Mme la Présidente, la Haute Autorité de la Protection des Données à caractère Personnel (HAPDP ) a été créée en 2019. Pouvez-vous nous dire ce qui a motivé la mise en place de cette Institution et quelles sont ses attributions ?

Tout d’abord, je vous remercie pour l’opportunité que vous m’offrez de m’adresser à vos lecteurs. Permettez-moi de préciser que la Haute Autorité de Protection des Données à caractère Personnel (HAPDP) a été créée par la Loi N° 2017-28 du 03 mai 2017, modifiée par la Loi N° 2019-71 du 24 décembre 2019, dans la droite ligne de s’aligner aux textes aux niveaux internationl, continental, sous régional et communautaire. Cette création s’inscrit dans la dynamique de protéger les droits humains dans un souci de transparence, afin de promouvoir une nouvelle gouvernance administrative conforme aux normes et aux bonnes pratiques en matière de protection des données à caractère personnel. Ces dernières se définissent comme« toute information de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique». La HAPDP est une Autorité administrative indépendante chargée de veiller à la conformité des traitements des données à caractère personnel, aux dispositions des textes en vigueur et des conventions internationales auxquelles le Niger a adhéré. Elle est garante du respect de la vie privée et des libertés individuelles ou publiques dans le traitement des données à caractère personnel. La HAPDP a la lourde et exaltante mission d’assurer d’une part, le respect des droits ainsi garantis aux citoyens et d’autre part, des obligations qui en découlent. La HAPDP est chargée entre autres: d’informer les personnes concernées et les responsables de traitement des données à caractère personnel de leurs droits et obligations ; de répondre à toute demande d’avis portant sur un traitement de données à caractère personnel ; d’élaborer un code de bonne conduite relatif au traitement et à la protection des données à caractère personnel ; de recevoir les déclarations et octroyer les autorisations pour la mise en œuvre de traitement de données à caractère personnel, ou de les retirer dans les cas prévus par les textes en vigueur ; de recevoir les déclarations et les plaintes relatives à la mise en œuvre des traitements de données à caractère personnel et d’informer les auteurs de la suite accordée à celles-ci et d’autoriser les transferts frontaliers des données à caractère personnel ; etc.

Le vendredi 20 août dernier, vous avez procédé à la remise au Premier Ministre, Chef du Gouvernement, du rapport 2020 de l’Institution que vous dirigez. Quelles sont les conclusions de ce rapport et quelles sont aussi les recommandations contenues dans le document ?

Je dois rappeler que la remise du rapport au Premier Ministre par la HAPDP entre dans le cadre du respect d’une disposition de l’article 43-1 de la Loi N° 2019-71 du 24 décembre 2019 qui stipule que : «la HAPDP doit établir et remettre un rapport annuel d’activités au Président de la République, au Président de l’Assemblée Nationale et au Premier Ministre». Ce rapport fait le point de la mise en œuvre de la loi susvisée par la présentation du cadre juridique et institutionnel, du fonctionnement de l’Autorité de Protection des Données à caractère Personnel, du renforcement des capacités et de la sensibilisation des acteurs, de la coopération internationale et des difficultés rencontrées, les défis et perspectives. Dans ce rapport sont présentés les outils qui permettent à la HAPDP  de recueillir, instruire et traiter les demandes des organismes publics et privés, ainsi que les plaintes déposées par les personnes concernées. Il faut rappeler que conformément aux textes en vigueur, les membres de la HAPDP se réunissent en session ordinaire tous les trois mois et en session extraordinaire à la demande de la majorité des membres, sur convocation du Président. C’est en application de ces textes qu’au cours de l’année 2020, la HAPDP a tenu quatre (4) sessions dont deux ordinaires et deux extraordinaires. Au cours de la première session des membres tenue le 20 juillet 2020, les principaux formulaires de conformité ont été adoptés. Il s’agit des formulaires de déclaration, de demande d’autorisation des traitements, de demande d’autorisation de transferts vers un pays tiers, de demande d’avis, de plainte, de désignation de correspondants à la protection des données personnelles. Ainsi, vingt-sept (27) dossiers de demandes d’autorisation et de demandes d’avis ont été instruits par les services techniques, ce qui a permis aux membres de délibérer durant les trois sessions qui ont suivi. Durant ces cinq (5) mois d’activités, la HAPDP a notamment délivré 18 autorisations de traitement, 6 autorisations de transfert de données vers un pays tiers et 3 avis. Il fait cas également de la mise en ligne de son site web qui a permis aux personnes responsables de traitement des données de s’informer sur le cadre juridique national et international, de suivre les activités de l’Autorité de Protection et de pouvoir télécharger les formulaires de conformité, toute chose qui facilite le respect des obligations auxquelles elles sont assujetties. Des actions de sensibilisation ont été menées au cours de l’année 2020 autour de son cadre juridique et institutionnel, l’un des piliers majeurs de ses actions afin de faire connaitre la loi sur la protection des données à caractère personnel et de sensibiliser les organismes publics et privés sur la nécessité d’y adhérer et de s’y conformer. Dans ce cadre, elle a initié des rencontres avec les responsables de traitement pour les accompagner à mieux comprendre les procédures leur permettant de respecter leur obligation d’obtenir l’autorisation préalable pour le traitement des données sensibles ; l’obligation de déclaration des traitements et l’obligation de sécurité et de confidentialité des traitements. L’Autorité de protection a ainsi voulu privilégier l’approche pédagogique d’accompagnement plutôt que celle de la sanction en commençant par la sensibilisation des personnes concernées et le renforcement des relations de confiance entre elle et les responsables de traitement. Au cours de la même année, la HAPDP a adopté plusieurs textes réglementaires et a procédé à la désignation et l’installation des correspondants à la protection des données à caractère personnel, Relais de la HAPDP, dans leurs structures respectives. Ces correspondants veillent à la protection des données personnelles dans toutes ses dimensions. Par ailleurs, consciente que la coopération avec les Autorités de protection des données personnelles des autres pays constitue un levier intéressant au développement de ses activités, la HAPDP a initié des partenariats avec les autorités de protection de la sous-région et de la Francophonie et à ce titre a adressé des demandes d’adhésion à l’Association Francophone des Autorités de Protection des Données Personnelles (AFAPDP) et au Réseau Africain des Autorités de Protection des Données Personnelles (RAPDP) pour disposer d’expertise internationale en matière de protection des données à caractère personnel. Aussi, la HAPDP s’est-elle dotée d’un plan stratégique sur cinq ans qui constitue sa feuille de route et qui lui permettra de disposer des meilleurs outils de travail pour mener à bien sa mission de protection des données à caractère personnel conformes aux standards internationaux afin qu’à terme le Niger soit une référence en matière de protection des données à caractère personnel. Pour ce qui est des recommandations, il ressort de ce rapport : l’urgence d’accroitre les moyens budgétaires de l’Autorité de Protection qui, plus que jamais, s’est résolument engagée à remplir ses missions avec rigueur et efficacité ; l’urgence qui s’impose à l’Etat du Niger, au regard des relations économique, sociale et politique qu’il entretient avec les pays du Conseil de l’Europe, d’adhérer à la Convention N°108 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. En effet, ladite convention permet à tout Etat par une déclaration adressée au Secrétaire Général du Conseil de l’Europe, d’y adhérer et la Convention entrera en vigueur à son égard le premier jour du mois qui suit l’expiration d’une période de trois mois après la date de réception de la déclaration par le Secrétaire Général.

Les traitements des données à caractère personnel sont soumis aux dispositions des textes en vigueur et des conventions internationales auxquelles le Niger a adhéré. Que risque, un ou des citoyens, en cas de non-respect de ces dispositions ?

Lorsque les dispositions relatives à la protection des données à caractère personnel ne sont pas respectées, le premier risque majeur auquel les citoyens sont exposés, c’est celui d’atteinte à leur droit à la vie privée. En effet, les données personnelles constituent une partie intégrante de la vie privée, en conséquence toutes les fois où celles-ci sont collectées et traitées illégalement ou abusivement, il y a un risque potentiel d’atteinte à ce droit constitutionnellement protégé. Ces atteintes sont aussi bien diverses que multiformes. Par ailleurs, tout citoyen victime d’un traitement malveillant de ses données personnelles, peut porter plainte contre le responsable de traitement auprès de la HAPDP. Ainsi, après investigations, en cas de manquements dûment constatés et suivant le respect d’une procédure contradictoire, la HAPDP est en droit d’infliger des sanctions administratives et/ou pécuniaires au responsable du traitement incriminé. Elle peut prononcer les mesures suivantes : un avertissement à l’égard du responsable du traitement des données à caractère personnel qui ne respecte pas les obligations découlant des textes en vigueur ; une mise en demeure de cesser les manquements observés dans les délais qu’elle fixe ; une interruption de la mise en œuvre du traitement ; un verrouillage de certaines données à caractère personnel traitées ; une interdiction temporaire ou définitive d’un traitement contraire aux dispositions de la loi ; un retrait provisoire de l’autorisation accordée ; un retrait définitif de l’autorisation ; des sanctions pécuniaires. Le montant de la sanction pécuniaire est proportionnel à la gravité des manquements commis et aux avantages tirés de ce manquement. Le montant de cette sanction ne peut excéder la somme de cent millions (100 000 000) francs CFA. En cas de manquement réitéré, la sanction pécuniaire ne peut excéder deux cent millions (200 000 000) de francs CFA ou, s’agissant d’une entreprise, elle ne peut excéder 5% du chiffre d’affaires hors taxes du dernier exercice clos dans la limite de cinq cent millions (500 000 000) de francs CFA. Ces sanctions administratives et pécuniaires sont appliquées sans préjudice de sanctions pénales. Les modalités de retrait de l’autorisation et de recouvrement des montants de la sanction pécuniaire sont fixées par décret pris en Conseil des Ministres. La HAPDP a également la charge d’informer sans délais, l’autorité judiciaire compétente des infractions dont elle a connaissance dans le cadre de ses missions.

Avez-vous les moyens de votre mission ?

Je dirai que jusque-là, la subvention accordée par l’Etat à la HAPDP est insuffisante et ne lui permet pas d’atteindre sa vitesse de croisière. Cependant, la HAPDP est en train de faire des plaidoyers à l’endroit des autorités compétentes en vue de rehausser cette subvention. Dans le même ordre d’idées, elle mène des actions de partenariat à l’endroit des Partenaires Techniques et Financiers dont certains ont déjà répondu favorablement. Au nombre de ce partenariat, on note un appui de l’Organisation Internationale pour les Migrations (OIM) relatif à une étude sur l’analyse de l’état des lieux du dispositif législatif et institutionnel de la protection des données à caractère personnel, validée le 27 juillet 2021. Aussi, faut-il rappeler un début de partenariat avec l’Organisation Internationale de la Francophonie (OIF) relatif d’une part à un renforcement des capacités des cadres de la HAPDP sur la protection des données à caractère personnel et d’autre part à une sensibilisation conjointe entre les cadres de la HAPDP et ceux de l’état civil sur la problématique de la protection des données à caractère personnel en lien avec l’état civil. Sur ce dernier, l’accord de principe a été déjà trouvé. En définitive, je voudrais lancer un vibrant appel à l’endroit de tous les responsables de traitement des données pour se présenter à la HAPDP et se conformer à la loi. Tout traitement de données à caractère personnel doit recueillir une autorisation au niveau de la HAPDP. Pour les traitements antérieurs à la HAPDP, les personnes responsables sont appelées à régulariser leurs situations.

Réalisée par Mahamadou Diallo(onep)

10 septembre 2021
Source : http://www.lesahel.org/