La protection des données personnelles est la protection des droits et libertés fondamentaux de l’homme en matière de données.

Le 17 avril 2023, le gouvernement a publié le décret n° 13/2023/ND-CP (décret) sur la protection des données personnelles, en vigueur à compter du 1er juillet 2023, répondant aux exigences de protection des droits en matière de données personnelles ; Prévenir les actes de violation des données personnelles qui affectent les droits et les intérêts des individus et des organisations.

Points forts

Le décret est un document juridique réglementant la protection des données personnelles et la responsabilité des agences, organisations et individus concernés en matière de protection des données personnelles.

Premièrement, la protection des données personnelles vise à protéger les droits et libertés fondamentaux de l’homme en matière de données. Les dispositions du décret relatif à la protection des données personnelles en vigueur visent à empêcher que les droits et libertés personnels de chaque personne ne soient violés.

Dans le même temps, la sécurité des données personnelles revêt une importance particulière car si des données sont volées, cela peut entraîner des pertes économiques et sociales, des risques tels que : chantage, fraude, appropriation de biens, diffamation, atteinte à l'honneur, à la dignité, abus sexuels..., entraînant des conséquences à la fois matérielles et spirituelles, affectant directement les droits et les intérêts légitimes des agences, organisations, entreprises et particuliers.

Deuxièmement, promouvoir et respecter les droits des personnes concernées par les données personnelles. Les droits des personnes concernées par les données personnelles comprennent le droit d’accès, le droit de consentir ou de s’opposer au traitement des données personnelles, le droit d’être informé et le droit de demander la suppression des données…

En outre, les personnes concernées ont également le droit de se protéger contre toute atteinte à leurs données personnelles par d’autres personnes. Le sujet a le droit de demander une indemnisation pour les dommages causés lorsqu'il y a une violation des dispositions du décret portant atteinte au droit à la protection des données personnelles. Le décret stipule également clairement que la collecte, le transfert ou l’achat et la vente de données personnelles sans le consentement de la personne concernée constituent une violation de la loi.

Toutefois, le droit du sujet à protéger les données personnelles n’est pas un droit absolu, mais peut être limité dans des cas d’urgence pour protéger la vie et la santé de l’individu ou d’autrui ; état d’urgence concernant la défense nationale, la sécurité nationale, l’ordre social et la sécurité ; exécuter des obligations contractuelles telles que déterminées ou servir des activités d'agence d'État telles que prescrites par des lois spécialisées.

L’octroi d’exceptions vise à mettre en œuvre le principe de garantie des droits des individus et des organisations, sans toutefois porter atteinte aux intérêts légitimes d’autres individus, organisations ou intérêts nationaux afin d’exercer ces droits.

Troisièmement, promouvoir l’intégration internationale en matière de protection des données personnelles. Le décret est compatible avec les pratiques et réglementations internationales en matière de protection des données personnelles. De nombreux pays développés ont légalisé la question de la protection des données personnelles, ce qui constitue la base sur laquelle le Vietnam doit faire des recherches et se référer.

En outre, les organisations internationales dont le Vietnam est membre ou coopère avec notre pays ont émis des conventions, des recommandations et des normes sur la confidentialité et la protection des informations et des données personnelles. Il s'agit notamment des principes de confidentialité de l'Organisation de coopération et de développement économiques (OCDE), de la Convention du Conseil de l'Europe pour la protection des personnes physiques à l'égard du traitement automatisé des informations et des données à caractère personnel, des lignes directrices de l'ONU sur les données personnelles et les fichiers d'information informatisés, du Cadre de confidentialité de la Coopération économique Asie- Pacifique (APEC), des normes internationales sur la confidentialité et la protection des informations et des données personnelles (Résolution de Madrid), du Règlement général sur la protection des données (RGPD) de l'UE...

En outre, dans le cadre de la promotion de la coopération entre notre pays et d’autres pays et territoires, plus de 80 pays ont publié des documents juridiques sur la protection des données personnelles, dont beaucoup contiennent des dispositions applicables aux organisations et aux individus vietnamiens. Par conséquent, des réglementations spécifiques et détaillées sur la protection des données personnelles visent à créer un environnement égalitaire et respectueux des lois au Vietnam, y compris pour les personnes et les organisations étrangères.

Les défis

Actuellement, des défis importants subsistent dans la mise en œuvre du décret.

Premièrement, le défi de la gestion du travail dans les entreprises. De nos jours, de nombreuses entreprises construisent un modèle de société mère et de filiales partageant le même écosystème de gestion, les informations sur les employés peuvent être facilement accessibles à partir du système commun.

Toutefois, en vertu de la loi vietnamienne, chaque entreprise (y compris les sociétés mères et les filiales) est considérée comme une entité juridique distincte et indépendante, de sorte que le transfert de données personnelles des employés par des entreprises du même écosystème pour servir le processus de gestion interne de l'entreprise peut également être considéré comme une violation de la responsabilité de l'entreprise de protéger les données personnelles.

D'autre part, de nombreuses entreprises sont actuellement confrontées à des difficultés dans la mise en œuvre du décret et n'ont pas encore achevé le mécanisme et la réglementation de gestion et de protection des données personnelles des employés conformément au décret.

Deuxièmement, elle n’est pas conforme aux réglementations légales régissant les opérations des établissements de crédit. Actuellement, les opérations des établissements de crédit sont réglementées par des réglementations juridiques spécialisées telles que : la loi sur les établissements de crédit de 2010 (modifiée et complétée en 2014) ; Loi relative à la lutte contre le blanchiment d’argent; Décret 117/2018/ND-CP sur la confidentialité et la fourniture d'informations sur les clients des établissements de crédit et des succursales de banques étrangères ; Circulaire 09/2020/TT-NHNN de la Banque d'État réglementant la sécurité des systèmes d'information dans les activités bancaires au niveau inférieur à la loi.

D'autre part, pour les activités bancaires, le traitement des données affecte les données personnelles, telles que : La collecte, l'enregistrement, l'analyse, la confirmation, le stockage, l'édition, la publication, la combinaison, l'accès, la récupération, le rappel, le cryptage, le décryptage, la copie, le partage, la transmission, la fourniture, le transfert, la suppression, la destruction des données personnelles ou d'autres actions connexes sont essentielles pour fournir des services aux clients et gérer les risques dans les activités bancaires, en garantissant la sécurité du système monétaire, de sorte que de nombreuses activités de traitement des données personnelles des clients ne peuvent pas et ne nécessitent pas le consentement des clients, tandis que la clause 2, article 3 et la clause 1, article 9 du décret stipulent que les sujets ont le droit de connaître le traitement de leurs données personnelles, sauf dans les cas où d'autres lois en disposent autrement.

Ou dans la clause 2, l’article 9 stipule que le sujet a le droit de ne pas consentir au traitement de ses données personnelles ; Le sujet a le droit de supprimer, d'accéder, de demander la limitation du traitement des données et de s'opposer au traitement des données, sauf dans les cas où d'autres lois prévoient le contraire dans l'article 9. Il serait donc confus et inapproprié que le décret soit appliqué de manière rigide et sans orientation unifiée.

En outre, la fourniture de services et de produits par les établissements de crédit s'effectue selon de nombreux processus sur un seul produit, chaque processus sur un seul produit comprend de nombreuses étapes différentes et est lié à la collecte, l'évaluation, l'analyse et la fourniture de données sur des fichiers clients très volumineux, tandis que le décret exige que la partie contrôlant et traitant les données personnelles lors de la conduite de toute activité de traitement de données doit avoir le consentement de la personne concernée (client) dans toutes les procédures de traitement (article 11) ; et doit informer la personne concernée des données personnelles avant d'effectuer des activités de traitement de données (article 13). Cela continue de constituer un obstacle supplémentaire aux opérations des établissements de crédit.

En outre, les établissements de crédit doivent adapter leurs systèmes informatiques et autres documents réglementaires relatifs aux opérations des établissements de crédit ; Les documents contractuels et conventionnels doivent être révisés pour se conformer au décret, ce qui crée une difficulté non négligeable pour les opérations bancaires.

Troisièmement, une partie de la population ne comprend pas et n’est pas consciente de la nécessité de protéger ses données personnelles, c’est pourquoi elle partage facilement des informations personnelles sur les plateformes de réseaux sociaux, permettant ainsi involontairement à des personnes mal intentionnées d’en profiter à des fins malveillantes.

Certaines personnes ne voient pas clairement l’intérêt de la protection des données personnelles comme moyen de garantir la confidentialité des données personnelles et ont également peur de fournir des informations personnelles, ce qui rend difficile pour les autorités de mener à bien la gestion étatique de la protection des données personnelles ainsi que de servir à l’enquête et au traitement des violations de la loi sur la protection des données personnelles.

De plus, la situation d’achat et de vente de données personnelles, le risque de fuite d’informations, crée des conséquences majeures, affectant les questions socio-économiques. La fraude et le spam publicitaire via les appels et les SMS restent complexes et affectent la vie des gens.

La sécurité des données personnelles revêt une importance particulière car si des données sont volées, cela peut entraîner des pertes économiques et sociales, affectant directement les droits et les intérêts légitimes des agences, des organisations, des entreprises et des particuliers. (Source : Shutterstock)

Mise en pratique du décret

Le Vietnam est l’un des pays avec le plus grand développement d’Internet et la plus grande vitesse d’application au monde avec plus de 70 millions d’utilisateurs. Les données personnelles de plus de 2/3 de la population de notre pays ont été et sont stockées, publiées, partagées et collectées dans l’environnement numérique et le cyberespace sous différentes formes et à différents niveaux de détail.

Le décret constitue une avancée majeure pour garantir les droits de l’homme dans la transformation numérique, en comblant les lacunes et les insuffisances dans la pratique de la garantie, de la protection et de la sécurisation des données personnelles, et en renforçant la responsabilité des agences, organisations et individus nationaux et étrangers directement impliqués ou liés aux activités de traitement des données personnelles au Vietnam.

Pour que le décret soit réellement efficace dans la pratique, il est nécessaire de se concentrer sur les questions suivantes :

L’une d’elles consiste à accroître la responsabilité des entreprises dans la protection des droits des travailleurs. Lorsqu’elles emploient de la main-d’œuvre, les entreprises doivent collecter et stocker des informations sur les employés. Pour servir les objectifs de gestion du travail, les employeurs et les entreprises reçoivent et gèrent de nombreuses informations personnelles des employés, mais s'ils ne sont pas prudents dans la gestion et le traitement des informations, cela entraînera des conséquences imprévisibles.

Les entreprises doivent étudier attentivement et évaluer de manière exhaustive les impacts du décret, revoir et mettre à jour rapidement les procédures et les instructions de traitement des données personnelles conformément à la nouvelle réglementation ; Envisager d’établir des mécanismes et des règles de gouvernance en matière de construction, sur la base des dispositions du décret ; maintenir et respecter ces mécanismes et réglementations tout au long de l’exploitation.

Deuxièmement, supprimer les difficultés pour les activités de crédit des établissements de crédit . La Banque d’État doit collaborer étroitement avec les ministères concernés, en particulier le ministère de la Sécurité publique, pour fournir des orientations unifiées sur la protection des données personnelles dans le secteur du crédit, en garantissant à la fois la promotion de la responsabilité opérationnelle des établissements de crédit dans la protection des données des clients et en répondant aux exigences et tâches spécialisées.

Troisièmement, pour que le décret entre réellement en vigueur, il est nécessaire de faire un bon travail de propagande et d’éducation pour vulgariser la loi. Il est notamment nécessaire de souligner la nécessité d’émettre un décret ayant pour objectif suprême le respect et la protection des droits civils et des droits de l’homme. Et surtout, la personne concernée elle-même doit bien comprendre et prendre conscience de sa responsabilité en matière de protection des données personnelles.