Mme Sanady Tchimaden Hadatan, présidente de la Haute Autorité de la Protection des Données à caractère Personnel (HAPDP) : « La HAPDP veille à ce que le traitement et l'usage des données à caractère personnel ne portent pas atteinte aux libertés publique

Madame la présidente, pouvez-vous nous présenter votre Institution ?

Je voudrais très sincèrement remercier l’ONEP en général et Le Sahel Dimanche en particulier pour l’opportunité, qu’ils m’offrent de parler de la Haute Autorité de Protection des Données à Caractère Personnel, en abrégé HAPDP, une Institution qui est pour l’instant à un stade embryonnaire et s’efforce de se faire connaitre du grand public. Avant de répondre à votre question, permettez-moi d’exposer brièvement les raisons qui ont conduit le Gouvernement de la République du Niger à mettre en place une Institution de protection des données à caractère personnel. Il faut tout d’abord admettre qu’avec la révolution numérique, la collecte et le traitement des données personnelles conditionnent dorénavant aussi bien nos modes de vie que nos systèmes de gouvernance. En effet, au-delà des avantages que nous offrent les Technologies de l’Information et de la Communication (TIC), nous sommes versés dans un mécanisme irréversible d’interdépendance et de transparence qui met en danger notre vie privée et par voie de conséquence notre liberté, notre sécurité et même la sécurité nationale. L’essor des TIC avec comme corollaire l’avènement des données massives, ‘‘Big data’’, et des données ouvertes ‘‘Open data’’ a fini de transformer la personne humaine en un faisceau de données interconnectées vivant sous le regard souvent indifférent des organisations privées comme publiques, qui collectent et traitent des informations de toutes sortes la concernant. Cette situation est plus que préoccupante dans les sociétés africaines où la culture de la vie privée est souvent diluée et où la souveraineté sur les données numériques demeure encore très problématique ; notre pays n’est    vraiment pas en reste. C’est pourquoi, le gouvernement, conscient que le développement de la société de l’information crée de nos jours des défis en matière de protection des données personnelles des citoyens, a saisi toute l’importance que revêt la mise en place d’un cadre normatif et institutionnel adéquat de protection de ces données à travers la Loi n° 2017-28 du 03 mai 2017, relative à la protection des données à caractère personnel, modifiée et complétée par la loi n°2019-71 du 24 décembre 2019 et son Décret d’application n°2020-309/PRN/MJ du 30 avril 2020. Ce nouveau dispositif juridique et institutionnel a permis la création et l’opérationnalisation de la HAPDP dans la plus grande célérité. La HAPDP, convient-il de le préciser, est une autorité administrative indépendante chargée de veiller à ce que les traitements des données à caractère personnel soient mis en œuvre conformément aux dispositions des textes en vigueur et des conventions internationales auxquelles le Niger a adhéré. Elle est dotée de la personnalité morale et de l'autonomie financière. Son siège est fixé à Niamey. La HAPDP est composée de neuf (09) membres choisis en raison de leur compétence juridique et/ou technique. Les membres de la HAPDP sont nommés par décret pris en Conseil des Ministres, pour un mandat de cinq (05) ans renouvelable une fois, dans les mêmes conditions. La HAPDP est dirigée par un président nommé par le Président de la République parmi les membres. Il est secondé par un vice-président élu par ces pairs. Par ailleurs, un Commissaire du Gouvernement siège auprès de la HAPDP. A l’exception du président, les membres de la HAPD n’exercent pas leur fonction à titre permanent. En plus de ces membres, la HAPDP compte un Secrétaire Général et des collaborateurs répartis dans différentes directions techniques.

La HAPDP veille à ce que le traitement et l'usage des données à caractère personnel ne portent pas atteinte aux libertés publiques ou ne comportent pas de menace à la vie privée des citoyens, en particulier dans l'utilisation des technologies de l'information et de la communication. A ce titre, la HAPDP est chargée d’importantes missions de sensibilisation et information, de protection, de veille juridique et technologique,  de conseil et proposition, de contrôle de conformité et de sanction. Il convient surtout de noter que la HAPDP délivre des récépissés pour les déclarations de fichiers qui lui sont adressées, et dispose d’un pouvoir d’autorisation pour les traitements qui  présentent un caractère sensible en raison de leur finalité ou de la nature des données traitées. Elle instruit les plaintes, réclamations et demandes d’avis. Enfin, elle dispose d’un pouvoir de contrôle qui permet à ses membres et ses agents d’accéder à tous les locaux professionnels. Les membres et agents peuvent demander la communication de tout document nécessaire et en prendre copie, recueillir tout renseignement utile et accéder aux programmes informatiques et aux données.

Comment peut-on définir les données personnelles, selon la loi ?

Selon la définition légale, une donnée personnelle est « toute information de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, relative à une personne physique identifiée ou identifiable directement ou indirectement, par référence à un numéro d’identification ou à plusieurs éléments spécifiques, propres à son identité physique, physiologique, génétique, psychique, culturelle, sociale ou économique ». Concrètement, un nom, une date de naissance, une adresse, un numéro de téléphone, un numéro de carte d’identité, des informations sur votre santé, une photographie, des empreintes mais également une immatriculation, données GPS, avatar, adresse IP sont autant de données personnelles. Si, prises isolément, elles ne permettent pas nécessairement l’identification de la personne, le croisement ou la combinaison de plusieurs de ces données, entre elles y suffisent (par exemple, le croisement d’une adresse IP avec votre nom). Certaines dites données sensibles, comme les données relatives aux opinions ou activités religieuses, philosophiques, politiques, syndicales, à la vie et à l’orientation sexuelle ou raciale, à la santé, aux mesures d’ordre social, aux poursuites, aux sanctions pénales ou administratives, bénéficient d’une protection accrue. Par conséquent, tous les traitements comportant ces données doivent faire l’objet d’une autorisation préalable de la HAPDP. Au-delà de tout ce que je viens de citer, il y a lieu de noter également que les ordinateurs produisent des données permettant d’identifier une personne, notamment l’historique de sa présence sur Internet et l’exploitation des informations collectées à partir des objets connectés. La notion des données personnelles varie donc et dépend de l’évolution technologique.

Dites-nous quand est-ce qu’on peut parler de la protection des données à caractère personnel ?

Vous savez, les informations que les personnes physiques, l’État, les collectivités locales, les personnes morales de droit public ou de droit privé traitent, collectent et conservent, au cours de l’exercice de leurs activités, doivent être protégées car elles relèvent de la vie privée. Leur divulgation est susceptible de porter atteinte aux droits et libertés des personnes concernées. La protection des données personnelles fait donc référence à la mise en place de pratiques, de garanties et de règles juridiquement contraignantes en vue de protéger les données personnelles. Que ce soit la collecte ou l’enregistrement des données, en passant par leur exploitation jusqu’à la transmission de ces données à des tiers ; à chaque instant, les risques pour les personnes concernées sont réels. C’est pourquoi, tout traitement automatisé ou non de données contenues ou appelées à figurer dans un fichier est soumis à la loi relative à la protection des données à caractère personnel et ses textes d’application. La notion de traitement est définie de manière large, comme « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés ou non, et appliquées à des données, telles que la collecte, l’exploitation, l’enregistrement, l’organisation, la conservation, l’adaptation, la modification, l’extraction, la sauvegarde, la copie, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage, l’effacement ou la destruction de données à caractère personnel». Ainsi, les personnes concernées doivent, sauf exception, donner leur consentement au traitement de leurs données ou pouvoir le retirer à tout moment. Le consentement doit être donné de façon non équivoque, libre et spécifique. En outre, les données personnelles doivent être traitées de manière licite, loyale et transparente et collectées pour des finalités déterminées, explicites et légitimes. Elles doivent être adéquates, pertinentes et limitées aux finalités du traitement, être exactes et, si nécessaire, tenues à jour. Elles doivent enfin être conservées de façon réduite dans le temps et dans des conditions de « sécurité appropriée ». Le responsable du traitement, c’est-à-dire la personne ou l’organisme qui décide de la mise en œuvre d’un traitement et qui en détermine la finalité et les moyens, doit respecter ces principes, sous le contrôle de la HAPD. Tous ces principes ont pour finalité ultime et commune d’assurer la protection des données personnelles. S’ajoute à cela le fait que lors de la mise en œuvre d’une collecte de données à caractère personnel, il est fait obligation à l’organisme collectant des données d’informer de façon claire, simple et facilement accessible les personnes concernées par cette collecte. Ces mentions d’information permettent aux personnes concernées de comprendre la raison et les finalités de la collecte tout en leur permettant d’exercer les droits spécifiques suivants : le droit d’accès à leurs informations personnelles pour s’assurer de l’intégrité de ses données et la sécurité de leurs utilisations, le droit de rectification, le droit d’opposition et le droit à l’effacement.

 Quelles sont les sanctions qu’encourt une personne en cas de violation des données personnelles ? 

La loi sur la protection des données à caractère personnel prévoit des sanctions administratives, pécuniaires et pénales à l’encontre des responsables de traitement.

Ces sanctions sont hiérarchisées et sont plus lourdes les unes que les autres.

Ainsi, la HAPDP peut infliger des sanctions administratives et pécuniaires sans préjudice des sanctions pénales au responsable de traitement des données à caractère personnel n’ayant pas respecté les textes en vigueur relativement à la protection de ces données. Ces sanctions peuvent aller de l’avertissement au retrait définitif de l’autorisation, en passant par la mise en demeure de cesser les manquements observés dans les délais précisés par l’autorité de protection, l’interruption de la mise en œuvre du traitement, le verrouillage de certaines données à caractère personnel traitées, l’interdiction temporaire ou définitive d’un traitement contraire aux textes en vigueur, le retrait provisoire de l’autorisation accordée. Quant aux sanctions pécuniaires, leur montant est proportionnel à la gravité des manquements commis et aux avantages tirés de ce manquement. Le montant de cette sanction ne peut excéder la somme de cent millions (100.000.000) de francs CFA. En cas de réitération ou de récidive, ce montant ne peut excéder deux cent millions (200.000.000) de francs CFA, ou s’agissant d’une entreprise, il ne peut excéder 5% de son chiffre d’affaires, hors taxe, du dernier exercice clos dans la limite de cinq cent millions (500.000.000). Avant de conclure mes propos, je dois souligner que la HAPDP est suffisamment outillée pour accomplir sa mission. Cependant, pour la bonne conduite des activités de cette nouvelle Institution, la collaboration avec les citoyens est nécessaire. A cet égard, il est important que chaque citoyen soit conscient de ses droits sur les données et qu’il ne doit pas hésiter à les exercer auprès des responsables de traitement. D’ailleurs dans cette perspective, que nous allons lancer, très bientôt, notre site web (www.hapdp.ne) qui sera un véritable carrefour pour tous les acteurs intervenant dans la régulation des données à caractère personnel. Je profite de cette heureuse coïncidence pour inviter l’ensemble des Nigériens à visiter ce site et nous faire des remarques et suggestions, tant sur son contenu que sur notre dispositif opérationnel.

Réalisée par Mahamadou Diallo(onep)

18 septembre 2020

Source : http://www.lesahel.org/