Niger : la HAPDP, bras-armé de l’Etat pour la protection des données personnelles [Par Mahamane Sabo Bachir]

Publié le samedi 21 octobre 2023 | Agence Nigerienne de Presse

© Autre presse par DR
Mme Sanady Tchimaden Hadatan, présidente de la Haute Autorité de la Protection des Données à Caractère Personnel (HAPDP)

En 2017, l’Etat du Niger crée la haute autorité de protection des données à caractère personnel (HAPDP) pour s’assurer que l’usage des technologies de l’information et de la communication ne porte pas atteinte aux libertés publiques ou ne comportent pas de menace à la vie privée des citoyens au Niger. Cette institution devient opérationnelle en 2020.

A travers la création de cette institution, le Niger veut également se conformer aux exigences de l’article 8 de la Convention de l’union africaine (UA) sur la cyber-sécurité et la protection des données personnelles, qui demandait aux Etats de confier la mission du contrôle du respect de la loi relative à la protection des données à caractère personnel à une autorité administrative indépendante.

En tant que régulateur du traitement des données personnelles au Niger, la HAPDP fait surtout de la prévention avec une implication responsable du régulé que de la répression qui reste l’apanage des juridictions.

L’institutionnalisation d’une autorité en charge de réguler le traitement des données Personnelles n’entame en rien les compétences des juridictions classiques, explique la présidente de l’institution à l’ANP.

« Pour le cas concret de la HAPDP, elle se dessaisit au profit des juridictions répressives dès lors que le fait en cause constitue une infraction à la loi pénale au regard des textes spécifiques en matière de protection des données personnelles tout comme au regard des textes généraux en matière de protection de la vie privée », clarifie Mme Sanady Haddatan Tchimaden.

« Sur le plan purement civil, la personne concernée a le choix de saisir directement les juridictions civiles ou l’autorité de protection, de toute action en réparation dirigée contre un responsable de traitement du fait de son action ou son inaction dans le cadre de la gestion de ses données que la structure a eues à collecter », renseigne cette autorité nigérienne.

« Dans toutes les situations possibles, la HAPDP est tenue, lorsqu’elle est requise, d’apporter son assistance technique et de coopérer avec les juridictions qui en font la demande », renseigne la source.

Dans un contexte d’évolution fulgurante de la technologie de l’information et de la communication, situation propice au développement de la cybercriminalité, l’absence ou le déficit de protection des données personnelles peut permettre l’intrusion du responsable de traitement ou même d’autres utilisateurs malveillants dans la vie privée des personnes concernées, notamment par l’atteinte à leurs droits à l'intimité, à la dignité, au droit à l'image et le droit à l'honneur, fait toujours remarquer la présidente de la HADPD.

« Cela suppose dans le concret que les données personnelles sont traitées aux mépris des principes sacrosaints sur lesquels reposent la collecte et le traitement tels qu’édictés par la loi relative à la protection des données à caractère personnel et ses textes complémentaires », explique Mme Sanady.

La Mission de la HADPD, un vrai ‘’travail d’Hercule''

En application des dispositions de la loi relative à la protection des données à caractère personnel, la HAPDP est compétente pour réguler l’activité de collecte et de traitement des données à caractère personnel effectuée aussi bien par les personnes morales de droit public ou de droit privé ainsi que par des personnes physiques.

L’article premier de la loi n° n°2022-59 du 16 décembre 2022, relative à la protection des données à caractère personnel, modifiée par la loi n°2023-31 du 04 juillet 2023, définit ainsi les données personnelles comme « toute information de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification, ou à plusieurs éléments spécifiques propres à son identité physique, psychologique, génétique, psychique, culturelle, sociale ou économique ».

« Il incombe donc au responsable de traitement pour bien assurer la protection des données personnelles, qu’il respecte sept (7) principes qui sont : le principe du consentement et de légitimité, le principe de licéité et de loyauté, le principe de finalité, de pertinence et de conservation, le principe d’exactitude, le principe de transparence, le principe de confidentialité et de sécurité », note la 1ère responsable de l’autorité compétente, pour qui, « toute violation de ces principes expose le responsable du traitement à des sanctions ».

Ainsi aucune entité organisée qui collecte et traite des données personnelles n’échappe au contrôle de la HAPDP. Toutefois le régime d’intervention varie en fonction de la nature du responsable de traitement de l’impact du traitement sur la vie privée des citoyens ; par exemple l’Etat et ses démembrements ne sont pas traités de la même manière que les entreprises privées et les structures associatives, apprend-on de la haute autorité nigérienne.

Selon la HAPDP, une donnée à caractère personnel peut être un nom, un prénom, une empreinte digitale, une photo, un numéro de téléphone etc.

Pour mieux prendre en compte la diversité de données, la HAPDP a pris une délibération relativement à l’exploitation de système de vidéosurveillance, à savoir la délibération n°0058/HAPDP/2021 du 24 décembre 2021, portant sur les conditions de mise en place d’un système de vidéosurveillance.

Pour accomplir sa mission, la HAPDP peut notamment : prendre, sous forme de délibération, des décisions individuelles ou réglementaires ; informer les personnes concernées et les responsables de traitement de leurs droits et obligations ; recevoir les déclarations, les demandes d’avis et les demandes d’autorisation pour la mise en œuvre de traitement de données à caractère personnel, ou de les retirer Elle peut également recevoir les réclamations, les dénonciations et les plaintes relatives à la mise en œuvre des traitements de données à caractère personnel et d’informer les auteurs de la suite donnée à celles-ci ; informer sans délai, l’autorité judiciaire compétente des infractions dont elle a connaissance dans le cadre de ses missions ; procéder par l’intermédiaire des agents assermentés, à des opérations de contrôle portant sur tout traitement et, le cas échéant, d’obtenir des copies de tout document ou support d’information utile à sa mission ou donner un avis motivé sur tout projet ou proposition de loi ou projet de textes règlementaires relatifs au traitement de données à caractère personnel.

La haute autorité peut également répondre aux demandes d’avis des autorités judiciaires sur les éléments soumis à leur appréciation lors des contentieux relatifs à la protection de données à caractère personnel ; prononcer les sanctions administratives et pécuniaires à l’encontre des responsables de traitement en cas de manquements aux dispositions de la loi ou mettre en place les mécanismes de coopération avec les autorités de protection des données à caractère personnel des autres pays.

Pouvoir de sanctions

La HAPDP dispose des pouvoirs larges qui lui permettent d’atteindre les objectifs légaux qui lui sont assignés. C’est ainsi qu’en application des articles 92 ,93 et 94 de la loi, elle peut prononcer à l’encontre du responsable du traitement qui ne respecte pas ses obligations, un avertissement ou une mise en demeure de faire cesser dans un délai raisonnable les manquements constatés ou dénoncés. Si le responsable du traitement ne se conforme pas à la mise en demeure qui lui a été adressée, la HAPDP peut décider du retrait provisoire ou définitif de l’autorisation accordée ou prononcer des sanctions pécuniaires à l’encontre du responsable du traitement. Le montant de la sanction pécuniaire prononcée par la HAPDP est proportionnel à la gravité des manquements commis et aux avantages tirés de ce manquement.

Ces sanctions prononcées par la HAPDP sont appliquées sans préjudice des sanctions pénales susceptibles d’être prononcées par le juge.

Rapport de la HADPD avec la Justice

Selon Sanady Haddatan Tchimaden, son institution ne constitue pas en soi une alternative aux juridictions. Elle offre son expertise pour faciliter le travail de la justice.

« Les juridictions sont les seules institutions compétentes pour connaitre des affaires pénales. A ce titre, comme je l’expliquais plus haut, l’autorité de régulation saisit immédiatement le procureur de la République dès lors que les faits dénoncés devant elle ou dont elle a eu connaissance, constituent un crime ou un délit au regard de la législation en matière de Protection des Données Personnelles », précise-t-elle.

« Aussi la HAPDP, peut être amenée à exécuter une commission rogatoire à elle adressée par une juridiction dans le cadre de l’instruction d’un dossier lorsque l’affaire comporte une question technique relative à la Protection des Données », poursuit-elle.

« Elle peut également veiller à l’exécution d’une peine complémentaire prononcée par une juridiction nationale ou internationale.

Pour le recouvrement contentieux des sommes dues à la HAPDP à l’issue des sanctions, les services de la HAPDP transmettent les dossiers à l’Agence Judiciaire de l’Etat », ajoute l’officielle nigérienne.

« Il faut enfin souligner que les décisions de la HAPDP sont susceptibles de recours pour excès de pouvoir devant le juge de l’excès de pouvoir qu’est le Conseil d’Etat », informe Mme Sanady Haddatan Tchimaden.

Compétences de la haute autorité à l’étranger

« La protection des données personnelles renvoie avant tout à la transposition d’un certain nombre de textes internationaux. A ce titre elle ne saurait se concrétiser seulement au niveau national », affirme la présidente de la HADPD, expliquant « c’est pourquoi, en application des dispositions de la loi, la HAPDP a mis en œuvre des procédures de coopération et d'assistance mutuelle avec les autorités de régulation des autres États et réalise avec elles des opérations conjointes dans des conditions fixées par un accord de coopération ».

« Elle peut ainsi porter assistance à toute personne concernée à la demande d’une autorité de protection d’un autre pays ou d’une autorité de protection instituée dans le cadre d’une organisation internationale », note la première responsable de l’autorité de régulation. Elle renchérit en soulignant que « la HAPDP peut également créer les conditions de coopération avec les autres Autorités exerçant des compétences analogues au niveau régional et international, notamment en matière d’harmonisation des pratiques, de renforcement des capacités et de la promotion de la protection des données à caractère personnel ».

« Enfin elle peut mettre en œuvre toute mesure d’assistance et d’entraide mutuelle avec les autres Autorités de protection de données, notamment en matière de contrôle et des transferts transfrontaliers de données à caractère personnel », conclut-elle.

[Cette interview est réalisée dans le cadre de la bourse de journalisme sur les IPN organisée par la Fondation des Médias pour l’Afrique de l’Ouest et Co-Develop].

MSB/AS/ANP 118 Octobre 2023

Commentaires

Dans le dossier