Une transition à haut risque
Le 22 mars 2025, Kinshasa a validé un partenariat public-privé avec la société singapourienne Trident Digital Tech pour déployer le Système national d’identification numérique (Tridentity) : des identifiants biométriques hébergés sur une infrastructure blockchain, appelés à remplacer les anciennes cartes papier d’ici 2028.
Dans un pays où près de 40 % des citoyens ne possèdent ni état-civil fiable ni pièce d’identité, l’enjeu est colossal : sécuriser l’accès aux services, contenir la fraude électorale et élargir l’inclusion financière. Pourtant, deux ans après l’entrée en vigueur du Code du numérique (ordonnance-loi 23-010 du 13 mars 2023), la pierre angulaire de ce cadre — l’Autorité de protection des données (APD) — n’existe toujours pas. La RDC se lance donc dans la collecte massive de données personnelles sans régulateur attitré : un vide qui interroge la soutenabilité du projet.
1. Promesse d’une identité numérique « fiable, sécurisée et souveraine »
Le gouvernement présente Tridentity comme « le socle d’un écosystème interopérable » appelé à :
- Simplifier l’accès aux services publics et privés (paiement des impôts, protection sociale, e-santé).
- Réduire la fraude et l’usurpation d’identité via des certificats biométriques et cryptographiques.
- Favoriser l’inclusion de 17 millions de Congolais dépourvus de documents d’identité, condition sine qua non pour ouvrir un compte bancaire ou bénéficier de subventions.
Inspiré des modèles éthiopien (Fayda) et indien (Aadhaar), le système doit enregistrer chaque citoyen à l’aide d’un couple photo + empreintes + iris, stocké sur des serveurs redondants à Kinshasa et Lubumbashi. Les premières phases pilotes, impliquant la Direction générale des impôts et deux banques commerciales, démarreront au second semestre 2025.
2. Un cadre légal ambitieux mais incomplet
Le Code du numérique confère aux données personnelles un régime constitutionnel : toute collecte nécessite un motif légitime, un consentement éclairé et un traitement proportionné. Il prévoit :
- Des déclarations préalables pour tout acteur traitant des données.
- Des autorisations spéciales pour les données sensibles et les transferts hors du pays.
- Des sanctions pénales (amendes jusqu’à 1 % du chiffre d’affaires et peines d’emprisonnement) en cas de violation.
Or, ces dispositions restent inopérantes tant que l’APD n’est pas installée : impossible d’enregistrer un responsable de traitement, d’obtenir un avis légal sur un contrat cloud ou de notifier une fuite de données dans les formes.
3. Pourquoi l’APD tarde-t-elle ?
L’article 262 du Code renvoie à un décret du Premier ministre pour fixer l’organisation, le budget et la gouvernance de l’APD. Deux ans plus tard, le texte n’a pas été signé. Entre-temps, un arrêté ministériel du 17 août 2024 a “provisoirement” confié les missions de l’APD au régulateur télécoms ARPTIC — un choix jugé illégal par plusieurs juristes car il contourne la hiérarchie des normes. Résultat :
- Aucune base de données des traitements n’existe ; les opérateurs télécoms, banques et FinTech n’ont pas déclaré leurs activités.
- Les Privacy Impact Assessments (PIA) pour Tridentity, exigés par le Code, n’ont pas été publiés.
- Les citoyens n’ont pas de point de contact indépendant pour exercer leurs droits d’accès ou de rectification.
4. Risques concrets : de la cybersécurité à l’exclusion
| Risque | Contexte congolais | Conséquences possibles |
|---|---|---|
| Fuites de données | Écosystème IT fragmenté, hébergeurs locaux sous-dimensionnés | Ventes de bases biométriques sur le dark-web ; perte de confiance citoyenne |
| Profilage abusif | Absence d’APD pour contrôler l’usage des données par les partis politiques | Ciblage électoral ethnique, désinformation |
| Exclusion numérique | 33 % de couverture 4G, coût moyen d’un smartphone : 40 USD | Non-enrôlement de millions de ruraux ; services publics inaccessibles |
| Sélectivité algorithmique | Recours à la blockchain et au scoring automatique pour la microfinance | Refus de crédit sans explication, discriminations systémiques |
5. Leçons d’Afrique de l’Est : Kenya, Éthiopie, Ouganda
- Kenya (Huduma Namba) : suspension judiciaire en 2021 faute d’évaluation d’impact et de loi sur la protection des données ; relance seulement après installation d’un régulateur pleinement opérationnel.
- Éthiopie (Fayda) : adoption d’une Proclamation Data Protection dès 2022 et publication d’un « Book of Rules » sur l’usage de la biométrie avant l’enrôlement massif.
- Ouganda (NIRA) : déploiement rapide mais contesté ; les tribunaux ont condamné l’État pour exclusion de populations rurales sans empreintes lisibles.
Ces précédents montrent qu’une gouvernance juridique robuste précède le succès technique : là où l’autorité de contrôle fonctionne, les programmes d’identité gagnent en légitimité et en adoption citoyenne.
6. Les points noirs du projet Tridentity
- Opaque sur la localisation des serveurs : le contrat évoque des data centers souverains, sans préciser qui en assure la maintenance ni les clauses de réversibilité en cas de litige international.
- Modèle économique flou : Trident percevrait des frais par transaction authentifiée ; aucune grille tarifaire n’a été publiée, ce qui pourrait renchérir les services publics.
- Encadrement parlementaire limité : la Commission des PTN de l’Assemblée nationale n’a pas encore reçu l’étude d’impact budgétaire ni les audits de cybersécurité.
7. Que faut-il pour sécuriser la prochaine étape ?
a) Instaurer l’APD avant l’enrôlement massif
Le décret d’installation, assorti d’un budget pluriannuel et d’un collège de commissaires indépendants, doit précéder la phase pilote. Option transitoire : intégrer des experts de la société civile et de l’Ordre des ingénieurs dans un comité de surveillance tant que l’APD n’est pas opérationnelle.
b) Publier un Privacy Impact Assessment (PIA)
Conduite par un cabinet tiers, elle détaillerait : architecture blockchain, protocoles de chiffrement, procédures de sauvegarde, mécanismes d’anonymisation des données analytiques.
c) Garantir l’inclusion
- Kits mobiles d’enrôlement pour zones rurales.
- Exemption de frais pour les ménages vulnérables.
- Campagne de littératie numérique en langues locales, impliquant radios communautaires et ONG.
d) Encadrer les transferts transfrontaliers
Le Code exige que toute exportation de données passe par une décision d’adéquation ou des clauses types. Un accord bilatéral clair avec l’hébergeur singapourien est indispensable pour éviter la mésaventure du Safe Harbor européen.
e) Prévoir un droit à l’effacement biométrique
Inspiré du RGPD, ce droit permettrait à un citoyen de demander la suppression de ses données après la remise d’une nouvelle carte ou en cas de départ définitif du pays. Cela atténue le risque de données obsolètes et de fraude identitaire.
Conclusion — Équilibrer vitesse et garanties
La RDC avance résolument vers une identité numérique qui pourrait libérer un dividende économique majeur ; mais la marche en avant technologique dépasse aujourd’hui la cadence réglementaire. Sans régulateur dédié, l’État prend le risque d’une défiance citoyenne, de contentieux internationaux et d’un système perçu comme “big brother” plutôt que comme passeport vers l’inclusion. À court terme, rattacher le projet Tridentity à un cadre de protection robuste et transparent — création urgente de l’APD, PIA public, consultations multi-acteurs — conditionnera son adoption. À long terme, c’est la cohérence de la gouvernance numérique, et donc la confiance, qui déterminera si la carte d’identité digitale deviendra l’épine dorsale d’une RDC connectée… ou un futur casse-tête juridique.
