Avancez pour garantir les droits humains dans la transformation numérique

La protection des données personnelles consiste à protéger les droits et libertés fondamentaux de la personne en matière de données.

Le 17 avril 2023, le Gouvernement a publié le décret n° 13/2023/ND-CP (décret) relatif à la protection des données personnelles, applicable à compter du 1er juillet 2023, répondant aux exigences en matière de protection des droits relatifs aux données personnelles ; prévenant les actes d’atteinte aux données personnelles, affectant les droits et intérêts des personnes physiques et morales.

Points forts

Le décret est un document juridique régissant la protection des données personnelles et la responsabilité des agences, organisations et personnes concernées en matière de protection des données personnelles.

En premier lieu, la protection des données personnelles consiste à protéger les droits et libertés fondamentaux liés aux données. Les dispositions du décret relatif à la protection des données personnelles, lorsqu'elles sont appliquées, visent à empêcher toute violation des droits et libertés individuels.

Parallèlement, la sécurité des données personnelles revêt une importance particulière car leur vol peut entraîner des pertes économiques et sociales, des risques tels que le chantage, la fraude, l'appropriation de biens, la diffamation, l'atteinte à l'honneur et à la dignité, les abus sexuels..., causant des conséquences matérielles et morales et affectant directement les droits et intérêts légitimes des organismes, organisations, entreprises et particuliers.

Deuxièmement, il convient de promouvoir et de respecter les droits des personnes concernées par le traitement des données personnelles. Ces droits comprennent le droit d'accès, le droit de consentir ou non au traitement de leurs données, le droit à l'information et le droit de demander leur effacement.

De plus, les personnes concernées ont le droit de se protéger contre toute atteinte à leurs données personnelles. Elles peuvent demander réparation en cas de violation des dispositions du décret portant atteinte à leur droit à la protection des données personnelles. Le décret stipule également clairement que la collecte, le transfert, l'achat ou la vente de données personnelles sans le consentement de la personne concernée constituent une infraction.

Toutefois, le droit de la personne concernée à la protection de ses données personnelles n'est pas un droit absolu et peut être limité dans des cas d'urgence pour protéger la vie et la santé de la personne ou d'autrui ; dans des situations d'urgence liées à la défense nationale, à la sécurité, à l'ordre public et à la sûreté ; à l'exécution d'obligations contractuelles déterminées ; ou pour servir les activités des organismes d'État conformément aux lois spécialisées.

La disposition prévoyant des exceptions vise à mettre en œuvre le principe garantissant les droits des individus et des organisations sans porter atteinte aux droits et intérêts légitimes des autres individus et organisations ni aux intérêts nationaux dans l'exercice de ces droits.

Troisièmement, promouvoir l'intégration internationale en matière de protection des données personnelles. Le décret est conforme aux pratiques et réglementations internationales en la matière. De nombreux pays développés ont légalisé la protection des données personnelles, ce qui constitue un modèle dont le Vietnam peut s'inspirer.

Par ailleurs, les organisations internationales dont le Vietnam est membre ou avec lesquelles il coopère ont publié des conventions, des recommandations et des normes relatives à la protection de la vie privée et des données personnelles. Il s'agit notamment des principes de l'OCDE en matière de protection de la vie privée, de la Convention du Conseil de l'Europe sur la protection des personnes physiques à l'égard du traitement automatisé des données à caractère personnel, des lignes directrices des Nations Unies sur les données et fichiers d'information informatisés à caractère personnel, du cadre de protection de la vie privée de l'APEC, de la résolution de Madrid (norme internationale relative à la protection de la vie privée et des données à caractère personnel) et du Règlement général sur la protection des données (RGPD) de l'UE.

Par ailleurs, dans le cadre du renforcement de la coopération entre le Vietnam et d'autres pays et territoires, plus de 80 pays ont adopté des textes législatifs relatifs à la protection des données personnelles, dont beaucoup contiennent des dispositions applicables aux personnes et organisations vietnamiennes. Ainsi, une réglementation précise et détaillée en matière de protection des données personnelles vise à instaurer un climat d'égalité et de respect de la loi au Vietnam, y compris pour les personnes et organisations étrangères.

Les défis

Actuellement, la mise en œuvre du décret se heurte encore à de nombreux défis importants.

Premièrement, le défi réside dans la gestion des employés au sein des entreprises. Actuellement, de nombreuses entreprises adoptent un modèle de société mère et de filiales dotées d'un même écosystème de gestion, permettant un accès facile aux informations relatives aux employés via un système commun.

Cependant, en vertu du droit vietnamien, chaque entreprise (y compris les sociétés mères et les filiales) est considérée comme une entité juridique distincte et indépendante ; par conséquent, le transfert de données personnelles des employés par des entreprises du même écosystème pour servir le processus de gestion interne de l'entreprise peut également être considéré comme une violation de la responsabilité de l'entreprise en matière de protection des données personnelles.

En revanche, actuellement, de nombreuses entreprises rencontrent des difficultés pour mettre en œuvre le décret et n'ont pas encore finalisé les mécanismes et réglementations relatifs à la gestion et à la protection des données personnelles des employés conformément au décret.

Deuxièmement, cela n'est pas conforme à la réglementation applicable aux activités des établissements de crédit. Actuellement, ces activités sont régies par des textes législatifs spécifiques, notamment : la loi de 2010 relative aux établissements de crédit (modifiée et complétée en 2014) ; la loi relative à la lutte contre le blanchiment d'argent ; le décret 117/2018/ND-CP relatif à la confidentialité et à la communication des informations clients des établissements de crédit et des succursales de banques étrangères ; et la circulaire 09/2020/TT-NHNN de la Banque d'État relative à la sécurité des systèmes d'information dans les opérations bancaires, conformément aux dispositions de la loi.

En revanche, dans le cadre des activités bancaires, le traitement des données personnelles, telles que la collecte, l'enregistrement, l'analyse, la vérification, le stockage, la modification, la publication, la combinaison, l'accès, la récupération, le rappel, le chiffrement, le déchiffrement, la copie, le partage, la transmission, la mise à disposition, le transfert, la suppression et la destruction de ces données, sont essentielles pour fournir des services aux clients et gérer les risques liés aux activités bancaires, garantissant ainsi la sûreté et la sécurité du système monétaire. De ce fait, nombre de ces traitements de données personnelles ne peuvent et ne nécessitent pas le consentement des clients. Par ailleurs, l'article 3, paragraphe 2, et l'article 9, paragraphe 1, du décret stipulent que les personnes concernées ont le droit d'être informées du traitement de leurs données personnelles, sauf disposition contraire d'autres lois.

L’article 9, paragraphe 2, stipule que la personne concernée a le droit de ne pas consentir au traitement de ses données personnelles ; elle a également le droit de les supprimer, d’y accéder, d’en demander la limitation du traitement et de s’y opposer, sauf dans les cas où une autre loi prévoit d’autres dispositions à l’article 9. Par conséquent, une application rigide et sans orientation unifiée du décret serait source de confusion et inappropriée.

De plus, la fourniture de services et de produits par les établissements de crédit s'effectue par le biais de nombreux processus pour un même produit. Chaque processus comprend plusieurs étapes et concerne la collecte, l'évaluation, l'analyse et la mise à disposition de données issues de fichiers clients très volumineux. Or, le décret exige que le responsable du traitement et le sous-traitant des données personnelles obtiennent le consentement de la personne concernée (le client) pour tous les traitements de données (article 11) et l'informent préalablement à tout traitement (article 13). Ceci constitue un obstacle supplémentaire au fonctionnement des établissements de crédit.

De plus, les établissements de crédit doivent adapter leurs systèmes informatiques et autres documents réglementaires relatifs à leurs opérations ; les modèles de contrats et d’accords doivent être revus pour se conformer au décret, ce qui crée des difficultés considérables pour les opérations bancaires.

Troisièmement, un certain nombre de personnes ne comprennent pas et ne sont pas conscientes de la protection de leurs données personnelles, et partagent donc facilement des informations personnelles sur les plateformes de réseaux sociaux, permettant involontairement à des personnes mal intentionnées d'en tirer profit à des fins malveillantes.

Certaines personnes ne perçoivent pas clairement l'importance de la protection des données personnelles en tant que garantie de la vie privée et craignent également de fournir des informations personnelles, ce qui complique la tâche des autorités dans la gestion étatique de la protection des données personnelles ainsi que dans l'enquête et le traitement des violations de la loi sur la protection des données personnelles.

Par ailleurs, le commerce de données personnelles et le risque de fuite d'informations entraînent des conséquences majeures, affectant les plans économique et social. Les phénomènes frauduleux et les publicités indésirables par appels et SMS restent complexes et perturbent la vie des individus.

La sécurité des données personnelles revêt une importance particulière car leur vol peut engendrer des pertes économiques et sociales, affectant directement les droits et intérêts légitimes des organismes, organisations, entreprises et particuliers. (Source : Shutterstock)

Mise en œuvre du décret

Le Vietnam est l'un des pays au monde où le développement et l'utilisation d'Internet sont les plus rapides, avec plus de 70 millions d'utilisateurs. Les données personnelles de plus des deux tiers de la population vietnamienne ont été et sont encore stockées, publiées, partagées et collectées dans l'environnement numérique, le cyberespace, sous différentes formes et avec différents niveaux de détail.

Ce décret constitue une avancée majeure pour garantir les droits de l'homme dans le cadre de la transformation numérique, en surmontant les lacunes et les insuffisances dans la pratique de la protection et de la sécurisation des données personnelles, et en renforçant la responsabilité des agences, organisations et personnes nationales et étrangères participant directement aux activités de traitement des données personnelles au Vietnam ou y étant liées.

Pour que le décret soit véritablement efficace dans la pratique, il est nécessaire de se concentrer sur les points suivants :

Premièrement, il est essentiel d'accroître la responsabilité des entreprises en matière de protection des droits des travailleurs. Dans le cadre de la gestion du personnel, les entreprises sont tenues de collecter et de conserver les informations relatives à leurs employés. À des fins de gestion, les employeurs reçoivent et traitent une grande quantité de données personnelles, mais une gestion et un traitement négligents de ces informations peuvent avoir des conséquences imprévisibles.

Les entreprises doivent étudier attentivement et évaluer de manière exhaustive les impacts du décret, revoir et mettre à jour rapidement leurs procédures et instructions de traitement des données personnelles conformément à la nouvelle réglementation ; envisager la mise en place de mécanismes et l’élaboration de règles de gouvernance fondées sur les dispositions du décret ; maintenir et respecter ces mécanismes et règles tout au long de leur activité.

Deuxièmement, il convient de lever les obstacles rencontrés par les établissements de crédit dans leurs activités . La Banque d'État doit collaborer étroitement avec les ministères concernés, notamment le ministère de la Sécurité publique, afin d'établir des directives unifiées sur la protection des données personnelles dans le secteur du crédit. Ces directives doivent à la fois promouvoir la responsabilité opérationnelle des établissements de crédit en matière de protection des données clients et répondre aux exigences et tâches spécifiques.

Troisièmement, pour que le décret entre pleinement en vigueur, il est indispensable de mener un travail de communication et d'éducation efficace afin de le populariser. Il convient notamment de souligner la nécessité de promulguer ce décret dans le but primordial de respecter et de protéger les droits civils et les droits humains. Enfin, il est primordial que chaque personne concernée comprenne parfaitement la loi et prenne conscience de ses responsabilités en matière de protection des données personnelles.