Entretien avec le président de la Haute Autorité de Protection des Données à caractère personnel (HAPDP)

Partager vers les réseaux

Monsieur le Président pouvez-vous nous rappeler les missions et l’organisation de la Haute Autorité de Protection des Données à caractère personnel (HAPDP) ?

La Haute Autorité de Protection des Données à caractère personnel (HAPDP) a été créée en 2017 suivant la loi n°2017-28 du 03 mai 2017, relative à la protection des données à caractère personnel, modifiée par la loi n°2019-71 du 24 décembre 2019.

L’arsenal juridique que j’évoquais tantôt ont été abrogées et remplacés par la loi n°2022-59 du 16 décembre 2022 et ses textes modificatifs subséquents, pour tenir compte de l’évolution fulgurante des technologies numériques et rendre notre dispositif conforme aux standards internationaux. La législation sur la Protection des Données Personnelles intègre aussi d’autres textes comme la loi sur la lutte contre la cybercriminalité et la loi sur l’état civil pour citer que ceux-là.

Permettez-moi également de rappeler ce que c’est qu’une donnée à caractère personnel. C’est toute information numérisée ou non qui permet de manière directe ou indirecte ou encore par recoupement de d’identifier une personne physique ; Ça peut être un nom, un prénom, une photo, un numéro, un mot de passe, une adresse, un numéro de téléphone, une signature, l’ADN ou le groupe sanguin, ou tout autre identifiant.

L’institutionnalisation de la HAPDP comme structure en charge la protection des données au Niger, découle du souci des autorités de se conformer aux exigences de l’article 8 de la Convention de l’Union Africaine sur la cybersécurité et la protection des données personnelles, régulièrement ratifiée par le Niger le 23 mai 2022. Cet instrument demandait en effet aux Etats de confier la mission du contrôle du respect de la loi relative à la protection des données à caractère personnel, à une autorité administrative indépendante.

Pour revenir sur les missions, conformément à l’article 15 de la loi, la HAPDP exerce ses missions en veillant à ce que le traitement et l’usage des Données à caractère Personnel ne portent pas atteinte aux libertés publiques ou ne comportent pas de menace à la vie privée des citoyens, en particulier dans l’utilisation des technologies de l’information et de la communication.

L’accomplissement de cette noble tâche, peut amener la HAPDP à entreprendre plusieurs actions ou démarches à l’endroit des acteurs clés que sont l’Etat, les responsables de traitement et les personnes concernées. Il s’agit notamment de :

prendre, sous forme de délibération, des décisions individuelles ou réglementaires ;
informer les personnes concernées et les responsables de traitement de leurs droits et obligations ;
recevoir les déclarations, les demandes d’avis et les demandes d’autorisation pour la mise en œuvre de traitement de données à caractère personnel, ou de les retirer;
recevoir les réclamations, les dénonciations et les plaintes relatives à la mise en œuvre des traitements de données à caractère personnel et d’informer les auteurs de la suite donnée à celles-ci ;
informer sans délai, l’autorité judiciaire compétente des infractions dont elle a connaissance dans le cadre de ses missions ;
procéder par l’intermédiaire des agents assermentés, à des opérations de contrôle portant sur tout traitement et, le cas échéant, d’obtenir des copies de tout document ou support d’information utile à sa mission ;
donner un avis motivé sur tout projet ou proposition de loi ou projet de textes réglementaires relatifs au traitement de données à caractère personnel ;
répondre aux demandes d’avis des autorités judiciaires sur les éléments soumis à leur appréciation lors des contentieux relatifs à la protection de données à caractère personnel ;
prononcer les sanctions administratives et pécuniaires à l’encontre des responsables de traitement en cas de manquements aux dispositions de la loi ;
mettre en place les mécanismes de coopération avec les autorités de protection des données à caractère personnel des autres pays.

Sur le plan organisationnel, la HAPDP a deux organes essentiels, à savoir la Pléniere des membres et l’Administration Exécutive/ Les membres de la HAPDP qui sont au nombre de dix (10), choisis, en raison de leur compétence juridique et/ou technique, se réunissent tous les deux (2) mois en session ordinaire et autant que de besoin en sessions extraordinaires. Ils proviennent de divers horizons en tenant compte de la pluralité des acteurs qui interviennent dans l’écosystème du numérique. C’est ainsi que la Présidence de la République compte deux représentants, la primature un, la Cour d’Etat un, le Ministère en charge des TIC un, l’ANSI un, le barreau un, l’ordre des médecins un, le Patronat un et la société civile un membre. Un commissaire du gouvernement siège aussi mais sans voix délibérative.

Ces membres sont appuyés par une équipe technique et administrative qui est également chargée de l’exécution des décisions. Parmi les membres, le Président seul, exerce ses fonctions à titre permanent.

La Plénière de la HAPDP délibère sur les demandes d’autorisations de traitement et transfert et prononce les sanctions en cas de manquement à la législation. Elle adopte aussi des délibérations de portée générale pour certains traitements spécifiques. Mais il faut préciser que les traitements soumis à déclarations ne passent pas devant la session plénière des membres. Les décisions de la HAPDP sont des actes administratifs, susceptibles de recours devant le Conseil d’Etat.

Quelles sont les actions entreprises par la HAPDP depuis votre prise de fonction dans le conteste de Refondation de notre pays ?

Depuis notre prise de service intervenu en septembre le 18 2024, nous avons entrepris plusieurs actions conformément au plan stratégique de la HAPDP et aux nouvelles orientations politiques de notre pays en cette ère de refondation et de quête de notre souveraineté sur tous les plans.

Ces actions peuvent être répertoriées sur trois axes :

Le renforcement de capacité et la sensibilisation

Dans ce domaine, nous avons mené plusieurs activités compte tenu du fait qu’il s’agit là du point névralgique de notre mission/ Nous pouvons citer entre autres activités :

l’organisation d’une mission de vulgarisation de la loi sur la Protection des Données Personnelles à l’endroit des Administrateurs Délégués, des membres des commissions consultatives locales et autres leaders d’opinion pour la région de Niamey ;
la célébration de la journée internationale de protection des Données Personnelles à l’Université de Maradi avec des conférences sur la problématique de Protection des Données Personnelles ;
organisation d’un atelier de formation de formateurs dans le cadre de la chaîne de formation numérique citoyenne pour les jeunes et par les jeunes ;
organisation d’un atelier de validation du rapport sur les modalités d’opérationnalisation de la formation de certification des correspondants à la Protection des Données Personnelles ;
organisation de trois débats télévisés dénommés « Ateliers Numériques de la HAPDP » sur la cybersécurité et l’intelligence artificielle, l’identité numérique et l’Administration électronique ;
Elaboration d’une vidéo de sensibilisation sur la Protection des Données Personnelles en français et en langues nationales ;
formation du personnel de deux (2) grandes ONG nationales : ONG ADKOUL de Tahoua et ONG ADD-Fassali de Zinder en protection des données à caractère personnel ;
Elaboration d’un manuel de procédures administratives, comptables, financières et techniques pour la HAPDP ;
Participation à des réunions inter-réseaux de protection des données personnelles ;
Participation à des colloques internationaux sur la Protection des Données Personnel;
La conformité et contrôlé des responsables de traitement

Les actions entrant dans le cadre de l’accompagnement des responsables de traitement, c’est à dire les personnes physiques ou morales qui collectent et traitent les données personnelles, sont multiplies. Ainsi outres les appuis conseils à leur égard, qui sont des activités au quotidien, nous avons reçu et traité dans le cadre de la délivrance des actes de conformité 139, dossiers toutes catégories confondues (déclarations traitements de données, déclarations Système de Vidéo Surveillance, Autorisations de traitement, Autorisations de transfert).

Par ailleurs, quatre missions de contrôle ont été organisées en 2025. Ces missions ont concerné les opérateurs de téléphonie mobile compte tenu de l’impact réel que leur traitement exerce sur la vie privée des citoyens.

Partenariat et coopération Internationale

Un des piliers majeurs de la Protection des Données Personnelles est certainement le partenariat avec les structures de l’écosystème du numérique et la coopération internationale.

C’est fort de cette spécificité que nous avons capitalisé plusieurs réalisations dans ce domaine. Nous pouvons énumérer entre autres :

La création d’un cadre de concertation entre la HAPDP et les autorités sœurs du Burkina et du Mali dans le cadre de l’AES. Il faut d’ailleurs noter sur ce point que, la HAPDP était l’initiatrice de cet accord et à ce titre, elle avait été mandatée par ses pairs pour présenter un projet de textes sur la réglementation de l’intelligence artificielle ;
Au niveau du Réseau Africain des Autorités de Protection des Données Personnelles (RAPDP); la HAPDP assure la présidence jusqu’en 2026. Elle préside les réunions du bureau mensuels en virtuel ou en présentiel et les assemblées générales annuelles ;
Au niveau du Réseau des Autorités de Protection des Données Personnelles du monde musulman, la HAPDP a parachevé le processus de son adhésion ;

En ce qui concerne le partenariat avec les structures au niveau national, il s’est beaucoup enrichi depuis que nous avons pris les rênes de cette institution. Ainsi, outre les partenariats déjà existants, nous avons initié plusieurs autres. Il s’agit de :

La création d’un cadre de concertation des structures en charge de la régulation du Numérique dont l’objectif est de discuter sur des problématiques peu ou pas prises en charge (transfert d’argent, datacenter national, technologies émergentes) ;

Instauration d’une synergie d’action entre la HAPDP, le Ministère de la Communication et des Nouvelles technologies de l’Information, l’Autorité de Régulation des Communications Électroniques et de la Poste (ARCEP) et l’Agence Nationale pour la Société de l’Information (ANSI) dans le cadre de l’élaboration d’une stratégie nationale en matière d’intelligence artificielle et d’une loi dans ce domaine ;

La redynamisation des conventions de partenariat entre la HAPDP, l’ESCEP et l’Université de Dosso à travers l’accueil en stage de leurs étudiants et l’institution d’une formation de certification des Délégués à la Protection des Données Personnelles (DPO) ;

Initiation d’une chaine de la formation en hygiène numérique des jeunes par les jeunes en partenariat avec le Conseil National de Jeunesse (CNJ).

Compte tenu du fait que les données à caractère personnel circulent plus que les hommes, pouvez-vous nous parler des activités de coopération avec les autres instances régionales et internationales dans le domaine de la Protection des Données Personnelles ?

La protection des données personnelles repose sur la transposition d’un certain nombre de textes internationaux. A ce titre elle ne saurait se concrétiser seulement au niveau national.

C’est pourquoi, en application des dispositions de la loi, la HAPDP a mis en œuvre des procédures de coopération et d’assistance mutuelle avec les autorités de régulation des autres États et réalise avec elles des opérations conjointes dans des conditions fixées par des accords de coopération.

Ainsi nous sommes membres de plusieurs réseaux qui regroupent des autorités nationales de protection des données personnelles tant au plan sous régional, régional et international. La HAPDP président d’ailleurs le Réseau Africain des Autorités de Protection des Données personnelles et prend part activement aux différents groupes de travail au sein des autres organisations comme le Global Privacy assembly (GPA).

Dans le cadre de la mise en œuvre de cette coopération, la HAPDP peut ainsi porter assistance à toute personne concernée à la demande d’une autorité de protection d’un autre pays.

La HAPDP peut également créer les conditions de coopération avec les autres Autorités exerçant des compétences analogues au niveau régional et international, notamment en matière d’harmonisation des pratiques, de renforcement des capacités et de la promotion de la Protection des Données à caractère Personnel. C’est justement à cela que nous nous attelons avec les autorités de Protection du Burkina et du Mali dans le cadre de l’AES afin de préserver notre souveraineté, y compris en matière de régulation des Données Personnelles de nos concitoyens.

Enfin elle peut mettre en œuvre toute mesure d’assistance et d’entraide mutuelle avec les autres Autorités de protection de données, notamment en matière de contrôle et des transferts transfrontaliers de Données à caractère Personnel.

Quelles sont les difficultés que rencontre cette institution et qu’est ce qu’elle envisage en termes de perspectives ?

Les difficultés que rencontre la HAPDP sont de plusieurs ordres et sont inhérentes à la spécificité de sa mission et à la relative jeunesse de l’institution. Nous pouvons néanmoins énumérer les difficultés les plus criardes.

Il s’agit d’abord de l’insuffisance des ressources humaines ; la HAPDP ne dispose pas encore d’un personnel propre surtout que sur ce plan vous n’êtes pas sans savoir que les ressources humaines en qualité et en quantité sont essentielles à la mission de la HAPDP qui je le rappelle consiste à réguler le traitement des données personnelles effectué par les personnes physiques et morales, qu’elles soient publiques ou privées.

Il y a aussi les ressources financières disponibles qui sont loin de couvrir les besoins d’une bonne régulation. Je dois préciser que la HAPDP bénéficie d’une subvention de l’Etat mais qui à l’épreuve des faits ne permet pas à l’institution de dérouler pleinement ses activités.

En termes de perspectives, nous ambitionnons de faire de la HAPDP une autorité de régulation de référence en matière de protection des données personnelles.

Pour ce faire nous envisageons de :

Elaborer un nouveau plan stratégique 2026-2030 ;
Actualiser les outils de régulation de la protection des données à caractère personnel ;
Poursuivre le renforcement des capacités des membres et du personnel ;
Réguler la Protection des données à caractère personnel dans l’utilisation des technologies émergentes notamment dans l’utilisation de l’intelligence artificielle ;
Elaborer un projet de loi-type sur l’intelligence artificielle et la protection des données Personnelles dans le cadre de l’Alliance des États du Sahel ;
Renforcer du leadership et de la diplomatie de la HAPDP ;
Signer des accords en matière protection des données à caractère personnel avec les GAMMA ;
Continuer les actions de sensibilisation et de formations des acteurs ;
Élargir la base des responsables de traitement à contrôler conformément à la loi ;
Compléter le dispositif réglementaire par des lignes directrices prévues par la loi pour renforcer la protection des données personnelles sur les plates-formes numériques ;
Renforcer la coopération avec les acteurs internes et au niveau international ;
Renforcer la visibilité de l’institution.