret portant la création de l’ARPTIC du 3 mars 2023 ;

226 Article 5 point 11 du décret portant la création de l’ARPTIC de 2023 ;

227 Articles 262 à 270 du code du numérique ;

228 Jean Pierre COLSON et Paul IDOUX, op. cit. ;

229 Idem ;

à l’APD un mandat exclusif sur la protection des données personnelles, il aurait été nécessaire de limiter ou de clarifier les compétences de l’ARPTIC à d’autres secteurs, tels que la régulation des télécommunications et des TIC. La réponse à cette question des conflits entre la loi sur les télécommunications et TIC de 2020 et le Code du numérique pourrait être envisagée à travers le prisme du principe de la hiérarchie des normes de Hans Kelsen.230 En cas de contradiction ou de chevauchement entre ces textes,

le code du numérique, en tant que législation plus récente et spécialisée, pourrait prévaloir sur les dispositions antérieures. Cependant, cela nécessiterait une réforme législative pour abroger ou modifier les articles de la loi de 2020231 et du décret de 2023232. Bien que le Code du numérique dispose que toutes les dispositions antérieures contraires sont abrogées233, nous sommes ici confrontés à une question de compétence administrative qui pourrait poser problème.

À cet égard, il est pertinent de se référer aux standards internationaux en matière de protection des données personnelles, notamment en prenant l’exemple européen avec le Règlement Général sur la Protection des Données (RGPD), qui privilégie une autorité de régulation unique et indépendante pour garantir une protection efficace des données. C’est pourquoi il sera très important que la RDC envisage au moment venu une centralisation de la régulation au sein de l’APD pour s’aligner sur les pratiques internationales.

Pour éviter tout conflit de compétences, une clarification législative ou réglementaire s’avère indispensable. Le législateur pourrait, par exemple, envisager de réviser les textes pour attribuer clairement à l’APD toutes les prérogatives relatives à la protection des données, tout en limitant l’ARPTIC à un rôle d’appui technique ou d’interface dans le cadre des TIC. Nous suggérons également que l’arrêté ministériel qui établira

230 Hans KELSEN, Théorie pure du droit, op. cit. ;

231 La loi relative aux télécoms et TIC ;

232 Décret portant la création de l’ARPTIC du 3 mars 2023 ;

233 Article 389 du code du numérique

l’APD puisse préciser la répartition des compétences entre les deux autorités.

Enfin, il est essentiel de promouvoir une approche coopérative entre l’ARPTIC et l’APD lors de la création de cette dernière. Cela pourrait se traduire par la mise en place d’un protocole d’accord ou de collaboration entre les deux entités, garantissant que leurs compétences respectives soient exercées de manière complémentaire et non contradictoire. Une telle coopération permettrait de mieux gérer les frontières entre la régulation des télécommunications et la protection des données personnelles, tout en renforçant l’efficacité de la régulation.

Des autorités judiciaires

Au regard de dispositions pertinentes du code Congolais du numérique, les autorités judiciaires compétentes sont :

• La police judiciaire (les OPJ) ;
• Le parquet (les OMP) ;
• Et, les Cours et Tribunaux (juges).234

________________________

²¹⁷ Définition donnée par l’article 62 de la loi sur les nouvelles régulations économiques (NRE) du 15 mai 2001. ↑

²¹⁸ Auchan Les 4 Temps, La Défense. ↑

²¹⁹ Wikipédia, dernière modification le 15 mai 2021. ↑

²²⁰ Arrêté ministériel de 2024, portant harmonisation des modalités de mise en œuvre des régimes du code du numérique et de la loi sur les télécoms et TIC. ↑

²²¹ Le principe de légalité impose que toute action ou décision prise par une autorité publique doit être conforme à la loi. Cela signifie que l’ARPTIC ne peut agir que dans le cadre des pouvoirs qui lui sont conférés par la législation et les arrêtés qui définissent ses missions et compétences. Pour en savoir plus sur ce principe juridique lire, J. GOURDOU, « Principe de légalité – Fiche LexisNexis 360 », Fiches pratiques [Lexis 360 Intelligence], 2018, disponible sur https://univ-pau.hal.science/hal-02447543 , Consulté le 5 Octobre 2024 ; ↑

²²² Pour en savoir plus sur ce principe, lire Jean Pierre COLSON et Paul IDOUX, Droit public économique, Manuel, Issy-Les-Moulineaux, LGDJ, 2018. ↑

²²³ Décret portant la création de l’ARPTIC du 3 mars 2023 ; ↑

²²⁴ Article 5 point 11 du décret portant la création de l’ARPTIC de 2023 ; ↑

²²⁵ Articles 262 à 270 du code du numérique ; ↑

²²⁶ Jean Pierre COLSON et Paul IDOUX, op. cit. ; ↑

²²⁷ Idem ; ↑

²²⁸ Hans KELSEN, Théorie pure du droit, op. cit. ; ↑

²²⁹ La loi relative aux télécoms et TIC ; ↑

²³⁰ Décret portant la création de l’ARPTIC du 3 mars 2023 ; ↑

²³¹ Article 389 du code du numérique ↑

²³² Article 389 du code du numérique ↑

²³³ Article 389 du code du numérique ↑

²³⁴ Article 389 du code du numérique ↑

Questions Fréquemment Posées

Quelles sont les nouvelles missions de l’ARPTIC en matière numérique ?

L’ARPTIC a élargi son périmètre d’action avec la réforme de 2020 et le décret de 2023, lui conférant de nouvelles compétences dans le domaine numérique, notamment la régulation du numérique, la certification électronique et la protection des données personnelles.

L’ARPTIC dispose-t-elle des ressources nécessaires pour ses nouvelles responsabilités ?

La question centrale est de savoir si l’ARPTIC dispose des ressources adéquates pour répondre à ses nouvelles responsabilités, car l’arrêté qui lui attribue ces prérogatives ne définit pas de moyens pour l’exécution de ses nouvelles missions.

Quels défis l’ARPTIC doit-elle surmonter pour remplir ses missions ?

L’ARPTIC doit renforcer ses capacités internes, notamment par le recrutement d’experts dans des domaines tels que la cybersécurité, la cryptographie et la protection des données personnelles, pour répondre efficacement aux nouveaux défis.