Le 27 juin 2025, la République Démocratique du Congo est devenue le dix-neuvième (19è) État à avoir ratifié la Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel. Au-delà de la symbolique, cette ratification constitue une avancée majeure et comporte de nombreuses implications juridiques du point de vue du droit du numérique congolais sur la cybersécurité, la protection des données personnelles, les transactions électroniques ainsi que la lutte contre la cybercriminalité. Cette analyse met en lumière, en cinq points, les principaux éléments de contexte et les implications juridiques de la ratification de cet instrument de droit international par la République Démocratique du Congo.
- Aboutissement d’un processus engagé depuis 2023
La ratification de la Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel (dite « Convention de Malabo ») par la République Démocratique du Congo est l’aboutissement d’un processus engagé depuis 2023. En effet, le Programme d’Action du Gouvernement 2021-2023 prévoyait notamment comme action :
C’est ainsi que les chantiers de la réforme du cadre légal du numérique en République Démocratique du Congo ont conduit à l’élaboration, l’adoption puis la promulgation de l’Ordonnance-Loi no 23/008 du 10 mars 2023 autorisant la ratification par la République Démocratique du Congo de la Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel[2] ainsi que de l’Ordonnance-Loi no 23/010 du 13 mars 2023 portant Code du numérique.[3]
Le Code du numérique, texte national de référence, a connu un accueil favorable et une publication plus rapide que la ratification de la Convention dont l’autorisation avait été accordée par l’Ordonnance-Loi no 23/008, mais les démarches de dépôt effectif n’avaient cependant pas encore été engagées.
Ce n’est que deux ans plus tard que ce processus a été mené à son terme et a abouti au dépôt de l’instrument de ratification de la Convention de Malabo par la RDC, qui a été signé le 06 mars 2025. Ainsi, à travers la ratification effective intervenue le 27 juin 2025, au siège de l’Union Africaine, la Convention de Malabo fait désormais partie de l’architecture juridique de la République Démocratique du Congo.
2. Positionnement de la Convention de Malabo dans la hiérarchie des normes
La Convention de Malabo ratifiée par la RDC le 27 juin 2025 est devenue applicable dès la date du dépôt de l’instrument de sa ratification, conformément à l’article 215 de la Constitution qui dispose :
« Les traités et accords internationaux régulièrement conclus ont dès leur publication, une autorité supérieure à celle des lois, sous réserve pour chaque traité ou accord, de son application par l’autre partie ».[4]
Cette disposition consacre la primauté des traités ratifiés sur la législation interne, plaçant ainsi la Convention de Malabo au-dessus des lois nationales notamment celles du domaine du numérique. La Convention de Malabo devient ainsi la norme de référence supérieure dans les matières qu’elle régit, notamment la protection des données personnelles, la cybersécurité, la lutte contre la cybercriminalité, les transactions électroniques ainsi que les règles de coopération régionale et internationale sur ces matières.
3. Obligation d’adaptation du droit interne aux exigences de la Convention de Malabo
La ratification de la Convention de Malabo engage la République Démocratique du Congo à adapter son droit interne aux standards juridiques fixés par cette norme internationale. Cette obligation découle à la fois du principe de la hiérarchie des normes tel que consacré à l’article 215 de la Constitution, que des engagements explicites contenus dans la Convention elle-même. Il s’agit notamment des obligations relatives à :
- l’adaptation et au renforcement des droits fondamentaux et des libertés publiques en matière de protection des données personnelles[5] ;
- l’adoption des mesures législatives de lutte contre la cybercriminalité[6] ;
- la définition des stratégies et politiques en matière de cybersécurité.[7]
4. Audit législatif du cadre juridique congolais au regard de la Convention de Malabo
Il convient d’abord de souligner que plusieurs dispositions nationales s’alignent déjà aux principes de la Convention de Malabo. Il s’agit notamment des règles encadrant le traitement des données personnelles, la nature juridique de l’Autorité de contrôle en matière de protection des données personnelles, ou encore des dispositions relatives à la cybersécurité et à la lutte contre la cybercriminalité.
Par ailleurs, un audit législatif des dispositions du droit national s’avère nécessaire et constitue la première action post-ratification de la Convention de la Malabo que doit mettre en œuvre la République Démocratique du Congo.
L’audit permettra d’identifier les lacunes des dispositions existantes par rapport aux standards de la Convention, de détecter les contradictions éventuelles, et de proposer des pistes de réforme. Cet audit pourra porter sur l’Ordonnance-Loi no 23/010 du 13 mars 2023 portant Code du numérique, sur la Loi no 20/017 du 25 novembre relative aux télécommunications et aux technologies de l’information et de la communication ainsi que sur d’autres dispositions légales et réglementaires pertinentes en lien avec la Convention.
5. Appropriation et mise en œuvre de la Convention de Malabo
La ratification de la Convention de Malabo ne constitue pas une fin en soi, mais marque le point de départ d’un processus de réforme et de consolidation du cadre juridique et institutionnel de la République Démocratique du Congo en matière du numérique. Elle s’inscrit, en réalité, dans la continuité des piliers de gouvernance posés depuis 2019, tout en appelant à des ajustements essentiels en vue de garantir la cohérence, l’efficacité et l’applicabilité des normes internes.
Les défis qui entourent la mise en œuvre de cet instrument de droit international sont similaires à ceux rencontrés avec les lois nationales, notamment : le manque de vulgarisation auprès du public et des professionnels ; la faible appropriation par les parties prenantes institutionnelles, économiques et sociales ; l’absence des mesures d’application par les autorités compétentes ainsi qu’un déficit de coordination interinstitutionnelle.
L’appropriation et la mise en œuvre de la Convention de Malabo constituent la voie indispensable pour traduire la ratification en impact réel sur la gouvernance du numérique en République Démocratique du Congo. Elles garantissent l’effectivité des droits reconnus et renforcent la crédibilité internationale de la République Démocratique du Congo dans le concert numérique africain. Il est donc essentiel que le Gouvernement prenne, dans le meilleur délai, des mesures en vue d’opérationnaliser les engagements contenus dans la Convention en veillant à leur cohérence avec les priorités nationales en matière de transformation numérique.
Tribune de Prosper Ntetika Mbakata, avocat et spécialiste en droit du numérique, doctorant en droit à l’Université de Kinshasa, président du think tank Law and Technologies et plénipotentiaire, membre de la délégation congolaise pour le dépôt des instruments de ratification de la Convention de Malabo.
[1] Programme d’Action du Gouvernement 2021-2023, Pilier 9 – « Promotion et développement des nouvelles technologies de l’information et de la communication », Axe 42 – « Mise en œuvre du Plan National du Numérique », Action 186, p. 42.
[2] Journal Officiel de la République Démocratique du Congo, Première partie, 64è année, no 8, colonne 26, 15 avril 2023.
[3] Journal Officiel de la République Démocratique du Congo, Première partie, 64è année, numéro spécial, 11 avril 2023.
[4] Article 215 de la Constitution de la République Démocratique du Congo, JORDC, numéro spécial, 52è année, 5 février 2011.
[5] Article 8 de la Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel.
[6] Article 25, idem.
[7] Article 24, ibidem.
