Dans un contexte de sensibilisation et de diffusion de la réglementation, cet article explore les débuts de la Haute Autorité de Protection des Données Personnelles (HAPDP), mettant en lumière les obstacles rencontrés, qui pourraient expliquer le délai observé pour le lancement de son premier programme de contrôle. Nous examinons ensuite ce programme pour évaluer s’il représente un véritable virage vers un contrôle effectif ou s’il prolonge la stratégie préventive initiale. Enfin, des suggestions seront formulées pour renforcer l’action de la HAPDP et favoriser la conformité aux normes de protection des données au Niger.
La HAPDP, créée en vertu de la Loi n° 2017-28 du 03 mai 2017 en tant que l’une des autorités de contrôle les plus récentes en Afrique de l’Ouest francophone, a débuté ses activités en 2020, faisant face à des défis majeurs liés à des ressources insuffisantes et à des ajustements constants de son statut. Comparée à ses homologues notamment burkinabè, ivoirienne et sénégalaise, elle demeure l’autorité ayant subi le plus de réformes.
Ces obstacles ont retardé la mise en œuvre de contrôles effectifs pendant plusieurs années et ont également influencé la compréhension de la réglementation par les acteurs contrôlés, appelés responsables de traitement. Dans sa première année d’activité, la HAPDP a adopté une approche stratégique peu engageante en mettant en place des formulaires de traitement de données sans consultation préalable des acteurs contrôlés . Cette démarche a engendré des difficultés, notamment des problèmes de compréhension des textes et des réticences de certains acteurs à payer les frais de délivrance des actes de conformité . À la suite de ces difficultés initiales, les conditions idéales pour des contrôles effectifs n’étaient manifestement pas réunies au cours de ces premières années, d’autant plus que seuls quatre récépissés ont été délivrés entre 2020 et 2021, selon les discours officiels de la HAPDP . Cette situation soulève des interrogations sur les critères employés par l’autorité pour déclarer conforme un responsable de traitement.
En effet, malgré ces chiffres limités, la HAPDP a publié à la fin de l’année 2021 sur son site la liste des responsables de traitement jugés conformes à la loi . Cette initiative soulève des questions sur la proactivité des acteurs contrôlés dans l’adaptation aux normes de protection des données. La publication de cette liste peut être interprétée comme une réaction à la nécessité de rendre compte de l’état de conformité dans le pays, mais elle souligne également la nécessité d’une réadaptation de la stratégie de l’autorité nigérienne. La stratégie, revue et adaptée en cours de 2021 avec le soutien d’organismes partenaires tels que l’Organisation internationale de la francophonie (OIF) , la Commission de l’informatique et des libertés (CNIL) et divers réseaux , a constitué une étape significative en consolidant le statut de l’autorité et renforçant la capacité du personnel . Cette démarche a donné naissance au « Plan stratégique 2021-2025 », dont découle directement le programme de contrôle au titre de l’année 2023 examiné en l’espèce.
En analysant concrètement la déclaration de la HAPDP concernant les acteurs contrôlés dans le cadre de ce programme, on observe une sélection de secteurs clés qui traitent probablement des volumes significatifs de données personnelles. Les secteurs mentionnés, tels que les compagnies de transport, la santé, les banques, et les assurances, sont souvent des domaines où le traitement des données personnelles et sensibles est fréquent. En particulier, le secteur des compagnies de transport semble être celui où le transfert de données personnelles est le plus manifeste.
Malgré tout, il est surprenant que le secteur des télécommunications, mais aussi certaines structures et organismes publics, ne fassent pas partie des secteurs visés.
Pour le premier point, il importe de souligner que l’ensemble de l’industrie de production de données repose largement sur les télécommunications, gérées par les opérateurs du secteur. Plus spécifiquement, la téléphonie mobile se distingue dans l’espace ouest africain en tant que secteur clé dans la facilitation de la connectivité et de l’échange massif de données entre les différents acteurs. La HAPDP aurait dû accorder une attention particulière à la conformité de ces opérateurs.
S’agissant du deuxième point, avec l’émergence actuelle des projets dits de « modernisation de l’administration publique » et la multiplication des initiatives de traitement de données biométriques par les pouvoirs publics et partenaires, il aurait été judicieux pour la HAPDP de donner la priorité à ces activités lors de ses premières actions de contrôle.
Pour conclure, le contrôle réalisé par les équipes de la HAPDP semble davantage exprimer un exercice pédagogique et de sensibilisation des responsables de traitement qu’un véritable processus de contrôle à finalité répressive. Toutefois, en comparaison, la CDP du Sénégal a mis en place aux premières années de son démarrage deux mécanismes intéressants. Le premier, nommé l’appel à déclaration, enjoint les responsables de traitement à se conformer à la législation. Le second, appelé demande d’explication, aboutissant le plus souvent à des mises en conformité, est consécutif à une plainte. Ces approches ont l’avantage de préparer le terrain avant d’éventuels contrôles, tout en intégrant une dimension pédagogique. Cette expérience pourrait inspirer l’autorité nigérienne à réajuster sa stratégie et à intégrer des méthodes similaires afin de renforcer son influence dans un écosystème qui semble relativement moins réceptif à la question de la protection des données personnelles.
Par Mahadi MAIFADA MAGOUDANI, Docteur en droit du numérique.