Créée par la loi n° 2017-020 sur la protection des données à caractère personnel, l’Autorité de protection des données à caractère personnel (APD) est chargée de veiller à ce que les traitements des données à caractère personnel, en République Islamique de Mauritanie, soient mis en œuvre conformément à la loi susmentionnée.
L’APD autorise et contrôle tout traitement de données à caractère personnel, effectué par une personne physique, par l'Etat, les collectivités locales, les personnes morales de droit public ou de droit privé ainsi que tout traitement des données concernant la sécurité publique, la défense, la recherche et la poursuite d'infractions pénales ou la sûreté de l'Etat, même liées à un intérêt quelconque de l’Etat, sous réserve des dérogations que prévoit la loi n° 2017-020 et des dispositions spécifiques en la matière fixées par d'autres lois.
A cet effet, l’APD se donne pour principal objectif de poser les jalons d’une régulation efficace de protection des données à caractère personnel en Mauritanie. Elle œuvrera, conformément à sa mission de régulateur, à protéger les droits des citoyens en contrôlant les responsables de traitement et à sanctionner la mise en œuvre de tout traitement ou toute exploitation de données à caractère personnel qui entrainent une violation de droits et libertés.
L’APD articulera ses orientations stratégiques autour des axes prioritaires suivants.
Axe 1: Créer un service public de protection de la vie privée des citoyens
Le plan stratégique de l’APD 2023-2026 est placé sous le signe de l’entrée en vigueur de la loi n° 2017-020 sur la protection des données à caractère personnel. En effet, l’APD se donne pour premier objectif de créer un service public de protection de la vie privée des citoyens.
Dans ce cadre, l’axe n° 1 du plan stratégique sera décliné en trois objectifs:
1. Recruter et former les ressources humaines
Dans le but de jouer pleinement sa mission de régulateur national de protection des données à caractère personnel en Mauritanie, l’APD mettra en œuvre un plan de recrutement afin d'engager les meilleurs profils disponibles dans les secteurs public et privé. Les recrutements seront ouverts aux fonctionnaires et aux non fonctionnaires, de nationalité mauritanienne. La sélection se fera sur la base des critères d’intégrité morale, de qualification et d’expérience.
2. Développer l’offre de formation continue des agents
Le renforcement des capacités des membres et des agents est une priorité de l’APD. A cet effet, des voyages d’études et de partage d’expériences seront organisés auprès des institutions similaires ainsi que des formations continues de perfectionnement au profit des agents de l’APD auprès des instances internationales et régionales spécialisées.
3. Intégrer et développer les outils de support informatique
L’APD définira et mettra en œuvre une plate-forme informatique, basée sur une architecture centrale, sécurisée, et communicante (formalités préalables, collecte d’informations, courrier, virtualisation et disponibilité de données, outil de travail collaboratif, la téléphonie IP, sécurité centralisée, archivage numérique, …).
La plate-forme permettra aux responsables de traitement d’accomplir en ligne les formalités préalables aux traitements des données à caractère personnel (déclaration, demande d’autorisation et demande d’avis).
Axe 2: Sensibiliser les acteurs à la protection des données
L’APD mettra en ouvre un plan de sensibilisation et de communication. Elle se fixe trois objectifs en la matière:
1. Informer les personnes concernées (citoyens) de leurs droits
- Favoriser l’exercice des droits en informant les personnes concernées (citoyens) de leurs droits et mettre à leur disposition les outils leur permettant d’exercer ces droits ;
- Sensibiliser les citoyens sur les risques associés à l’utilisation de : mail, réseaux sociaux (Facebook, Instagram, Snapchat, Tik Tok, Twitter, Linkedin).
2. Informer les responsables de traitement de leurs obligations
L’objectif est de sensibiliser les responsables de traitement des données à caractère personnel de leurs obligations au regard des prescriptions de la loi 2017-020, notamment la mise en conformité des traitements à caractère personnel.
Elle développera les outils de conformité afin d’accompagner la mise en conformité du secteur public, le secteur privé et la société civile en matière de protection des données à caractère personnel. A cet effet, elle mettra à la disposition des responsables de traitement les outils de conformité.
En outre, des ateliers sur les sujets prioritaires seront organisés à Nouakchott et à l’intérieur du Pays.
3. Partenariat APD / Société civile
L’APD collaborera avec la société civile afin d’élargir sa campagne de sensibilisation et d’information au grand public.
Axe 3: Mettre en œuvre des actions ciblées de régulation
L’APD mettra l’accent sur la conformité aux prescriptions de la loi 2017-020 des traitements mis en œuvre par les responsables de traitement.
Dans ce cadre, l’APD développera des outils de conformité favorisant l’interaction avec les responsables du traitement afin de faciliter la mise en conformité des traitements des données à caractère personnel dont la mise en œuvre comporte des risques élevés pour la protection de la vie privée des citoyens. Elle favorisera, en outre, des actions de régulation ciblées sur des sujets à fort enjeu pour la vie privée:
- La biométrie ;
- La collecte des données à caractère personnel dans le secteur de la santé ;
- La vidéosurveillance et son usage ;
- L’interconnexion des fichiers ;
- Le transfert des données à caractère personnel à l’étranger ;
- La collecte des données à caractère personnel dans les applications des smartphones ;
- Les transferts de données dans l’informatique en nuage (« cloud »).
L’APD élaborera un référentiel de contrôle.
Axe 4: Œuvrer pour le respect des droits des personnes concernées
La mission principale de l’APD est la protection des droits des personnes sur leurs données à caractère personnel. L’APD mise sur la sensibilisation et la mobilisation des personnes concernées afin de favoriser l’exercice de ces droits. Cet axe s'articulera autour des points suivants:
- Favoriser l’exercice des droits en informant les personnes (citoyens) de leurs droits et mettre à leur disposition les outils leur permettant d’exercer ces droits ;
- Faciliter l’ouverture d’enquêtes suite à des plaintes ;
- Intensifier les activités d’enquête et de contrôle ;
- Réprimer l’exploitation illégale des données à caractère personnel.
Axe 5: Développer la coopération avec les Autorités similaires
L’APD développera un cadre de coopération compatible avec ses missions. A cet effet, elle coopèrera avec les autorités de protection des données à caractère personnel des pays tiers et participera aux négociations internationales en matière de protection des données à caractère personnel.
Elle adhérera aux instances internationales de protection des données personnelles (GPA, RAPDP, AFAPDP, …).