La Haute Autorité de Protection des Données à caractère Personnel (HAPDP) est une autorité administrative indépendante dotée de la personnalité morale et de l’autonomie financière en charge de veiller à la conformité des traitements des données à caractère personnel aux dispositions des textes en vigueur et des conventions internationales auxquelles le Niger a adhéré. Ancienne ministre, inspectrice principale du Trésor, Mme SANADY Tchimaden Hadatan a prêté serment comme Présidente de la Haute Autorité de la protection des données personnelles à la Cour de Cassation en novembre 2019. Dans l’entretien qui suit, elle explique le bien-fondé de la HAPDP et en quoi consiste cette Haute autorité.
Le Républicain : vous êtes présidente de la Haute Autorité de la protection des données personnelles, comment présentez-vous l’institution que vous dirigez ?
Mme SANADY Tchimaden Hadatan : La HAPDP régule le secteur des traitements de données à caractère personnel en veillant à concilier les intérêts a priori contradictoires que sont, d’une part, l’efficacité qu’offre un traitement de données à caractère personnel et, d’autre part, la protection de la vie privée des individus, qui peut être menacée par de tels traitements
Elle a ainsi pour mission de « veiller à ce que le traitement et l’usage des données à caractère personnel ne portent pas atteinte aux libertés publiques ou ne comportent pas de menace à la vie privée des citoyens, en particulier dans l’utilisation des technologies de l’information et de la communication ».
Elle est régie par la Loi n° 2019-71 du 24 décembre 2019 modifiant la loi n° 2017-28 du 03 mai 2017, relative à la protection des données à caractère personnel.
Ses missions conférées par la loi sont larges, et vont du contrôle de la régularité des traitements à la sanction des irrégularités, autant que l’information et le conseil des personnes concernées et des responsables de traitement des données à caractère personnel sur leurs droits et leurs obligations, la mise en place de mécanismes de coopération avec les autorités de traitement de données à caractère personnel d’autres pays et la participation aux négociations internationales en matière de protection de données à caractère personnel.
La Haute Autorité est une instance collégiale, elle est composée de neuf membres nommés par décret pris en Conseil des Ministres pour un mandat de cinq (05) ans renouvelable une fois et choisis en raison de leur compétence juridique et/ou technique.
Avant d’entrée en fonction les membres de la HAPDP prêtent serment devant la Cour Cassation.
La HAPDP est dirigée par un Président nommé parmi ses membres par un décret pris en Conseil des Ministres.
Le président est secondé par un vice- président élu par ses pairs.
A l’exception du Président, les membres de la HAPDP n’exercent pas leur fonction à titre permanent.
Un commissaire du Gouvernement siège auprès de la HAPDP.
Le commissaire du Gouvernement est chargé d’informer la HAPDP sur les orientations du Gouvernement et sur les motivations de l’administration concernant la mise en œuvre des données à caractère personnel.
La HAPDP dispose d’un secrétariat général dirigé par un Secrétaire général.
Le personnel technique chargé de la mission de contrôle de l’application de la loi relative à la protection des données à caractère personnel prête serment devant la Cour d’Appel de Niamey.
Le Républicain : Comment la loi définit-elle les données personnelles?
Mme SANADY Tchimaden Hadatan : L’article premier de la loi n° 2017-28 du 03 mai 2017, relative à la protection des données à caractère personnel définit les données personnelles comme « toute information de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification, ou à plusieurs éléments spécifiques propres à son identité physique, psychologique, génétique , psychologique, génétique, psychique, culturelle, sociale ou économique ».
Ainsi, les données personnelles renvoient à une information ou un ensemble d’informations concernant une personne physique identifiée ou identifiable par le croisement d’éléments intrinsèquement liés à sa personnalité.
Concrètement, une donnée à caractère personnel peut être un nom, un prénom, une date de naissance, un pseudonyme, un numéro de sécurité sociale, une plaque d’immatriculation de véhicule, un numéro de téléphone, une adresse IP, une adresse postale ou courriel, un compte bancaire, ADN, empreintes, un avatar, photos, vidéos, un identifiant de connexion informatique, un enregistrement vocal, etc.
Le Républicain : En quoi consiste la protection des données personnelles?
Mme SANADY Tchimaden Hadatan : A titre liminaire, il importe de rappeler que pour préserver les données à caractère personnel, le responsable du traitement doit, avant et jusqu’à la fin du traitement, respecter sept principes de base stricts et cumulatifs. Il s’agit notamment du principe du consentement et de légitimité, du principe de licéité et de loyauté, du principe de finalité, de pertinence et de conservation, du principe d’exactitude, du principe de transparence, du principe de confidentialité et de sécurité et du principe du choix du traitant. La violation d’un de ces principes est sévèrement sanctionnée.
La HAPDP est dotée de pouvoirs d’action et de contrôle a priori et a posteriori très larges, en ce qui concerne les activités de collecte de traitement des données à caractère personnel tant du secteur privé que du secteur public.
A priori, la haute autorité est chargée de:
-de répondre à toute demande d’avis portant sur un traitement de données à caractère personnel;
-d’élaborer un code de bonne conduite relatif au traitement et à la protection des données à caractère personnel ;
-de recevoir les déclarations et octroyer les autorisations pour la mise en œuvre de traitement de données à caractère personnel, ou de les retirer dans les cas prévus par les textes en vigueur;
-de recevoir les déclarations et les plaintes relatives à la mise en œuvre des traitements de données à caractère personnel et d’informer les auteurs de la suite accordées à celles-ci;
-d’autoriser les transferts frontaliers des données à caractère personnel.
A posteriori, la HAPDP dispose d’un véritable pouvoir de contrôle sur pièces et sur place qui permet à ses agents assermentés de procéder à des vérifications portant sur tout traitement de données à caractère personnel. En cas de manquements dûment constatés, la HAPDP est en droit d’infliger des sanctions administratives ou pécuniaires au responsable du traitement.
Le Républicain : Quelles sont les différentes sanctions en cas de violation des données personnelles ?
Mme SANADY Tchimaden Hadatan : La HAPDP, peut infliger des sanctions administratives et pécuniaires sans préjudice des sanctions pénales au responsable de traitement des données à caractère personnel n’ayant pas respecté les textes en vigueur. Ces sanctions peuvent aller de la mise en demeure de cesser les manquements observés jusqu’à l’interdiction temporaire ou définitive.
Quant aux sanctions pécuniaires, elles sont d’un montant maximal de cent millions (100.000.000.) de francs cfa, pouvant aller jusqu’à cinq cent millions (500.000.000) de francs cfa en cas de récidive.
Interview réalisée par Azahi Souleymane
