HAUTE AUTORITE A LA PROTECTION DES DONNEES A CARACTERE

PERSONNEL (HAPDP)

Loi n° 2017-28 du 03 mai 2017, relative à la protection des données à

caractère personnel.
(JO n° 13 du 1er juillet 2017)
Vu la Constitution du 25 novembre 2010 ;
Le Conseil des ministres entendu,
L’Assemblée nationale a délibéré et adopté,
Le Président de la République promulgue la loi dont la teneur suit :
Chapitre préliminaire : Définitions
Article premier : Les définitions des instruments juridiques de la CEDEAO, de
l’Union Africaine ou de l’Union Internationale des Télécommunications prévalent
pour les termes non définis par la présente loi.
Au sens de la présente loi, on entend par :
- Activité de cryptologie : toute activité ayant pour but la production, l’utilisation,
l’importation, l’exportation ou la commercialisation des moyens de cryptologie ;
- Agrément : la reconnaissance formelle par un organisme agréé que le produit ou
le système évalué peut protéger jusqu'à un niveau spécifié ;
- Archivage électronique sécurisé : l’ensemble des modalités de conservation et
de gestion des archives électroniques destinées à garantir leur valeur juridique
pendant toute la durée nécessaire ;
- Atteinte à la dignité humaine : toute atteinte, hors les cas d’attentat à la vie, à
l’intégrité ou à la liberté, qui a pour effet essentiel de traiter la personne comme une
chose, comme un animal ou comme un être auquel serait dénié tout droit ;
- Autorité de protection : l’autorité administrative indépendante chargée de
veiller à ce que les traitements des données à caractère personnel soient mis en
œuvre conformément aux dispositions de la présente loi ;
- Chiffrement : toute technique qui consiste à transformer des données
numériques en un format inintelligible en employant des moyens de cryptologie ;
- Code de conduite : la charte d’utilisation élaborée par le responsable du
traitement afin d’instaurer un usage correct des ressources informatiques, de
l’internet et des communications électroniques de la structure concernée et
homologuée par l’Autorité de protection ;
- Commerce électronique : l’activité économique par laquelle une personne
propose ou assure, à distance et par voie électronique, la fourniture de biens et la
prestation de services ;

208
Entrent également dans le champ du commerce électronique, les activités de
fourniture de service telles que celles consistant à fournir des informations en ligne,
des communications commerciales, des outils de recherche, d’accès et de
récupération de données, d’accès à un réseau de communication ou d’hébergement
d’informations, même s’ils ne sont pas rémunérés par ceux qui les reçoivent ;
- Communication électronique : toute émission, transmission ou réception de
signes, de signaux, d’écrits, d’images, de sons ou de vidéos par voie
électromagnétique, optique ou par tout autre moyen ;
- Consentement de la personne concernée : toute manifestation de volonté
expresse, non équivoque, libre, spécifique et informée par laquelle la personne
concernée ou son représentant légal, judiciaire ou conventionnel accepte que ses
données à caractère personnel fassent l’objet d’un traitement manuel ou électronique
;
- Conventions secrètes : toutes clés non publiées, nécessaires à la mise en œuvre
d’un moyen ou d’une prestation de cryptologie pour les opérations de chiffrement
ou de déchiffrement ;
- Correspondant : la personne désignée par la structure procédant à un traitement
des données à caractère personnel et à laquelle peut s’adresser toute personne
concernée par une question y relative ;
- Courrier électronique : tout message, sous forme de texte, de voix, de son ou
d’image, envoyé par un réseau public de communication, stocké sur un serveur du
réseau ou dans l’équipement terminal du destinataire, jusqu’à ce que ce dernier le
récupère ;
- Cryptologie : la science relative à la protection et à la sécurité des informations
notamment pour la confidentialité, l’authentification, l’intégrité et la non
répudiation;
- Cybercriminalité : toute infraction pénale commise au moyen ou sur un réseau
de communications électroniques ou un système informatique ;
- Destinataire d’un traitement de données à caractère personnel : toute
personne habilitée à recevoir une communication de ces données, autre que la
personne concernée, le responsable du traitement, le sous-traitant et les personnes
qui, en raison de leurs fonctions, sont chargés de traiter des données ;
- Document : le résultat d’une série de lettres, de caractères, de chiffres, de figures
ou de tous autres signes ou symboles qui a une signification intelligible, quels que
soient leurs modalités de transmission ;
- Données à caractère personnel : toute information de quelque nature qu’elle
soit et indépendamment de son support, y compris le son et l’image, relative à une
personne physique identifiée ou identifiable directement ou indirectement, par

209
référence à un numéro d’identification ou à plusieurs éléments spécifiques, propres à
son identité physique, physiologique, génétique, psychique, culturelle, sociale ou
économique ;
- Données informatisées : toute représentation de faits, d’informations ou de
concepts sous une forme qui se prête à un traitement informatique, y compris un
programme de nature à faire exécuter une fonction par un système d’information ;
- Données relatives aux abonnés : toute information, sous forme de données
informatiques ou sous toute autre forme, détenue par un fournisseur de services et se
rapportant aux abonnés de ses services, autres que des données relatives au trafic ou
au contenu et permettant d’établir sur la base d’un contrat ou d’un arrangement de
services ;
- Données relatives au trafic : toutes données ayant trait à une communication
passant par un système d’information, produites par ce dernier en tant qu’élément de
la chaîne de communication, indiquant l’origine, la destination, l’itinéraire, l’heure,
la date, la taille et la durée de la communication ou le type de service sous-jacent ;
- Données sensibles : toutes données à caractère personnel relatives aux opinions
ou activités religieuses, philosophiques, politiques, syndicales, à la vie sexuelle ou
raciale, à la santé, aux mesures d’ordre social, aux poursuites, aux sanctions pénales
ou administratives ;
- Echange de données informatisées (EDI) : tout transfert électronique d’une
information d’un système électronique à un autre mettant en œuvre une norme
convenue pour structurer l’information ;
- Ecrit : toute suite de lettres, de caractères, de chiffres ou de tous autres signes ou
symboles qui a une signification intelligible, quels que soient leurs supports et leurs
modalités de transmission ;
- Fichier de données à caractère personnel : tout ensemble structuré de données
accessibles selon des critères déterminés, que cet ensemble soit centralisé,
décentralisé ou reparti de manière fonctionnelle ou géographique, permettant
d’identifier une personne déterminée ;
- Fournisseur de services : toute personne morale qui fournit au public des
services de communication électronique ou des prestations informatiques ;
- Information : tout élément de connaissance susceptible d’être représenté à
l’aide de conventions pour être utilisé, conservé, traité ou communiqué.
L’information peut être exprimée sous forme écrite, visuelle, sonore, numérique, etc
;
- Infrastructures critiques : les installations physiques et les technologies de
l’information, les réseaux, les services et les actifs qui, en cas d’arrêt ou de
destruction, peuvent avoir de graves incidences sur la santé, la sécurité ou le bien-

210
être économique et social des citoyens ou encore le fonctionnement continu des
services de l’Etat ;
- Interconnexion des données à caractère personnel : tout mécanisme de
connexion consistant en la mise en relation de données traitées pour une finalité
déterminée avec d’autres données traitées pour des finalités identiques ou non, ou
liées par un ou plusieurs responsables de traitement ;
- Identité : l’adresse postale ou géographique, le numéro de téléphone et tout
autre numéro d’accès, les informations relatives à la localisation, à la facturation et à
l’endroit où se trouvent les équipements de communication ;
- Message électronique : toute information créée, envoyée, reçue ou conservée
par des moyens électroniques ou optiques ou des moyens analogues, notamment,
mais non exclusivement, l’échange de données informatisées (EDI), la messagerie
électronique, le télégraphe, le télex et la télécopie ;
- Mineur : toute personne âgée de moins de dix-huit ans conformément au Code
pénal ;
- Moyens de cryptologie : l’ensemble des outils scientifiques et techniques
(matériel ou logiciel) qui permettent de chiffrer et/ou de déchiffrer. On entend
également par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour
transformer des données, qu’il s’agisse d’écrits ou de signaux, à l’aide de
conventions secrètes ou sans conventions secrètes ;
- Moyen de paiement électronique : moyen permettant à son titulaire d’effectuer
des opérations de paiement électronique en ligne ;
- Non répudiation : faculté de ne pas contester l’authenticité de l’information
sécurisée ou cryptée ;
- Oubli numérique : fait allusion au devoir de prendre les dispositions qui
s’imposent pour effacer ou rendre les données à caractère personnel indisponibles
lorsqu’il n’est plus nécessaire de les garder ou lorsqu’aucune finalité légitime ne
justifie leur conservation ;
- Pays tiers : tout Etat non membre de la CEDEAO ;
- Personne concernée : toute personne physique qui fait l’objet d’un traitement de
données à caractère personnel ;
- Prestation de cryptologie : toute opération visant à la mise en œuvre, pour le
compte de soi ou d’autrui, des moyens de cryptologie ;
- Prestataire de services de cryptologie : toute personne, physique ou morale,
qui fournit une prestation de cryptologie ;
- Pornographie infantile : toute donnée, quelle qu’en soit la nature ou la forme,
représentant de manière visuelle un enfant de moins de 18 ans se livrant à un

211
agissement explicite ou des images représentant un enfant de moins de 15 ans se
livrant à des comportements sexuels et explicites ;
- Prospection directe : tout envoi de message, quel qu’en soit le support ou la
nature notamment commerciale, politique ou caritative, destiné à promouvoir,
directement ou indirectement, des biens, des services ou l’image d’une personne
vendant des biens ou fournissant des services ;
- Racisme et xénophobie en matière des TIC : tout écrit, toute image ou toute
autre représentation d’idées ou de théories qui préconise ou encourage la haine, la
discrimination ou la violence contre une personne ou un groupe de personnes, en
raison de la race, de la couleur, de l’ascendance ou de l’origine nationale ou
ethnique ou de la religion, dans la mesure où cette dernière sert de prétexte à l’un ou
l’autre de ses éléments ou qui incite à de tels actes ;
- Responsable du traitement : la personne physique ou morale, publique ou
privée, tout autre organisme ou association qui, seul ou conjointement avec d’autres,
prend la décision de collecter et de traiter des données à caractère personnel et en
détermine les finalités ;
- Signature électronique : toute donnée qui résulte de l’usage d’un procédé fiable
d’identification garantissant son lien avec l’acte auquel elle s’attache ;
- SMS : le sigle anglo-saxon signifiant « short message service » (en français :
service de message court) ;
- Sous-traitant : toute personne physique ou morale, publique ou privée, tout
autre organisme ou association qui traite des données pour le compte du responsable
du traitement ;
- Surveillance : toute activité faisant appel à des moyens techniques ou
électroniques en vue de détecter, d’observer, de copier ou d’enregistrer les
mouvements, images, paroles, écrits, ou l’état d’un objet ou d’une personne fixe ou
mobile ;
- Système d’information ou système informatique : tout dispositif isolé ou non,
tout ensemble de dispositifs interconnectés assurant en tout ou partie, un traitement
automatisé de données en exécution d’un programme ;
- Tiers : toute personne physique ou morale, publique ou privée, tout autre
organisme ou association autre que la personne concernée, le responsable du
traitement, le sous-traitant et les personnes qui, placés sous l’autorité directe du
responsable du traitement ou du sous-traitant, sont habilités à traiter les données ;
- Traitement des données à caractère personnel : toute opération ou ensemble
d’opérations effectuées ou non à l’aide de procédés automatisés ou non, et
appliquées à des données, telles que la collecte, l’exploitation, l’enregistrement,
l’organisation, la conservation, l’adaptation, la modification, l’extraction, la

212
sauvegarde, la copie, la consultation, l’utilisation, la communication par
transmission, la diffusion ou toute autre forme de mise à disposition, le
rapprochement ou l’interconnexion, ainsi que le verrouillage, le cryptage,
l’effacement ou la destruction de données à caractère personnel.
Chapitre II : Objet et champ d’application
Art. 2 : La présente loi a pour objet de régir la protection des données à caractère
personnel.
Art. 3 : Sont soumis aux dispositions de la présente loi :
- toute collecte, tout traitement, toute transmission, tout stockage et toute
utilisation des données à caractère personnel par une personne physique, l’Etat, les
collectivités locales, les personnes morales de droit public ou de droit privé ;
- tout traitement automatisé ou non de données contenues ou appelées à figurer
dans un fichier ;
- tout traitement de données mis en œuvre sur le territoire national ;
- tout traitement de données concernant la sécurité publique, la défense, la
recherche et la poursuite d’infractions pénales ou la sûreté de l’Etat, sous réserve des
dérogations définies par les dispositions spécifiques fixées par d’autres textes de loi
en vigueur.
Art. 4 : Sont exclus du champ d’application de la présente loi :
- les traitements de données mis en œuvre par une personne physique dans le
cadre exclusif de ses activités personnelles ou domestiques, à condition toutefois
que les données ne soient pas destinées à une communication systématique à un tiers
ou à la diffusion ;
- les copies temporaires faites dans le cadre des activités techniques de
transmission et de fourniture d’accès à un réseau numérique, en vue du stockage
automatique, intermédiaire et transitoire des données et afin de permettre à d’autres
destinataires du service le meilleur accès possible aux informations transmises.
Chapitre III : Formalités nécessaires au traitement des données à caractère
personnel
Art. 5 : Le traitement des données à caractère personnel est soumis à une
déclaration préalable auprès de l’Autorité de protection des données à caractère
personnel.
La déclaration comporte l’engagement que le traitement satisfait aux exigences
de la loi.
L’Autorité de protection délivre un récépissé en réponse à la déclaration, le cas
échéant, par voie électronique. Le demandeur peut mettre en œuvre le traitement dès
réception de son récépissé. Il n’est exonéré d’aucune de ses responsabilités.

213
 Les traitements relevant d’un même organisme et ayant des finalités identiques
ou liées entre elles peuvent faire l’objet d’une déclaration unique. Les informations
requises au titre de la déclaration ne sont fournies pour chacun des traitements que
dans la mesure où elles lui sont propres.
Art. 6 : Sont dispensés des formalités de déclaration préalable :
- le traitement de données utilisées par une personne physique dans le cadre exclusif
de ses activités personnelles, domestiques ou familiales ;
- le traitement de données concernant une personne physique dont la publication est
prescrite par une disposition légale ou réglementaire ;
- le traitement de données ayant pour seul objet la tenue d’un registre qui est destiné
à un usage exclusivement privé ;
- le traitement pour lequel le responsable a désigné un correspondant à la protection
des données à caractère personnel chargé d’assurer, d’une manière indépendante, le
respect des obligations prévues dans la présente loi, sauf lorsqu’un transfert de
données à caractère personnel à destination d’un pays tiers est envisagé.
Art. 7 : Sont soumis à l’autorisation préalable de l’Autorité de protection avant
toute mise en œuvre :
- le traitement des données à caractère personnel portant sur des données génétiques,
médicales et sur la recherche scientifique dans ces domaines ;
- le traitement des données à caractère personnel portant sur des données relatives
aux infractions, aux condamnations ou aux mesures de sûreté prononcées par les
juridictions ;
- le traitement portant sur un numéro national d’identification ou tout autre
identifiant de la même nature, notamment les numéros de téléphones ;
- le traitement des données à caractère personnel comportant des données
biométriques ;
- le traitement des données à caractère personnel ayant un motif d’intérêt public
notamment à des fins historiques, statistiques ou scientifiques ;
- le transfert de données à caractère personnel envisagé à destination d’un pays tiers.
La demande d’autorisation est présentée par le responsable du traitement ou son
représentant légal.
L’autorisation n’exonère pas de la responsabilité à l’égard des tiers.
Art. 8 : Pour les catégories les plus courantes de traitement des données à
caractère personnel, notamment celles dont la mise en œuvre n’est pas susceptible
de porter atteinte à la vie privée ou aux libertés, l’Autorité de protection établit et
publie des normes et procédures destinées à simplifier ou à exonérer le responsable
du traitement de l’obligation de déclaration préalable.

214
 Art. 9 : La demande d’avis, la déclaration et la demande d’autorisation sont
adressées à l’Autorité de protection et contiennent au minimum les mentions
suivantes
- l’identité, le domicile, l’adresse postale ou géographique du responsable du
traitement ou si celui-ci n’est pas établi sur le territoire national, celles de son
représentant dûment mandaté, et s’il s’agit d’une personne morale, sa dénomination
sociale, son siège social, l’identité de son représentant légal, son numéro
d’immatriculation au registre du commerce et du crédit mobilier, son numéro de
déclaration fiscale ;
- la ou les finalité(s) du traitement ainsi que la description générale de ses
fonctions ;
- les interconnexions envisagées ou toutes autres formes de mise en relation avec
d’autres traitements ;
- les données à caractère personnel traitées, leur origine et les catégories de
personnes concernées par le traitement ;
- la durée de conservation des données traitées ;
- le ou les service (s) chargé (s) de mettre en œuvre le traitement ainsi que les
catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du
service, ont directement accès aux données collectées ;
- les destinataires habilités à recevoir communication des données traitées ;
- la fonction de la personne ou le service auprès duquel s’exerce le droit d’accès ;
- les dispositions prises pour assurer la sécurité des traitements, la protection et la
confidentialité des données traitées ;
- l’indication du recours à un sous-traitant ou du transfert des données à caractère
personnel à destination d’un pays tiers.
En cas de changement intervenu dans les mentions énumérées ci-dessus, le
responsable du traitement en informe, sans délai, l’Autorité nationale de protection
des données à caractère personnel.
Les conditions de la présentation de la demande d’autorisation et les procédures
d’octroi des autorisations sont fixées par décret pris en Conseil des ministres.
L’Autorité de protection peut, par décision, exiger des conditions
complémentaires de présentation de la demande d’autorisation ou de déclaration et
aux procédures d’octroi des autorisations.
Art. 10 : La déclaration ou la demande d’autorisation peut être adressée à
l’Autorité de protection par voie électronique, postale ou par tout autre moyen
contre remise d’un accusé de réception.
Art. 11 : L’Autorité de protection se prononce dans un délai d’un mois à compter
de la réception de la déclaration ou de la demande d’autorisation. Toutefois, ce délai

215
peut être prorogé d’un mois supplémentaire sur décision motivée de l’Autorité de
protection.
L’absence de réponse de l’Autorité de protection dans le délai imparti équivaut à
un rejet de la déclaration ou de la demande d’autorisation. Dans ce cas, le
responsable de traitement peut exercer un recours devant la juridiction compétente.
Les modalités de dépôt des déclarations ou d’octroi des autorisations pour le
traitement des données à caractère personnel conformément aux dispositions de la
présente loi sont fixées par décret pris en Conseil des ministres.
Art. 12 : Le correspondant à la protection des données à caractère personnel est
une personne bénéficiant de qualifications requises pour exercer de telles missions.
Il tient une liste des traitements effectués immédiatement accessible à toute personne
en faisant la demande et ne peut faire l’objet d’aucune sanction de la part de
l’employeur, du fait de l’accomplissement de ses missions.
La désignation du correspondant par le responsable du traitement est notifiée à
l’Autorité de protection. Elle est également portée, le cas échéant, à la connaissance
des instances représentatives du personnel.
Le profil et les conditions de rémunération du correspondant à la protection des
données à caractère personnel font l’objet d’un arrêté du Ministre chargé des
Technologies de l’information et de la Communication, sur proposition de l’Autorité
de protection.
En cas de manquement constaté à ses devoirs, le correspondant est déchargé de
ses fonctions sur demande, ou après consultation, de l’Autorité de protection.
Art. 13 : Les traitements des données à caractère personnel opérés pour le
compte de l’Etat, d’une personne morale de droit public ou de droit privé gérant un
service public, sont autorisés par décret, après avis motivé de l’Autorité de
protection.
Ces traitements portent sur :
- la sûreté de l’Etat, la défense nationale ou la sécurité publique ;
- la prévention, la recherche, la constatation ou la poursuite des infractions pénales
ou l’exécution des condamnations pénales ou des mesures de sûreté ;
- le recensement de la population ;
- le traitement de salaires, pensions, impôts, taxes et autres liquidations.
Chapitre IV : Principes directeurs du traitement des données à caractère
personnel
Art. 14 : Le traitement des données à caractère personnel est considéré comme
légitime si la personne concernée donne expressément son consentement préalable.
Toutefois, il peut être dérogé à cette exigence du consentement préalable lorsque
le responsable du traitement est dûment autorisé et que le traitement est nécessaire :

216
- soit au respect d’une obligation légale à laquelle le responsable du traitement est
soumis ;
- soit à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de
l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les
données sont communiquées ;
- soit à l’exécution d’un contrat auquel la personne concernée est partie ou à
l’exécution de mesures précontractuelles prises à sa demande ;
- soit à la sauvegarde de l’intérêt ou des droits et libertés fondamentaux de la
personne concernée.
Art. 15 : La collecte, l’enregistrement, le traitement, le stockage, la transmission
et l’interconnexion de fichiers des données à caractère personnel doivent se faire de
manière licite et loyale.
Art. 16 : Les données doivent être collectées pour des finalités déterminées,
explicites et légitimes et ne peuvent pas être traitées ultérieurement de manière
incompatible avec ces finalités.
Elles doivent être adéquates, pertinentes et non excessives au regard des finalités
pour lesquelles elles sont collectées et traitées ultérieurement.
Elles doivent être conservées pendant une durée qui n’excède pas la période
nécessaire aux finalités pour lesquelles elles ont été collectées ou traitées ; au-delà
de cette période requise, les données ne peuvent faire l’objet d’une conservation
qu’en vue de répondre spécifiquement à un traitement à des fins historiques,
statistiques ou de recherches en vertu des dispositions légales.
Art. 17 : Les données collectées doivent être exactes et, si nécessaire, mises à
jour. Toute mesure raisonnable doit être prise pour que les données inexactes ou
incomplètes, au regard des finalités pour lesquelles elles sont collectées et traitées
ultérieurement, soient effacées ou rectifiées.
Art. 18 : Le principe de transparence implique une information obligatoire et
claire de la part du responsable du traitement portant sur les données à caractère
personnel.
Art. 19 : Les données à caractère personnel doivent être traitées de manière
confidentielle et être protégées, notamment lorsque le traitement de ces données
comporte des transmissions de données dans un réseau.
Art. 20 : Lorsque le traitement des données à caractère personnel est mis en
œuvre pour le compte du responsable du traitement, celui-ci doit choisir un sous-
traitant qui apporte des garanties suffisantes pour la protection et la confidentialité
de ces données.
Il incombe au responsable du traitement ainsi qu’au sous-traitant de veiller au
respect des dispositions de la présente loi.

217
 Art. 21 : Le traitement des données à caractère personnel réalisé aux fins de
journalisme, de recherche, d’expression artistique ou littéraire est admis lorsqu’il est
mis en œuvre aux seules fins d’expression littéraire et artistique ou d’exercice, à titre
professionnel, de l’activité de journaliste ou de chercheur, dans le respect des règles
déontologiques de ces professions.
Art. 22 : Les dispositions de la présente loi ne font pas obstacle à l’application
des dispositions des lois relatives à la presse écrite ou au secteur de l’audiovisuel et
du Code pénal qui prévoient les conditions d’exercice du droit de réponse et qui
préviennent, limitent, réparent et, le cas échéant, répriment les atteintes à la vie
privée et à la réputation des personnes physiques.
Art. 23 : Aucune décision de justice, impliquant une appréciation sur le
comportement d’une personne physique, ne peut avoir pour fondement un traitement
automatisé des données à caractère personnel destiné à évaluer certains aspects de sa
personnalité.
Aucune décision administrative ou privée, impliquant une appréciation sur un
comportement humain, ne peut avoir pour seul fondement un traitement automatisé
des données à caractère personnel donnant une définition du profil ou de la
personnalité de l’intéressé.
Art. 24 : Le responsable d’un traitement ne peut être autorisé à transférer des
données à caractère personnel vers un pays tiers que si cet Etat assure un niveau de
protection supérieur ou équivalent de la vie privée, des libertés et droits
fondamentaux des personnes à l’égard du traitement dont ces données font ou
peuvent faire l’objet.
Avant tout transfert effectif des données à caractère personnel vers ce pays tiers,
le responsable du traitement doit préalablement obtenir l’autorisation de l’Autorité
de protection.
Le transfert de données à caractère personnel vers les pays tiers fait l’objet d’un
contrôle régulier de l’Autorité de protection au regard de leur finalité.
Art. 25 : L’interconnexion des fichiers n’est autorisée que si elle permet
d’atteindre des objectifs légaux ou statutaires présentant un intérêt légitime pour les
responsables des traitements.
Elle ne peut pas entraîner de discrimination ou de réduction des droits, libertés et
garanties pour les personnes concernées, ni être assortie de mesures de sécurité
inappropriées et doit tenir compte du principe de pertinence des données faisant
l’objet de l’interconnexion.
Chapitre V : Droits et exceptions aux droits de la personne concernée

218
 Art. 26 : Le responsable du traitement est tenu de fournir à la personne dont les
données font l’objet d’un traitement, au plus tard, lors de la collecte et quels que
soient les moyens et supports employés, les informations suivantes :
- son identité et, le cas échéant, celle de son représentant dûment mandaté ;
- la ou les finalité (s) déterminée (s) du traitement auquel les données sont
destinées ;
- les catégories de données concernées ;
- le ou les destinataire (s) au(x)quel(s) les données sont susceptibles d’être
communiquées ;
- la possibilité de refuser de figurer sur le fichier en cause ;
- l’existence d’un droit d’accès aux données concernant la personne et d’un droit
de rectification de ces données ;
- l’éventualité de tout transfert de données à destination d’un pays tiers.
Art. 27 : Toute personne physique dont les données à caractère personnel font
l’objet d’un traitement peut demander sous forme de questions et obtenir du
responsable de ce traitement :
- les informations permettant de connaître et de contester le traitement ;
- la confirmation que des données à caractère personnel la concernant font ou ne
font pas l’objet de ce traitement ;
- la communication des données à caractère personnel qui la concerne ainsi que de
toute information disponible quant à l’origine de celle-ci ;
- les informations relatives aux finalités du traitement, aux catégories de données à
caractère personnel traitées et aux destinataires ou aux catégories de destinataires
auxquels les données sont communiquées.
En cas d’impossibilité d’accès à la personne concernée, le droit d’accès peut être
exercé par l’Autorité de protection des données qui dispose d’un pouvoir
d’investigation en la matière et qui peut ordonner la rectification, l’effacement ou le
verrouillage des données dont le traitement n’est pas conforme à la présente loi.
L’Autorité de protection des données communique à la personne concernée le
résultat de ses investigations.
Le responsable du traitement peut s’opposer aux demandes manifestement
abusives de la même personne, notamment par leur nombre, leur caractère répétitif
ou systématique. En cas de contestation, la charge de la preuve du caractère
manifestement abusif des demandes incombe au responsable auprès duquel elles
sont adressées.
Art. 28 : Toute personne physique concernée a le droit de :
- s’opposer, pour des motifs légitimes tenant à sa situation particulière, à ce que
des données à caractère personnel la concernant fassent l’objet d’un traitement, sauf

219
en cas de dispositions légales prévoyant expressément le traitement. En cas
d’opposition légitime, le traitement mis en œuvre par le responsable du traitement ne
peut porter sur les données en cause ;
- s’opposer, sur sa demande et gratuitement, au traitement des données la
concernant à des fins de prospection ;
- être informée avant que des données la concernant ne soient pour la première
fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de
prospection et de se voir, expressément accorder le droit de s’opposer, gratuitement,
à ladite communication ou utilisation.
Art. 29 : Toute personne physique, justifiant de son identité, peut exiger du
responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à
jour, verrouillées ou supprimées les données à caractère personnel la concernant, qui
sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation,
la communication ou la conservation est interdite.
Art. 30 : Les ayants droit d’une personne décédée, justifiant de leur identité
peuvent, si des éléments portés à leur connaissance leur laissent présumer que les
données à caractère personnel la concernant, faisant l’objet d’un traitement n’ont pas
été actualisées, exiger du responsable de ce traitement qu’il prenne en considération
le décès et procède aux mises à jour qui doivent en être la conséquence.
Lorsque les ayants droit en font la demande, le responsable du traitement doit
justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en
vertu de l’alinéa précédent.
Art. 31 : La personne concernée a le droit d’obtenir du responsable du traitement
l’effacement de données à caractère personnel la concernant et la cessation de la
diffusion de ces données, en particulier en ce qui concerne des données à caractère
personnel que la personne concernée avait rendues disponibles lorsqu’elle était
mineur, ou pour l’un des motifs suivants :
- les données ne sont plus nécessaires au regard des finalités pour lesquelles elles
ont été collectées ou traitées ;
- la personne concernée a retiré le consentement sur lequel est fondé le traitement
ou lorsque le délai de conservation autorisé a expiré et qu’il n’existe pas d’autre
motif légal au traitement des données ;
- la personne concernée s’oppose au traitement des données à caractère personnel
la concernant lorsqu’il n’existe pas de motif légal audit traitement ;
- le traitement des données n’est pas conforme aux dispositions de la présente loi ;
- pour tout autre motif légitime.
Art. 32 : Lorsque le responsable du traitement a rendu public les données à
caractère personnel de la personne concernée, il prend toutes les mesures

220
raisonnables, y compris les mesures techniques, en ce qui concerne les données
publiées sous sa responsabilité, en vue d’informer les tiers qui traitent lesdites
données qu’une personne concernée leur demande d’effacer tous liens vers ces
données à caractère personnel, ou toute copie ou reproduction de celle-ci.
Lorsque le responsable du traitement a autorisé un tiers de publier des données à
caractère personnel de la personne concernée, il est réputé responsable de cette
publication et prend toutes les mesures appropriées pour mettre en œuvre le droit à
l’oubli numérique et à l’effacement des données à caractère personnel.
Art. 33 : Le responsable du traitement procède à l’effacement sans délai, sauf
lorsque la conservation des données à caractère personnel est nécessaire :
- soit à l’exercice du droit à la liberté d’expression ;
- soit pour des motifs d’intérêt général dans le domaine de la santé publique ;
- soit conformément à la loi ;
- soit au respect d’une obligation légale de conserver les données à caractère
personnel prévue par la législation en vigueur à laquelle le responsable du traitement
est soumis.
Art. 34 : Le responsable du traitement met en place des mécanismes appropriés
assurant la mise en œuvre du respect du droit à l’oubli numérique et à l’effacement
des données à caractère personnel ou examine périodiquement la nécessité de
conserver ces données, conformément aux dispositions de la présente loi.
Lorsque l’effacement est effectué, le responsable du traitement ne procède à
aucun autre traitement de ces données à caractère personnel.
Art. 35 : L’Autorité de protection des données adopte des mesures et des lignes
directrices aux fins de préciser :
- les conditions de la suppression des liens vers ces données à caractère personnel,
des copies ou des reproductions de celles-ci existant dans les services de
communication électronique accessibles au public ;
- les conditions et critères applicables à la limitation du traitement des données à
caractère personnel.
Art. 36 : Lorsque des données à caractère personnel font l’objet d’un traitement
automatisé dans une forme structurée et couramment utilisée, la personne concernée
a le droit d’obtenir auprès du responsable du traitement une copie des données
faisant l’objet du traitement automatisé dans un format électronique structuré qui est
couramment utilisé, et qui permet la réutilisation de ces données par la personne
concernée.
Lorsque la personne concernée a fourni les données à caractère personnel et que
le traitement est fondé sur le consentement ou sur un contrat, elle a le droit de
transmettre ces données à caractère personnel et toutes informations qu’elle a

221
 fournies, et qui sont conservées par un système de traitement automatisé à un autre
système dans un format électronique qui est couramment utilisé, sans que le
responsable du traitement auquel les données à caractère personnel sont retirées n’y
fasse obstacle.
L’Autorité de protection des données peut préciser le format électronique, ainsi
que les normes techniques, les modalités et les procédures pour la transmission de
données à caractère personnel.
Chapitre VI : Obligations des responsables et de leurs subordonnés
Art. 37 : Le traitement des données à caractère personnel est confidentiel. Il est
effectué exclusivement par des personnes qui agissent sous l’autorité du responsable
du traitement et seulement sur ses instructions.
Art. 38 : Le responsable du traitement est tenu de prendre toute précaution au
regard de la nature des données et, notamment, pour empêcher qu’elles soient
déformées, endommagées, ou que des tiers non autorisés y aient accès.
Lorsque le traitement est mis en œuvre pour le compte du responsable du
traitement, celui-ci choisit un sous-traitant qui apporte des garanties suffisantes au
regard des mesures de sécurité technique et d’organisation relatives aux traitements
à effectuer. Il incombe au responsable du traitement ainsi qu’au sous-traitant de
veiller au respect de ces mesures.
Art. 39 : Le responsable du traitement est tenu de :
- empêcher toute personne non autorisée d’accéder aux installations utilisées pour le
traitement de données ;
- empêcher que des supports de données puissent être lus, copiés, modifiés ou
déplacés par une personne non autorisée ;
- empêcher l’introduction non autorisée de toute donnée dans le système
d’information, ainsi que toute prise de connaissance, toute modification ou tout
effacement non autorisé de données enregistrées ;
- empêcher que des systèmes de traitement de données puissent être utilisés par des
personnes non autorisées à l’aide d’installations de transmission de données ;
- empêcher que des systèmes de traitement de données soient utilisés à des fins de
blanchiment de capitaux et de financement du terrorisme ;
- garantir que, lors de l’utilisation d’un système de traitement automatisé de
données, les personnes autorisées ne puissent accéder qu’aux données relevant de leur
autorisation ;
- garantir que puisse être vérifiée et constatée l’identité des tiers auxquels des
données peuvent être transmises par des installations de transmission ;
- garantir que puisse être vérifiée et constatée a posteriori l’identité des personnes
ayant eu accès au système d’information contenant des données à caractère personnel,

222
la nature des données qui ont été introduites, modifiées, altérées, copiées, effacées ou
lues dans les systèmes, le moment auquel ces données ont été manipulées ;
- empêcher que, lors de la communication de données et du transport de supports de
données, les données puissent être lues, copiées, modifiées, altérées ou effacées de
façon non autorisée ;
- sauvegarder les données par la constitution de copies de sécurité protégées.
Le responsable du traitement doit mettre en œuvre toutes les mesures techniques
et l’organisation appropriées pour assurer la protection des données qu’il traite
contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la
diffusion ou l’accès non autorisé, notamment lorsque le traitement comporte des
transmissions de données dans un réseau, ainsi que contre toute autre forme de
traitement illicite.
Art. 40 : Le responsable du traitement est tenu d’établir un rapport annuel pour le
compte de l’Autorité de protection des données sur le respect des dispositions
annoncées à l’article 41 de la présente loi.
Art. 41 : Les données à caractère personnel sont conservées pendant une durée
fixée par l’Autorité de protection des données en fonction des finalités de chaque
type de traitement pour lesquelles elles ont été recueillies, conformément aux textes
en vigueur.
Art. 42 : Le responsable du traitement est tenu de prendre toute mesure utile pour
s’assurer que les données à caractère personnel traitées peuvent être exploitées quel
que soit le support technique utilisé.
CHAPITRE VII (nouveau) : DE LA CREATION, DES MISSIONS, DE
L'ORGANISATION ET DU FONCTIONNEMENT DE LA HAUTE
AUTORITE DE PROTECTION DES DONNEES A CARACTERE
PERSONNEL
(Loi n° 2019-71 du 24 décembre 2019)
Section 1 : De la Création et des missions
Art. 43 : (nouveau) (Loi n° 2019-71 du 24 décembre 2019) - Il est créé une Haute
Autorité de Protection des Données à caractère Personnel en abrégé «HAPDP ».
La HAPDP est une autorité administrative indépendante chargée de veiller à la
conformité des traitements des données à caractère personnel aux dispositions des
textes en vigueur et des conventions internationales auxquelles le Niger a adhéré.
Elle est dotée de la personnalité morale et de l'autonomie financière.
La HAPDP établit un règlement intérieur qui précise, notamment, les règles relatives
aux délibérations, à l'instruction et à la présentation des dossiers.
Le siège de la HAPDP est fixé à Niamey.

223
Art. 43-1 : (Loi n° 2019-71 du 24 décembre 2019) - La HAPDP veille à ce que le
traitement et l'usage des données à caractère personnel ne portent pas atteinte aux
libertés publiques ou ne comportent pas de menace à la vie privée des citoyens, en
particulier dans l'utilisation des technologies de l'information et de la communication.
A ce titre elle est chargée, notamment :
 d'informer les personnes concernées et les responsables de traitement des données à
caractère personnel de leurs droits et obligations ;
 de répondre à toute demande d'avis portant sur un traitement de données à caractère
personnel ;
 d'élaborer un code de bonne conduite relatif au traitement et à la protection des
données à caractère personnel ;
 de recevoir les déclarations et d'octroyer les autorisations pour la mise en œuvre des
traitements de données à caractère personnel, ou de les retirer dans les cas prévus par
les textes en vigueur ;
 de recevoir les déclarations et les plaintes relatives à la mise en œuvre des
traitements de données à caractère personnel et d'informer les auteurs de la suite
accordée à celles-ci ;
 d'informer sans délais, l'autorité judiciaire compétente des infractions dont elle a
connaissance dans le cadre de ses missions ;
 de déterminer les mesures appropriées et les garanties indispensables pour la
protection des données à caractère personnel ;
 de procéder, au besoin par le biais d'agents assermentés, à des vérifications portant
sur tout traitement de données à caractère personnel ;
 de prononcer des sanctions administratives et pécuniaires à l'encontre des
responsables de traitement des données à caractère personnel qui ne se conforment pas
aux dispositions des textes en vigueur ;
 de mettre à jour et à la disposition du public, pour consultation, un répertoire de
traitement de données à caractère personnel ;
 de donner des conseils aux personnes et aux organismes qui exercent des activités de
traitements de données à caractère personnel ou qui procèdent à des essais ou des
expériences en la matière ;
 de donner son avis sur tout projet de texte en rapport avec la protection des données
à caractère personnel ;
 de participer aux activités de recherche scientifique, de formation et d'étude en
rapport avec la protection des données à caractère personnel et, d'une manière
générale, avec les libertés publiques et la vie privée ;
 d'autoriser, dans les conditions fixées par décret pris en Conseil de Ministres, les
transferts transfrontaliers des données à caractère personnel ;
 de faire toute proposition susceptible de simplifier et d'aménager le cadre législatif
et réglementaire relatif au traitement des données à caractère personnel ;
 de mettre en place des mécanismes de coopération avec les autorités de traitement
de données à caractère personnel d'autres pays ;

224
 de participer aux négociations internationales en matière de protection de données à
caractère personnel ;
 d'établir et de remettre un rapport annuel d'activités au Président de la République,
au Président de l'Assemblée Nationale et au Premier Ministre.
Section 2 : De l'Organisation
Art. 43-2 : (Loi n° 2019-71 du 24 décembre 2019) - La HAPDP est composée de neuf
(09) membres choisis, en raison de leur compétence juridique et/ou technique, ainsi
qu'il suit :
1. une (1) personnalité désignée par le Président de la République ;
2. un (1) député représentant l'Assemblée Nationale ;
3. un (1) représentant du Premier Ministre ;
4. un (1) magistrat membre de la Cour de Cassation désigné sur proposition du
Premier Président de la Cour de Cassation ;
5. un (1) magistrat membre du Conseil d'Etat désigné sur proposition du Premier
Président du Conseil d'Etat ;
6. un (1) avocat désigné par l'Ordre des avocats du Niger ;
7. un médecin désigné par l'ordre des médecins ;
8. un (1) représentant des organisations de défense des droits de l'homme élu par les
collectifs ;
9. un expert en Technologie de l'Information et de la Communication (TIC) désigné
par l'Agence Nationale pour la Société de l'Information.
Art. 43- 3 : (Loi n° 2019-71 du 24 décembre 2019) - Les membres de la HAPDP sont
nommés par décret pris en Conseil des Ministres pour un mandat de cinq (5) ans
renouvelable une fois, dans les mêmes conditions.
La qualité de membre de la HAPDP est incompatible avec la fonction de membre du
Gouvernement, l'exercice des fonctions de dirigeants d'entreprises du secteur de
l'informatique ou des télécommunications.
Les membres de la HAPDP sont inamovibles pendant la durée de leur mandat. Il ne
peut être mis fin aux fonctions des membres de la HAPDP, qu'en cas de décès, de
démission ou d'empêchement définitif constatés par ladite autorité.
Art. 44 (nouveau) : (Loi n° 2019-71 du 24 décembre 2019) - La HAPDP est dirigée
par un Président nommé parmi ses membres par décret pris en Conseil des Ministres.
Le Président de la HAPDP est secondé par un vice-président élu par ses pairs parmi
les membres de la HAPDP.
Le Président est le chef de l'administration de la HAPDP. A ce titre, il dispose d'un
cabinet composé de :
 un chef de cabinet ;
 un secrétaire particulier ;
 un agent de protocole ;

225
 deux ou trois conseillers techniques choisis en raison de leur compétence en matière
juridique, administrative ou des TIC.
La HAPDP dispose d'un secrétariat général dirigé par un Secrétaire général.
Le Secrétaire général est nommé par décret pris en Conseil des Ministres sur
proposition du Ministre de la Justice. Il est choisi parmi les personnalités reconnues
pour leur compétence en matière juridique ou administrative de la catégorie Al et
justifiant d'une expérience professionnelle de dix (l 0) ans au moins.
Le traitement de base et les indemnités alloués au Secrétaire Général de la HAPDP
sont fixés par décret pris en Conseil des Ministres.
Le secrétariat général comprend des directions et des services dont l'organisation et les
attributions sont déterminées par le décret d'application de la loi relative à la
protection des données à caractère personnel.
La HAPDP recrute son personnel de direction, d'encadrement et de contrôle par appel
à candidature sur la base des compétences et qualifications techniques.
Il peut être mis à sa disposition et à sa demande des fonctionnaires de l'Etat par voie
de détachement ou de mise à disposition.
Le personnel de la HAPDP est soumis à un statut et un règlement intérieur adoptés par
les membres de la HAPDP.
La grille de traitement de base, les primes, les indemnités et les autres avantages
accordés au personnel administratif et technique sont fixés par décret pris en Conseil
des Ministres, sur rapport du Ministre chargé de la Justice.
Le personnel technique chargé de la mission de contrôle de l'application de la loi de
protection des données à caractère personnel prête serment devant la cour d'appel de
Niamey.
Art. 45 : (abrogé par Loi n° 2019-71 du 24 décembre 2019).
Section 3 : Du Fonctionnement
Art. 46 (nouveau) : (Loi n° 2019-71 du 24 décembre 2019) - A l'exception du
Président, les membres de la HAPDP n'exercent pas leur fonction à titre permanent.
Les membres de la HAPDP se réunissent en session ordinaire tous les trois mois sur
convocation du Président. Ils peuvent se réunir en session extraordinaire sur
convocation du Président ou à la demande de la majorité des membres.
La HAPDP peut faire appel à toute personne dont elle juge les compétences
nécessaires à la réalisation de ses missions.
Les modalités de délibérations de la HAPDP sont précisées par le règlement intérieur.
Les membres de la HAPDP sont soumis au secret professionnel conformément aux
textes en vigueur.
Les membres de la HAPDP jouissent d'une immunité totale pour les opinions émises
et ne reçoivent d'instruction d'aucune autorité dans l'exercice de leurs fonctions.

226
Art. 47 (nouveau) : (Loi n° 2019-71 du 24 décembre 2019) - Tout membre de la
HAPDP doit informer celle-ci des intérêts directs ou indirects qu'il détient ou vient à
détenir, des fonctions qu'il exerce ou vient à exercer et de tout mandat qu'il détient ou
vient à détenir au sein des entreprises du secteur de l'informatique ou des
télécommunications.
Le cas échéant, la HAPDP prend toutes les dispositions utiles pour assurer
l'indépendance et l'impartialité de ses membres. Un code de conduite est élaboré par la
HAPDP à cet effet.
Si en cours de mandat, le Président ou un membre de la HAPDP cesse d'exercer ses
fonctions, il est procédé à son remplacement dans les conditions prévues par la
présente loi.
Le mandat du successeur ainsi désigné est limité au temps restant à courir.
Art. 48 (nouveau) : (Loi n° 2019-71 du 24 décembre 2019) - Avant d'entrée en
fonction les membres de la HAPDP prêtent devant la Cour de Cassation le serment
dont la teneur suit : «je jure solennellement de bien et fidèlement remplir ma fonction
de membre de la Haute Autorité de Protection des Données à caractère Personnel, en
toute indépendance et impartialité de façon digne et loyale et de garder le secret des
délibérations ».
Art. 49 (nouveau) : (Loi n° 2019-71 du 24 décembre 2019) - Les agents qui exercent
les missions de contrôle de l'application de la loi sur les données à caractère personnel
prêtent serment devant la Cour d'Appel de Niamey en ces termes : « Je jure de bien et
loyalement remplir mes fonctions d'agent de la Haute Autorité de Protection des
Données à caractère Personnel en toute indépendance et impartialité, et de garder le
secret des délibérations ».
Art. 50 (nouveau) : (Loi n° 2019-71 du 24 décembre 2019) - Un commissaire du
Gouvernement siège auprès de la HAPDP. Il est nommé par décret pris en Conseil des
Ministres sur proposition du Ministre de la Justice.
Le commissaire du Gouvernement est convoqué à toutes les sessions de la HAPDP
dans les mêmes conditions que les membres de celle-ci. Il informe la HAPDP sur les
orientations du Gouvernement et sur les motivations de l'administration concernant la
mise en œuvre des traitements des données à caractère personnel. Il ne prend pas part
au vote.
Le commissaire du Gouvernement bénéficie des avantages prévus par décret pris en
Conseil des Ministres.
Art. 51 : (abrogé par Loi n° 2019-71 du 24 décembre 2019).
Art. 52 (nouveau) : (Loi n° 2019-71 du 24 décembre 2019) - Le prestataire de service
de cryptologie ne peut opposer à la HAPDP, le secret professionnel auquel il est
soumis conformément aux dispositions légales ou conventionnelles.
Le responsable du traitement des données à caractère personnel agissant dans le cadre
de l'accomplissement de ses missions ne peut opposer à la HAPDP le secret
professionnel auquel il est assujetti.

227
 Art. 53 (nouveau) : (Loi n° 2019-71 du 24 décembre 2019) - La HAPDP peut
prononcer à l'égard des responsables de traitement les mesures suivantes :
 un avertissement à l'égard du responsable du traitement des données à caractère
personnel qui ne respecte pas les obligations découlant des textes en vigueur ;
 une mise en demeure de cesser les manquements observés dans les délais qu'elle
fixe.
Art. 54 (nouveau) : (Loi n° 2019-71 du 24 décembre 2019) - Lorsque la mise en
œuvre d'un traitement de données à caractère personnel entrai ne une violation des
textes en vigueur, la HAPDP, après une procédure contradictoire, peut décider :
 de l'interruption de la mise en œuvre du traitement ;
 du verrouillage de certaines données à caractère personnel traitées ;
 de l'interdiction temporaire ou définitive d'un traitement contraire aux dispositions
de la présente loi.
Art. 55 (nouveau) : (Loi n° 2019-71 du 24 décembre 2019) - La HAPDP peut, après
avoir entendu le responsable du traitement ou son sous-traitant qui ne se conforme pas
aux dispositions prévues par la présente loi et à la mise en demeure qui lui a été
adressée, prononcer à son encontre, les sanctions suivantes :
 le retrait provisoire de l'autorisation accordée ;
 le retrait définitif de l'autorisation ;
 les sanctions pécuniaires.
Le montant de la sanction pécuniaire est proportionnel à la gravité des manquements
commis et aux avantages tirés de ce manquement.
Le montant de cette sanction ne peut excéder la somme de cent millions (100.000.000)
de francs CFA.
En cas de manquement réitéré la sanction pécuniaire ne peut excéder deux cent
millions (200.000.000) de francs CFA ou, s'agissant d'une entreprise, elle ne peut
excéder 5% du chiffre d'affaires hors taxes du dernier exercice clos dans la limite de
cinq cent millions (500.000.000) de francs CFA.
Ces sanctions administratives et pécuniaires sont appliquées sans préjudice de
sanctions pénales.
Art. 56 (nouveau) : (Loi n° 2019-71 du 24 décembre 2019) - Les modalités de retrait
de l'autorisation et de recouvrement des montants de la sanction pécuniaire sont fixées
par décret pris en Conseil des Ministres.
CHAPITRE VII BIS : DES DISPOSITIONS FINANCIERES ET
COMPTABLES
(Loi n° 2019-71 du 24 décembre 2019)
Art. 56-1 : (Loi n° 2019-71 du 24 décembre 2019) - La HAPDP adopte son budget.
L'exercice budgétaire court du 1er janvier au 31 décembre. Le budget de l'HAPDP
prévoit et autorise les recettes et les dépenses dont il détermine la nature et le montant.
Le Président de la HAPDP en est l’ordonnateur.

228
 Art. 56-2 : (Loi n° 2019-71 du 24 décembre 2019) - La HAPDP dispose de ressources
ordinaires et de ressources exceptionnelles.
Constituent les ressources ordinaires de la HAPDP :
 la subvention de l'Etat ;
 les redevances annuelles et les frais versés par les opérateurs titulaires d'une
autorisation tels que déterminés par la loi ou l'autorisation ;
 les produits des travaux et des prestations ou des services rendus.
Constituent les ressources exceptionnelles de la HAPDP :
 les produits des emprunts autorisés par l'Etat ;
 les produits financiers ;
 les subventions des organismes publics ou privés nationaux ou internationaux ;
 les dons et legs régulièrement autorisés.
Art. 56-3 : (Loi n° 2019-71 du 24 décembre 2019) - La délivrance des autorisations
pour la mise en œuvre des traitements des données à caractère personnel donne lieu à
la perception des frais au profit de la HAPDP dont le taux est fixé par décret pris en
Conseil des Ministres.
Art. 56-4 : (Loi n° 2019-71 du 24 décembre 2019) - Les ressources ordinaires prévues
à l’Article 56-1 de la présente loi sont mises en recouvrement et recouvrées par la
HAPDP. Les paiements correspondants sont versés sur des comptes courants ouverts
au nom de la HAPDP.
La HAPDP assure le recouvrement des créances qui lui sont dues.
Art. 56-5 : (Loi n° 2019-71 du 24 décembre 2019) - Les ressources perçues par la
HAPDP ou mises à sa disposition sont utilisées pour financer les activités concourant
à la réalisation de sa mission.
Art. 56-6 : (Loi n° 2019-71 du 24 décembre 2019) - La HAPDP applique les règles de
la comptabilité publique.
Elle est soumise au Code des marchés publics et des délégations de service public en
ce qui concerne les règles de passation, d'exécution et de contrôle des marchés.
Art. 56-7 : (Loi n° 2019-71 du 24 décembre 2019) - La HAPDP élabore un manuel de
procédures administratives, financières, techniques et comptables.
Art. 56-8 : (Loi n° 2019-71 du 24 décembre 2019) - Les fonds de la HAPDP,
provenant des conventions et des accords internationaux sont gérés suivant les
modalités prévues par ces conventions et ces accords.
Art. 56-9 : (Loi n° 2019-71 du 24 décembre 2019) - Le budget de la HAPDP approuvé
par le Ministre de le Justice est transmis au Président de la Cour des Comptes pour
notification.
Le Ministre de la Justice dispose d'un délai de deux (2) semaines pour faire connaitre
ses observations ; faute de réaction dans ce délai, le budget est considéré comme étant
approuvé.

229
Art. 56-10 : (Loi n° 2019-71 du 24 décembre 2019) - Les états financiers annuels
certifiés sont transmis à la Cour des Comptes six (6) mois après la fin de l'exercice.
Art. 56-11 : (Loi n° 2019-71 du 24 décembre 2019) - Les comptes de la HAPDP sont
soumis au contrôle de la Cour des Comptes, de l'Inspection Générale des Finances et
ainsi qu'à celui l'Inspection Générale d'Etat.
Art. 56-12 : (Loi n° 2019-71 du 24 décembre 2019) - Le Président de la HAPDP
perçoit une rémunération dont le montant est fixé par décret pris en Conseil des
Ministres.
Les membres de la HAPDP reçoivent des indemnités dont le montant est fixé par
décret pris en Conseil des Ministres.
Chapitre VIII : Sanctions pénales
Art. 57 : Est interdit et puni d’une peine d’emprisonnement de trois (3) à cinq (5)
ans et d’une amende de 20.000.000 à 40.000.000 de francs CFA, le fait de procéder
à la collecte et à tout traitement de données qui révèlent l’origine raciale, ethnique
ou régionale, la filiation, les opinions politiques, les convictions religieuses ou
philosophiques, l’appartenance syndicale, la vie sexuelle, les données génétiques ou
plus généralement celles relatives à l’état de santé de la personne concernée.
Cette interdiction ne s’applique pas :
- lorsque le traitement des données à caractère personnel porte sur des
données manifestement rendues publiques par la personne concernée ;
- lorsque le traitement des données génétiques ou relatives à l’état de santé
est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une
autre personne dans le cas où la personne concernée se trouve dans l’incapacité
physique ou juridique de donner son consentement ;
- lorsque le traitement, notamment des données génétiques, est nécessaire à
la constatation, à l’exercice ou à la défense d’un droit en justice de la personne
concernée ;
- lorsqu’une procédure judiciaire ou une enquête pénale est ouverte. Dans ce
cas, le traitement des données à caractère personnel n’est poursuivi que pour la
constatation des faits ou pour la manifestation de la vérité ;
- lorsque le traitement est effectué dans le cadre des activités légitimes d’une
fondation, d’une association ou de tout autre organisme à but non lucratif et
apolitique, philosophique, religieuse, mutualiste ou syndicale.
Toutefois, le traitement doit se rapporter aux seuls membres de cet organisme ou
aux personnes entretenant avec celui-ci des contacts réguliers liés à sa finalité et que
les données ne soient pas communiquées à des tiers sans le consentement des
personnes concernées.

230
 Tous ces cas de traitement de données à caractère personnel sont autorisés et
contrôlés dans leur conception et leur mise en œuvre par l’Autorité de protection ;
Art. 58 : Est interdite et punie d’une peine d’emprisonnement d’un (1) à cinq (5)
ans et d’une amende de 1.000.000 à 10.000.000 de francs CFA, la prospection
directe à l’aide de tout moyen de communication utilisant, sous quelque forme que
ce soit, les données à caractère personnel d’une personne physique qui n’a pas
exprimé son consentement préalable à recevoir de telles prospections.
Art. 59 : Est puni d’un emprisonnement d’un (1) mois à deux (2) ans et de
1.000.000 à 10.000.000 de francs CFA d’amende, quiconque entrave l’action de
l’autorité de protection des données :
- soit en s’opposant à l’exercice des missions confiées à ses membres ou à ses
agents habilités, en application des dispositions de la présente loi ;
- soit en refusant de communiquer à ses membres ou aux agents habilités, les
renseignements et documents utiles à leur mission, ou en dissimulant lesdits
documents, ou en les faisant disparaitre ;
- soit en communiquant des informations qui ne sont pas conformes au contenu
des enregistrements tel qu’il était au moment où la demande a été formulée ou qui
ne présentent pas ce contenu sous une forme directement accessible.
Le Procureur de la République ou le juge d’instruction compétent est informé,
sans délai, et prend toutes les mesures appropriées en vue de poursuivre l’auteur ou
le complice.
Chapitre IX : Dispositions transitoires et finales
Art. 60 : Les responsables de traitement de données à caractère personnel
disposent d’un délai de six mois, à compter de la date de l’entrée en vigueur de la
présente loi, pour se mettre en conformité avec ses dispositions.
Art. 61 : La présente loi qui abroge toutes dispositions antérieures contraires, est
publiée au Journal Officiel de la République du Niger et exécutée comme loi de
l’Etat.
Fait à Niamey, le 03 mai 2017
Le Président de la République
Issoufou Mahamadou
Le Premier ministre
Brigi Rafini
Le Ministre de la Justice, garde des
sceaux
Marou Amadou

231