Le décret 13/2023/ND-CP récemment publié par le gouvernement stipule clairement que les mesures de protection des données personnelles sont appliquées dès le début et tout au long du processus de traitement des données personnelles.

Passeport vietnamien. (Photo : VNA)

Le 17 avril, le gouvernement a publié le décret 13/2023/ND/CP sur la protection des données personnelles ; qui énonce clairement les mesures et les conditions pour assurer la protection des données personnelles.

Mesures de protection des données personnelles

Le décret stipule clairement que les mesures de protection des données personnelles sont appliquées dès le début et tout au long du processus de traitement des données personnelles.

Les mesures de protection des données personnelles comprennent : les mesures de gestion mises en œuvre par les organisations et les personnes impliquées dans le traitement des données personnelles ; les mesures techniques mises en œuvre par les organisations et les personnes impliquées dans le traitement des données personnelles ; les mesures mises en œuvre par les agences de gestion compétentes de l'État conformément aux dispositions du présent décret et des lois pertinentes ; les mesures d'enquête et de poursuite mises en œuvre par les agences compétentes de l'État ; d'autres mesures prévues par la loi.

La protection fondamentale des données personnelles consiste à appliquer les mesures de protection des données personnelles susmentionnées ; à élaborer et à promulguer des réglementations sur la protection des données personnelles, en indiquant clairement les tâches à accomplir conformément aux dispositions du présent décret ; à encourager l'application de normes de protection des données personnelles adaptées aux domaines, professions et activités liés au traitement des données personnelles ; à vérifier la sécurité du réseau des systèmes et des moyens et équipements servant au traitement des données personnelles avant le traitement, à supprimer ou à détruire de manière irréversible les appareils contenant des données personnelles.

La protection des données personnelles sensibles signifie l'application des mesures de base de protection des données personnelles et de protection des données personnelles ci-dessus ; la désignation d'un service chargé de la protection des données personnelles, la désignation du personnel chargé de la protection des données personnelles et l'échange d'informations sur le service et les personnes chargées de la protection des données personnelles avec l'Autorité de protection des données personnelles.

Dans le cas où le responsable du traitement des données personnelles, le responsable du traitement et le sous-traitant des données personnelles, le sous-traitant des données ou le tiers est une personne physique, il est nécessaire d'échanger des informations sur la personne physique effectuant la tâche ; d'informer la personne concernée que les données personnelles sensibles de la personne concernée sont en cours de traitement, sauf dans certains cas prescrits.

Autorité de protection des données personnelles

Selon le décret, l'organisme chargé de la protection des données personnelles est le Département de la cybersécurité et de la prévention et du contrôle de la criminalité de haute technologie ( ministère de la Sécurité publique ), chargé d'assister le ministère de la Sécurité publique dans la gestion par l'État de la protection des données personnelles.

Le portail national sur la protection des données personnelles fournit des informations sur les directives, les politiques et les lois de l'État du Parti sur la protection des données personnelles ; diffuse et propage les politiques et les lois sur la protection des données personnelles ; met à jour les informations et l'état de la protection des données personnelles ; reçoit des informations, des enregistrements et des données sur les activités de protection des données personnelles via le cyberespace ; et fournit des informations sur les résultats de l'évaluation du travail de protection des données personnelles des agences, organisations et individus concernés.

En outre, le Portail national de protection des données personnelles reçoit des notifications de violations de la réglementation sur la protection des données personnelles ; avertit et coordonne les avertissements sur les risques et les actes de violation des données personnelles conformément à la loi ; traite les violations de la protection des données personnelles conformément à la loi ; et effectue d'autres activités conformément à la loi sur la protection des données personnelles.

Conditions pour assurer les activités de protection des données personnelles

Le décret stipule clairement que les conditions pour assurer les activités de protection des données personnelles comprennent : La force de protection des données personnelles est une force spécialisée pour la protection des données personnelles organisée auprès de l'Agence de protection des données personnelles ; les départements et le personnel ayant pour fonction de protéger les données personnelles sont affectés dans les agences, les organisations et les entreprises pour assurer la mise en œuvre de la réglementation sur la protection des données personnelles ; les organisations et les individus sont mobilisés pour participer à la protection des données personnelles ; le ministère de la Sécurité publique élabore des programmes et des plans spécifiques pour développer les ressources humaines pour la protection des données personnelles.

Carte d'identité citoyenne à puce intégrée. (Source : VNA)

Les agences, organisations et particuliers sont chargés de diffuser les connaissances et les compétences, de sensibiliser les agences, organisations et particuliers à la protection des données personnelles ; d'assurer les installations et les conditions de fonctionnement de l'Agence spécialisée dans la protection des données personnelles.

Les données personnelles sont des informations sous forme de symboles, de lettres, de chiffres, d'images, de sons ou de formes similaires, présentes dans un environnement électronique, qui sont associées à une personne spécifique ou permettent de l'identifier. Les données personnelles comprennent les données personnelles de base et les données personnelles sensibles.

Les données personnelles de base comprennent : le nom de famille, le deuxième prénom et le nom de naissance, les autres noms (le cas échéant) ; la date de naissance ; la date de décès ou de disparition ; le sexe ; le lieu de naissance, le lieu d'enregistrement de la naissance, la résidence permanente, la résidence temporaire, la résidence actuelle, la ville natale, l'adresse de contact ; la nationalité ; l'image personnelle ; le numéro de téléphone, le numéro de carte d'identité, le numéro d'identification personnel, le numéro de passeport, le numéro de permis de conduire, le numéro de plaque d'immatriculation, le numéro de code fiscal personnel, le numéro d'assurance sociale, le numéro de carte d'assurance maladie ; l'état matrimonial ; les informations sur les relations familiales (parents, enfants) ; les informations sur les comptes numériques personnels ; les données personnelles reflétant les activités et l'historique des activités sur le cyberespace ; d'autres informations associées à une personne spécifique ou aidant à identifier une personne spécifique.

Les données personnelles sensibles sont des données personnelles liées à la vie privée d'un individu qui, lorsqu'elles sont violées, affecteront directement les droits et intérêts légitimes de l'individu, notamment : les opinions politiques, les opinions religieuses ; l'état de santé et la vie privée enregistrés dans les dossiers médicaux, à l'exclusion des informations sur le groupe sanguin ; les informations relatives à l'origine raciale, l'origine ethnique ; les informations sur les caractéristiques génétiques héritées ou acquises d'un individu ; les informations sur les attributs physiques, les caractéristiques biologiques d'un individu ; les informations sur la vie sexuelle, l'orientation sexuelle d'un individu...

La protection des données personnelles est l’activité de prévention, de détection, d’arrêt et de traitement des violations liées aux données personnelles conformément aux dispositions de la loi.

Le décret entre en vigueur à compter du 1er juillet 2023.

Selon VNA