top of page
Rechercher

Cadre normatif du conseil et des services informatiques en République démocratique du Congo (RDC)

ree

Le secteur des technologies de l’information et de la communication (TIC) en RDC est aujourd’hui encadré par un ensemble de textes récents et réformés qui touchent directement les activités de conseil, d’hébergement, de développement logiciel, d’infogérance, de cybersécurité et de traitement de données. Pour un prestataire IT, comprendre ces règles n’est pas seulement une question de conformité légale : c’est un levier de confiance commerciale (clients publics/privés) et de limitation des risques contractuels, pénaux et fiscaux.


Les principaux volets à connaître sont :

  • la régulation des télécommunications et TIC,

  • le droit du numérique (commerce électronique, signature électronique, services de confiance),

  • la lutte contre la cybercriminalité,

  • la protection des données à caractère personnel et

  • règles sectorielles complémentaires (fiscalité, propriété intellectuelle, sécurité).


Ci-après : explication opérationnelle et checklist de mise en conformité.


1) Autorité de régulation et licences (qui supervise quoi ?)

La régulation des postes, télécommunications et TIC est désormais exercée par une autorité nationale de régulation (ARPTIC / équivalents) créée et renforcée par les lois récentes qui remplacent et modernisent les anciens cadres. Cette autorité délivre les autorisations, cahiers des charges et peut sanctionner (suspension/retrait d’autorisation) — important pour les opérateurs de services en ligne, les hébergeurs et les fournisseurs d’accès.


Impacts pratiques :

  • Les projets impliquant l’exploitation d’infrastructures réseau, services d’accès, opérateurs MVNO ou services nécessitant une interconnexion doivent vérifier l’obligation d’autorisation auprès de l’ARPTIC.


2) Code du numérique et règles sur le commerce électronique

La RDC s’est dotée d’un Code du numérique (ordonnance-loi n°23/010 du 13 mars 2023) qui structure les règles du e-commerce, de la preuve électronique, de la signature électronique, et des prestataires de services de confiance. Ce texte est central pour les contrats électroniques, facturation dématérialisée et responsabilité des intermédiaires techniques.

Points clefs pour le consultant IT :

  • La signature électronique est reconnue ; la diffusion de services de signature ou d’horodatage peut nécessiter l’agrément/conformité prévu par le Code.

  • Les contrats de prestation IT doivent prévoir les modalités de preuve électronique (journaux, logs, hash, certificats) compatibles avec le Code.


3) Cybercriminalité : incriminations et obligations de coopération

La loi « lutte contre la cybercriminalité » (par ex. texte de 2020 et renvois au code pénal/congolais) incrimine les attaques informatiques, accès frauduleux, fraude en ligne, diffusion de contenus illicites, usurpation d’identité numérique, etc. Elle prévoit aussi des mesures de saisie et coopération technique entre opérateurs et autorités. Les prestataires IT doivent être vigilants : non seulement pour se protéger, mais aussi pour savoir comment répondre à des demandes judiciaires (conservation des logs, procédures).


4) Protection des données personnelles et transfrontalité

La protection des données en RDC a été traitée dans le cadre du Code du numérique et d’autres instruments nationaux. Le régime impose des principes (licéité, finalité, sécurité), des obligations de sécurité et des exigences pour la collecte/traitement/transfert de données personnelles. Il peut encore manquer certains décrets d’application en pratique, mais l’exigence de conformité est effective. Par ailleurs, la RDC a récemment progressé dans l’alignement régional (ratification de la Convention africaine/Malabo sur la cybersécurité et protection des données démarche régionale à suivre pour l’opérationnalisation).


Conséquences pratiques :

  • Tout prestataire ICT réalisant un traitement de données personnelles (SaaS, CRM, centres d’hébergement, outsourcing RH, paie, etc.) doit documenter les bases juridiques, tenir un registre des traitements, mettre en place des mesures techniques et organisationnelles (chiffrement, contrôle d’accès, journalisation) et prévoir des clauses contractuelles (sous-traitance, sécurité, transfert).


5) Contrats, propriété intellectuelle et responsabilité

  • Contrats de prestation : inclure obligations de moyens/ de résultat clairement définies, SLA, propriété du code (clauses de cession/licence), maintenance et confidentialité (NDA), gestion des vulnérabilités et procédure en cas d'incident.

  • PI : les logiciels sont protégés par le droit d’auteur ; prévoir cession/licence claire et respect des logiciels tiers (open source).

  • Responsabilité : la réglementation numérique, combinée au droit commun, encadre la responsabilité civile et pénale en cas de manquement (ex. fuite de données, interruption de service).


6) Fiscalité et conformité administrative

Les prestations IT, même fournies depuis l’étranger vers des clients en RDC, peuvent entrer dans le champ fiscal (TVA, impôt sur les sociétés, retenues à la source selon la nature du service). Les règles varient selon si le prestataire a établissement stable en RDC ; conseil : consulter un fiscaliste local pour structure contractuelle et optimisation conforme. (Sources institutionnelles et guides commerciaux recommandés).


7) Gouvernance de la sécurité et standardisation

Même si les normes internationales (ISO 27001, ISO 9001, RGPD-like pratiques) ne sont pas impératives, les adopter facilite les appels d’offres publics/privés. Les autorités congolaises demandent aujourd’hui des garanties de sécurité (cahiers des charges, audits) pour certains marchés stratégiques.


Checklist pratique de mise en conformité pour un cabinet de conseil IT (résumé actionnable)

  1. Identifier le statut : opérateur, sous-traitant, hébergeur, fournisseur SaaS — vérifier obligations d’autorisation (ARPTIC).

  2. Relire le Code du numérique (ordonnance-loi 13/03/2023) et intégrer obligations sur signature électronique, preuve, e-commerce.

  3. Mise en conformité données personnelles : registre, base légale, DPIA si risque élevé, mesures S&O.

  4. Sécurité opérationnelle : chiffrement, gestion des accès, sauvegardes, plan de reprise, journalisation (durée conservation conforme à la loi). Droit-Afrique+1

  5. Contrats types : SLA, cession/licence IP, clause breach notification, clause de coopération judiciaire (logs).

  6. Procedure en cas d’incident : notification aux autorités et aux personnes concernées selon les délais légaux. Droit-Afrique+1

  7. Vérifier fiscalité : TVA, retenues, établissement stable. Commerce international


Sources principales (sélection pour aller plus loin)

  • Ordonnance-loi n°23/010 du 13 mars 2023 — Code du numérique (RDC). 

  • Loi relative aux télécommunications et TIC (ex. Loi n°20/017, 25 nov. 2020) et textes de régulation — ARPTIC / décret d’application. 

  • Textes et analyses sur la lutte contre la cybercriminalité (RDC). Droit-Afrique+1

  • Guides/portails institutionnels (Ministère PTNTIC, ARPTIC, guides commerciaux US / Invest in DRC). Commerce international+1

  • Articles juridiques sur la signature électronique et preuve en RDC. Village de la Justice

  • Analyses récentes sur l’évolution de la protection des données et ratification de la Convention africaine (Malabo). Lexing+1


Conclusion — posture recommandée pour un prestataire IT

En RDC, le paysage réglementaire numérique évolue rapidement : s’aligner sur le Code du numérique, maîtriser les exigences de l’autorité de régulation, appliquer des mesures robustes de sécurité et concevoir des contrats qui protègent la propriété intellectuelle et la confidentialité sont des impératifs. Pour les projets à haute sensibilité (données personnelles, plateformes publiques, systèmes de paiement), associez systématiquement un conseil juridique local et un audit technique préalable.


Christian NDAY

 
 
 

Commentaires

bottom of page