Un pas en avant pour garantir les droits de l'homme dans la transformation numérique

La protection des données personnelles est la protection des droits et libertés fondamentaux de l’homme en matière de données.

Le 17 avril 2023, le gouvernement a publié le décret n° 13/2023/ND-CP (Décret) sur la protection des données personnelles, en vigueur à compter du 1er juillet 2023, répondant aux exigences de protection des droits en matière de données personnelles ; empêchant les actes de violation des données personnelles, affectant les droits et les intérêts des individus et des organisations.

Points forts

Le décret est un document juridique réglementant la protection des données personnelles et la responsabilité des agences, organisations et individus concernés en matière de protection des données personnelles.

Premièrement, la protection des données personnelles vise à protéger les droits et libertés fondamentaux liés aux données. Les dispositions du décret relatif à la protection des données personnelles visent à prévenir toute atteinte aux droits et libertés de chacun.

Dans le même temps, la sécurité des données personnelles revêt une importance particulière car si des données sont volées, cela peut entraîner des pertes économiques et sociales, des risques tels que : chantage, fraude, appropriation de biens, diffamation, atteinte à l'honneur, à la dignité, abus sexuels..., entraînant des conséquences à la fois matérielles et spirituelles, affectant directement les droits et les intérêts légitimes des agences, organisations, entreprises et particuliers.

Deuxièmement, promouvoir et respecter les droits des personnes concernées par les données personnelles. Ces droits comprennent le droit d'accès, le droit de consentir ou non au traitement des données personnelles, le droit d'être informé et le droit de demander la suppression des données.

En outre, les personnes concernées ont le droit de se protéger contre toute violation de leurs données personnelles par d'autres personnes. Elles ont le droit de demander réparation du préjudice subi en cas de violation des dispositions du Décret portant atteinte à leur droit à la protection des données personnelles. Le Décret stipule également clairement que la collecte, le transfert, l'achat et la vente de données personnelles sans le consentement de la personne concernée constituent une violation de la loi.

Toutefois, le droit du sujet à la protection des données personnelles n'est pas un droit absolu, mais peut être limité dans les cas d'urgence pour protéger la vie et la santé de l'individu ou d'autrui ; les situations d'urgence liées à la défense nationale, à la sécurité, à l'ordre social et à la sûreté ; l'exécution d'obligations contractuelles déterminées ou le service des activités des agences de l'État telles que prescrites par des lois spécialisées.

L’octroi d’exceptions vise à mettre en œuvre le principe de garantie des droits des individus et des organisations, sans toutefois porter atteinte aux droits et intérêts légitimes d’autres individus et organisations ou aux intérêts nationaux dans l’exercice de ces droits.

Troisièmement, promouvoir le processus d'intégration internationale en matière de protection des données personnelles. Le décret est compatible avec les pratiques et réglementations internationales en la matière. De nombreux pays développés ont légalisé la protection des données personnelles, ce qui constitue une base d'étude et de référence pour le Vietnam.

Par ailleurs, les organisations internationales dont le Vietnam est membre ou avec lesquelles il coopère ont publié des conventions, des recommandations et des normes sur la confidentialité et la protection des informations et des données personnelles. Il s'agit notamment des principes de confidentialité de l'Organisation de coopération et de développement économiques (OCDE), de la Convention du Conseil de l'Europe pour la protection des personnes physiques à l'égard du traitement automatisé des informations et des données à caractère personnel, des lignes directrices des Nations Unies sur les données personnelles et les fichiers d'information informatisés, du Cadre de protection de la vie privée de la Coopération économique Asie -Pacifique (APEC), des normes internationales sur la confidentialité et la protection des informations et des données personnelles (Résolution de Madrid) et du Règlement général sur la protection des données (RGPD) de l'UE.

Par ailleurs, dans le cadre de la promotion de la coopération entre notre pays et d'autres pays et territoires, plus de 80 pays ont adopté des textes juridiques sur la protection des données personnelles, dont beaucoup contiennent des dispositions applicables aux organisations et aux personnes vietnamiennes. Par conséquent, des réglementations spécifiques et détaillées sur la protection des données personnelles visent à créer un environnement d'égalité et de respect de la loi au Vietnam, y compris pour les personnes et organisations étrangères.

Les défis

Actuellement, de nombreux défis importants subsistent dans la mise en œuvre du décret.

Tout d'abord, le défi de la gestion des employés des entreprises. Actuellement, de nombreuses entreprises adoptent un modèle de société mère-filiale avec un écosystème de gestion commun, et les informations sur les employés sont facilement accessibles depuis un système commun.

Cependant, en vertu de la loi vietnamienne, chaque entreprise (y compris les sociétés mères et les filiales) est considérée comme une entité juridique distincte et indépendante, de sorte que le transfert de données personnelles des employés par des entreprises du même écosystème pour servir le processus de gestion interne de l'entreprise peut également être considéré comme une violation de la responsabilité de l'entreprise de protéger les données personnelles.

D'autre part, de nombreuses entreprises sont actuellement confrontées à des difficultés dans la mise en œuvre du décret et n'ont pas encore achevé le mécanisme et la réglementation en matière de gestion et de protection des données personnelles des employés conformément au décret.

Deuxièmement, elle n'est pas conforme à la réglementation légale régissant les activités des établissements de crédit. Actuellement, les activités des établissements de crédit sont régies par des réglementations juridiques spécialisées telles que : la loi de 2010 sur les établissements de crédit (modifiée et complétée en 2014) ; la loi relative à la lutte contre le blanchiment d'argent ; le décret n° 117/2018/ND-CP relatif à la confidentialité et à la communication des informations clients des établissements de crédit et des succursales de banques étrangères ; la circulaire n° 09/2020/TT-NHNN de la Banque d'État réglementant la sécurité des systèmes d'information dans les opérations bancaires, au niveau inférieur à la loi.

En revanche, pour les activités bancaires, le traitement des données affecte les données personnelles, telles que : La collecte, l'enregistrement, l'analyse, la confirmation, le stockage, l'édition, la publication, la combinaison, l'accès, la récupération, le rappel, le codage, le décodage, la copie, le partage, la transmission, la fourniture, le transfert, la suppression, la destruction des données personnelles ou d'autres actions connexes sont essentielles pour fournir des services aux clients et gérer les risques dans les activités bancaires, en garantissant la sécurité du système monétaire, de sorte que de nombreuses activités de traitement des données personnelles des clients ne peuvent pas et ne nécessitent pas le consentement des clients, tandis que la clause 2, article 3 et la clause 1, article 9 du décret stipulent que les sujets ont le droit de connaître le traitement de leurs données personnelles, sauf dans les cas où d'autres lois en disposent autrement.

Ou dans la clause 2, l'article 9 stipule que le sujet a le droit de ne pas consentir au traitement de ses données personnelles ; le sujet a le droit de supprimer, d'accéder, de demander la restriction du traitement des données et de s'opposer au traitement des données, sauf dans les cas où une autre loi contient d'autres dispositions dans l'article 9. Ainsi, il serait confus et inapproprié que le décret soit appliqué de manière rigide et sans orientation unifiée.

En outre, la fourniture de services et de produits par les établissements de crédit s'effectue au moyen de nombreux processus relatifs à un même produit. Chaque processus comprend de nombreuses étapes et implique la collecte, l'évaluation, l'analyse et la fourniture de données sur des fichiers clients très volumineux. Le décret impose au responsable du traitement et au sous-traitant des données personnelles d'obtenir le consentement de la personne concernée (client) pour toutes les procédures de traitement lors de toute activité de traitement de données (article 11) ; et d'informer la personne concernée avant toute activité de traitement de données (article 13). Cela constitue un obstacle supplémentaire au fonctionnement des établissements de crédit.

En outre, les établissements de crédit doivent adapter leurs systèmes informatiques et autres documents réglementaires relatifs aux opérations des établissements de crédit ; les modèles de contrats et d'accords doivent être révisés pour se conformer au décret, ce qui crée des difficultés considérables pour les opérations bancaires.

Troisièmement, un certain nombre de personnes ne comprennent pas et ne sont pas conscientes de la nécessité de protéger leurs données personnelles. Elles partagent donc facilement des informations personnelles sur les plateformes de réseaux sociaux, permettant ainsi involontairement à des personnes mal intentionnées d’en profiter à des fins malveillantes.

Certaines personnes ne voient pas clairement la valeur de la protection des données personnelles comme garantie de la vie privée et ont également peur de fournir des informations personnelles, ce qui entraîne des difficultés pour les autorités dans la gestion étatique de la protection des données personnelles ainsi que dans l'enquête et le traitement des violations de la loi sur la protection des données personnelles.

De plus, l'achat et la vente de données personnelles, ainsi que le risque de fuite d'informations, ont des conséquences majeures sur les plans économique et social. Les phénomènes frauduleux et les spams publicitaires par appels et messages demeurent complexes et impactent la vie des citoyens.

La sécurité des données personnelles est particulièrement importante, car leur vol peut entraîner des pertes économiques et sociales, affectant directement les droits et les intérêts légitimes des agences, organisations, entreprises et particuliers. (Source : Shutterstock)

Mise en pratique du décret

Le Vietnam est l'un des pays où le développement et la vitesse d'accès à Internet sont les plus élevés au monde, avec plus de 70 millions d'utilisateurs. Les données personnelles de plus des deux tiers de notre population sont et sont stockées, publiées, partagées et collectées dans l'environnement numérique, le cyberespace, sous différentes formes et avec différents niveaux de détail.

Le décret constitue une avancée majeure pour garantir les droits de l’homme dans la transformation numérique, en comblant les lacunes et les insuffisances dans la pratique de garantie, de protection et de sécurisation des données personnelles, en augmentant la responsabilité des agences, organisations et individus nationaux et étrangers participant directement ou liés aux activités de traitement des données personnelles au Vietnam.

Pour que le décret soit réellement efficace dans la pratique, il est nécessaire de se concentrer sur les questions suivantes :

Premièrement, il faut accroître la responsabilité des entreprises en matière de protection des droits des travailleurs. Dans le cadre de leur emploi, les entreprises doivent collecter et conserver les informations relatives à leurs employés. Pour assurer la gestion de la main-d'œuvre, les employeurs et les entreprises reçoivent et gèrent de nombreuses informations personnelles des employés. Or, une négligence dans la gestion et le traitement de ces informations peut entraîner des conséquences imprévisibles.

Les entreprises doivent étudier attentivement et évaluer de manière exhaustive les impacts du décret, réviser et mettre à jour rapidement les procédures et les instructions de traitement des données personnelles conformément à la nouvelle réglementation ; envisager d’établir des mécanismes et des réglementations de gouvernance basées sur les dispositions du décret ; maintenir et respecter ces mécanismes et réglementations tout au long du processus d’exploitation.

Deuxièmement, il convient de lever les obstacles aux activités de crédit des établissements de crédit . La Banque d'État doit collaborer étroitement avec les ministères concernés, notamment le ministère de la Sécurité publique, afin de publier des directives unifiées sur la protection des données personnelles dans le secteur du crédit, garantissant ainsi la promotion de la responsabilité opérationnelle des établissements de crédit en matière de protection des données clients et répondant aux exigences et missions spécifiques.

Troisièmement, pour que le décret entre véritablement en vigueur, il est nécessaire de mener un travail efficace de propagande et d'éducation pour vulgariser la loi. Il est notamment essentiel de souligner la nécessité de promulguer le décret dans le but ultime de respecter et de protéger les droits civils et humains. Et surtout, la personne concernée doit elle-même bien comprendre et prendre conscience de ses responsabilités en matière de protection des données personnelles.