
La Haute Autorité de Protection des Données à caractère Personnel (HAPDP) a été créée en 2017 suivant la loi n°2017-28 du 03 mai 2017, relative à la protection des données à caractère personnel, modifiée par la loi n°2019-71 du 24 décembre 2019.
Les textes ci-dessus ont été abrogés par la loi n°2022-59 du 16 décembre 2022, modifiée par la loi n°2023-31 du 04 juillet 2023 et les ordonnances 2024-16 du 26 avril 2024 et 2024-29 du 24 juin 2024, pour tenir compte de l’évolution fulgurante de la technologie et rendre le dispositif nigérien conforme aux standards internationaux.
Historiquement, l’institutionnalisation d’une autorité de protection des Données Personnelles découle d’une part du souci de veiller à ce que l’usage des technologies de l’information et de la communication ne porte pas atteinte aux libertés publiques ou ne comporte pas de menace à la vie privée des citoyens ; d’autre part de se conformer aux exigences de l’article 8 de la Convention de l’UA sur la cyber sécurité et la protection des Données Personnelles, qui demandait aux Etats de confier la mission du contrôle du respect de la loi relative à la protection des données à caractère personnel à une autorité administrative indépendante.
Depuis lors, l’activité de collecte et de traitement des données à caractère personnel effectuée au Niger, aussi bien par les personnes morales de droit public ou de droit privé que par les personnes physiques, est soumise à une législation stricte. Toutefois, le régime d’intervention varie en fonction du statut du responsable de traitement et de l’impact du traitement sur la vie privée des citoyens. Par exemple l’Etat et ses démembrements ne sont pas soumis au même régime (demande d’avis) que les entreprises privées et les structures associatives (demande d’autorisation).
Il incombe donc au responsable de traitement pour bien assurer la protection des données personnelles, qu’il respecte au moins sept (7) principes clés énumérés dans la loi. Ces principes sont : le principe du consentement et de légitimité, le principe de licéité et de loyauté, le principe de finalité, de pertinence, le principe de conservation, le principe d’exactitude, le principe de transparence, le principe de confidentialité et de sécurité.
Toute violation de ces normes expose le responsable du traitement aux sanctions administratives, civiles ou pénales prévues aux articles 92 à 106 de la loi.
L’article premier de la loi n°2022-59 du 16 décembre 2022, relative à la protection des données à caractère personnel précitée, définit ainsi une donnée personnelle comme « toute information de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification, ou à plusieurs éléments spécifiques propres à son identité physique, psychologique, génétique, psychique, culturelle, sociale ou économique ».
Concrètement une donnée personnelle peut être un nom, un prénom, une empreinte digitale, une photo, un numéro de téléphone etc.
Conformément à l’article 15 de la même loi, la HAPDP exerce ses missions en veillant à ce que le traitement et l’usage des données à caractère personnel ne portent pas atteinte aux libertés publiques ou ne comportent pas de menace à la vie privée des citoyens, en particulier dans l’utilisation des technologies de l’information et de la communication.
Pour accomplir cette mission, la HAPDP peut notamment :
– prendre, sous forme de délibération, des décisions individuelles ou réglementaires ;
– informer les personnes concernées et les responsables de traitement de leurs droits et obligations ;
– recevoir les déclarations, les demandes d’avis et les demandes d’autorisation pour la mise en œuvre de traitement de données à caractère personnel, ou de les retirer;
– recevoir les réclamations, les dénonciations et les plaintes relatives à la mise en œuvre des traitements de données à caractère personnel et d’informer les auteurs de la suite donnée à celles-ci ;
– informer sans délai, l’autorité judiciaire compétente des infractions dont elle a connaissance dans le cadre de ses missions ;
– procéder par l’intermédiaire des agents assermentés, à des opérations de contrôle portant sur tout traitement et, le cas échéant, d’obtenir des copies de tout document ou support d’information utile à sa mission ;
– donner un avis motivé sur tout projet ou proposition de loi ou projet de textes règlementaires relatifs au traitement de données à caractère personnel ;
– répondre aux demandes d’avis des autorités judiciaires sur les éléments soumis à leur appréciation lors des contentieux relatifs à la protection de données à caractère personnel ;
– prononcer les sanctions administratives et pécuniaires à l’encontre des responsables de traitement en cas de manquements aux dispositions de la loi ;
– mettre en place les mécanismes de coopération avec les autorités de protection des données à caractère personnel des autres pays.
Sur le plan opérationnel, les membres de la HAPDP qui sont au nombre de dix (10), choisis en raison de leur compétence juridique et/ou technique, se réunissent tous les deux (2) mois en session ordinaire et autant que de besoin en sessions extraordinaires. Ils sont appuyés par une équipe technique et administrative qui est également chargée de l’exécution des décisions. Parmi les membres, le Président seul, exerce ses fonctions à titre permanent.
La Plénière de la HAPDP délibère sur les demandes d’autorisations de traitement et transfert et prononce les sanctions en cas de manquement à la législation. Elle adopte aussi des délibérations de portée générale pour certains traitements spécifiques. Les traitements soumis à déclarations ne passent pas devant la session plénière des membres. Les décisions de la HAPDP sont susceptibles de recours devant le Conseil d’Etat.
Depuis son installation en 2020, la HAPDP a mis l’accent sur les actions de sensibilisation des personnes assujetties à la législation sur la protection des données personnelles notamment sur leurs droits et devoirs. Cela a permis à plusieurs responsables de traitement de se conformer à la loi en introduisant des demandes d’autorisation de traitement et de transfert des données personnelles ainsi que des déclarations et demandes d’avis.
Ce résultat a eu un impact positif certain quant au respect des droits et libertés des citoyens ainsi que sur la garantie d’un climat sûr dans les transactions économiques.
A ce niveau, il faut d’ailleurs rappeler que c’est des efforts énormes qui ont été déployés pour épargner les citoyens des risques de traitement malveillants et non sécurisés.
En ce qui concerne les plaintes et dénonciations que peuvent formuler les personnes concernées, la HAPDP en enregistre très peu. Cette léthargie est due surtout à la jeunesse de l’institution, à la méconnaissance des enjeux liés à la protection de leurs données personnelles par les personnes concernées et au déficit d’une culture de la plainte dans nos sociétés surtout en ce qui concerne les questions strictement personnelles.
En dépit, avec les séances de formations et de sensibilisations menées par la structure à l’endroit du grand public au cours de ces trois dernières années, quelques personnes concernées ont pu saisir l’autorité pour violation de la loi.
C’est ainsi que la HAPDP a reçu un certain nombre de plaintes qui ont trait au manque d’information sur l’objet de la collecte, au traitement sans consentement des données, au chantage pour divulgation des images et vidéos sur les réseaux sociaux contre paiement d’argent, au non-respect du délai de conservation des données personnelles.
Les plaintes relevant du droit commun, qui sont de loin les plus nombreuses, sont transférées à la brigade de lutte contre la cyber criminalité logée à la police judiciaire pour compétence et attribution.
Par ailleurs, pour réussir au mieux cette mission devenue aujourd’hui un critère de bonne gouvernance sur le plan international, la HAPDP a élaboré un plan stratégique 2021-2025 qui a été révisé en 2022 afin de tenir compte de l’étude sur l’état des lieux du dispositif législatif et institutionnel de la protection des données à caractère personnel au Niger. Ce document prévoit un ensemble d’actions de vulgarisation de la loi à l’endroit de certaines couches socioprofessionnelles comme les maires et les conseillers locaux, les acteurs judiciaires et les leadeurs d’opinion, les FDS, les scolaires et étudiants…
Dans le cadre de la mise en œuvre de ce plan stratégique, la HAPDP a justement bénéficié de plusieurs appuis de partenaires dont le Projet d’Identification Unique pour l’Intégration Régionale et l’Inclusion en Afrique de l’Ouest (WURI-Niger), financé par la Banque mondiale.
A travers le Projet WURI, la Banque Mondiale se propose d’appuyer les pays de la sous-région pour se doter de systèmes d’identification robustes et sécurisés des personnes, à travers des plateformes d’échange et de partage de données biographiques et biométriques. Le système qui sera mis en place par WURI attribuera un numéro d’identification unique (NIU) et des justificatifs d’identité aux personnes enregistrées, contribuant en cela à augmenter le nombre de personnes ayant une preuve d’identité juridique reconnue tout en leur facilitant l’accès aux services offerts par les prestataires publics et privés à travers le territoire et dans la sous-région.
Le projet a pour objectif global d’augmenter le nombre de personnes qui sont détentrices d’une preuve d’identité unique, reconnue par le gouvernement et qui facilite l’accès aux services sociaux. Il sera mis en œuvre à travers trois (3) composantes, à savoir :
Renforcer le cadre juridique et institutionnel,
Mettre en place des systèmes d’identification robustes et inclusifs,
Faciliter l’accès aux prestations de services publics et privés grâce à des justificatifs.
C’est ainsi que pour mieux renforcer le cadre légal en matière de protection des données à caractère personnel au Niger, condition sine qua non pour la réussite de l’identification unique des personnes, la HAPDP en partenariat avec le projet WURI a organisé une série de formations dans les huit chefs-lieux des régions du 29 juillet au 24 août 2024.
Cette session de formation a concerné les administrateurs délégués, certains agents de l’état civil des communes, des greffiers et des leaders d’opinion.
L’objectif Général est de contribuer au renforcement du cadre légal en matière de protection des données personnelles des populations lors du processus d’identification unique des personnes.
Le choix des participants n’était pas fortuit car, les administrateurs délégués, désormais premiers responsables des différentes collectivités territoriales font partie de la catégorie des acteurs de protection des données à caractère personnel devant bénéficier de l’intervention du projet. Les administrateurs délégués dans leur ensemble demeurent en effet les premiers responsables de traitement du fait de la collecte des données opérée au niveau des collectivités locales. Ils dressent les listes électorales et gèrent l’état civil de leurs administrés ainsi que les données matrimoniales et sanitaires.
En outre, les responsables administratifs tout comme la population locale, sont comptés parmi les personnes concernées. Chacun d’eux fait en effet l’objet de collecte de ses données lors des actions menées notamment par les ONG et les Projets de développement dans le cadre de leurs activités.
C’est le cas justement du Projet WURI qui se charge de l’inclusion financière des populations à travers l’acquisition d’un identifiant unique qui est une donnée personnelle par excellence.
C’est pourquoi, conscient de l’importance de la protection des Données Personnelles dans le cadre du processus d’attribution d’un identifiant unique pour chaque citoyen, le Ministère de l’intérieur, tutelle du Projet a, conformément aux dispositions de l’article 33 de la loi relative à la Protection des Données Personnelles au Niger, sollicité l’avis de la HAPDP pour mieux apprécier l’impact du Processus sr les droits des personnes.
La formation des administrateurs délégués, des autres agents des collectivités territoriales et des juridictions est de ce fait d’une importance capitale pour la HAPDP en ce qu’elle permet de préparer cette cible pour assurer une meilleure protection des données à l’occasion du processus d’identification initié par l’Etat du Niger à travers le projet WURI.
Seyni Gado Moussa, secrétaire général HAPDP