La République du Congo s'est dotée en 2019 d'un cadre légal moderne pour la protection des données personnelles. Six ans plus tard, l'écosystème commence à se structurer — encore faut-il en comprendre les contours pratiques. Voici l'essentiel pour les dirigeants d'administrations et d'entreprises congolaises.
Le cadre légal en deux temps
Loi n° 29-2019 du 10 octobre 2019
Ce texte fondateur définit les principes généraux :
- Licéité, loyauté et transparence du traitement
- Limitation de finalité (pas de détournement d'usage)
- Minimisation des données
- Exactitude et conservation limitée
- Sécurité et confidentialité
- Responsabilité du responsable de traitement
Les droits des personnes concernées incluent : information, accès, rectification, suppression, opposition, et limitation du traitement.
Loi n° 5-2025 du 29 mars 2025
Ce texte plus récent crée la Commission Nationale de Protection des Données personnelles (CNPD) — l'autorité de régulation indépendante. Sa mission : informer, conseiller, contrôler et sanctionner.
Ce que cela change concrètement pour vous
Si vous êtes une administration publique
- Vous devez désigner un délégué à la protection des données (DPO).
- Vos téléservices doivent respecter les droits utilisateurs (consentement éclairé, droit d'accès, etc.).
- Toute violation grave doit être notifiée à la CNPD.
- Vos sous-traitants (éditeurs logiciels, hébergeurs) doivent être contractuellement liés à des engagements de conformité.
Si vous êtes une entreprise
- Idem sur le DPO et la notification, avec un seuil de matérialité contextuel.
- Vous devez tenir un registre des traitements documentant chaque finalité.
- Les transferts hors frontières sont encadrés — une vigilance particulière pour les services cloud étrangers.
Si vous êtes une ONG ou un organisme international
Les obligations s'appliquent dès lors que vous traitez les données de personnes situées au Congo, indépendamment de votre siège.
Les pièges classiques que nous voyons
- « Notre prestataire est conforme RGPD européen, donc c'est bon. » — Non. La conformité européenne ne dispense pas du droit congolais. Les obligations sont proches mais pas identiques (notamment sur l'hébergement local et la notification CNPD).
- « On collecte juste l'e-mail, c'est négligeable. » — Faux. L'e-mail est une donnée personnelle. Le principe ne dépend pas du volume.
- « On a une politique de confidentialité, on est protégés. » — La politique est nécessaire mais insuffisante. Il faut aussi des mesures techniques (chiffrement, sauvegardes, contrôle d'accès) et organisationnelles (formation, registre, procédures).
Notre approche chez MOKILIX
Tous nos produits intègrent par défaut les principes de la Loi 29-2019 :
- MOKILIX AUDIT IT inclut un volet conformité.
- MOKILIX SHIELD déploie les mesures techniques nécessaires (chiffrement, journalisation, EDR).
- MOKILIX ASSISTANT propose en option un hébergement souverain pour les déploiements sensibles.
- Notre politique de confidentialité est rédigée en référence à ces deux lois.
Pour aller plus loin
Si votre organisation s'interroge sur sa conformité réelle, nous proposons en première étape un diagnostic gratuit dans le cadre du cadrage de 2 semaines. Vous repartez avec un état des lieux exploitable, qu'on travaille ensemble ou pas.
— Rodrigue DEBI, Président & Fondateur MOKILIX SAS
Ce billet n'a pas vocation à se substituer à un conseil juridique. Pour les cas complexes, consultez un avocat spécialisé.