Les données de millions de clients ont fuité
Le ministère de la Sécurité publique a pointé du doigt plusieurs entreprises technologiques ayant divulgué des informations clients, ainsi que des sociétés de réservation de taxis ayant utilisé des données passagers divulguées pour proposer leurs services par SMS. Le ministère a également indiqué que la situation actuelle, marquée par la fuite et la vente de données personnelles, est généralisée, publique et de plus en plus complexe. Plus grave encore, de nombreuses données sont vendues publiquement depuis longtemps et en grande quantité sur Internet. Ces transactions ne se limitent pas aux échanges entre particuliers, mais impliquent également des entreprises et des organisations.
En 2018, des forums spécialisés ont relayé des informations concernant une fuite du site Thegioididong.com et le vol d'informations confidentielles (adresses e-mail, historiques de transactions et numéros de carte bancaire) par des pirates informatiques, suscitant l'inquiétude de millions de clients. Gioi Di Dong a immédiatement publié un communiqué de presse confirmant qu'il s'agissait d'une fausse information, que le système restait sécurisé, fonctionnait normalement et n'était pas affecté. La situation s'est ensuite progressivement apaisée.
Des données personnelles sont divulguées, divulguées et vendues ouvertement en ligne.
En avril 2018, VNG a signalé que 160 millions de comptes Zing ID étaient menacés de fuite, ce qui pouvait affecter une partie de ses fichiers clients de jeux vidéo. L'entreprise a déclaré avoir immédiatement pris des mesures techniques pour gérer et prévenir toute intrusion, et limiter le nombre d'utilisateurs touchés. VNG a toutefois admis que les informations de certains utilisateurs avaient fuité, mais a précisé que « le nombre d'utilisateurs réellement affectés par cet incident reste limité, se concentrant sur les clients de jeux vidéo, et n'affecte pas les autres produits VNG ». L'entreprise s'est engagée à garantir en permanence les droits et la sécurité de ses clients et à résoudre tout problème rencontré.
Selon M. Vo Do Thang, du centre de cybersécurité Athena, dans des cas spécifiques comme celui évoqué par le ministère de la Sécurité publique, une enquête est indispensable pour déterminer si le système de l'entreprise a été attaqué ou si des employés ont dérobé et diffusé des données. Quelle qu'en soit la raison, une fuite de données révèle une vulnérabilité du système. Cette vulnérabilité peut être d'ordre technique ou humain. Par conséquent, la sécurité du réseau et la protection des données personnelles des clients doivent être assurées et mises en œuvre en continu, 24h/24 et 7j/7, sans aucune négligence. En effet, nul ne peut se permettre de croire que son système est inviolable, car des attaques de pirates informatiques peuvent survenir à tout moment. Sans parler du risque que des employés de l'entreprise volent des données clients pour les revendre à des tiers…
Le monde applique de lourdes sanctions, mais le Vietnam en impose peu.
Récemment, de nombreux cas de fuites de données clients ont été recensés, mais quasiment aucune entreprise n'a été sanctionnée. Pourtant, de nombreux pays à travers le monde ont infligé de lourdes amendes pour ce type de comportement. Par exemple, en juillet 2019, la Commission fédérale du commerce américaine (FTC) a condamné Facebook à une amende de 5 milliards de dollars après que Cambridge Analytica a accédé aux données personnelles de 87 millions d'utilisateurs du réseau social et les a utilisées illégalement. Selon l'enquête, Facebook a permis à Cambridge Analytica d'accéder illégalement aux données de 50 millions d'utilisateurs américains lors de la campagne présidentielle de 2016 et du référendum sur le Brexit au Royaume-Uni la même année. Il s'agit de l'amende la plus élevée jamais infligée pour un scandale de fuite de données d'utilisateurs.
Au Vietnam, de nombreuses réglementations encadrent les sanctions liées aux fuites et divulgations d'informations. Actuellement, le projet de décret relatif aux sanctions pour infractions administratives en matière de sécurité des réseaux (en cours de consultation et en attente de promulgation par le gouvernement) prévoit une amende maximale de 5 % du chiffre d'affaires total de l'exercice précédent pour les organisations ne respectant pas la réglementation sur la protection des données personnelles, en cas de récidive. Par ailleurs, une sanction supplémentaire, le retrait de la licence d'exploitation pour une durée de un à trois mois, est envisageable pour les entreprises du secteur nécessitant la collecte de données personnelles.
M. Vu Ngoc Son, directeur technique de la société VN Cyber Security Technology.
M. Vu Ngoc Son, directeur technique de la société VN Cyber Security Technology, a déclaré qu'à ce jour, en raison de l'absence de réglementation détaillée sur la protection des données personnelles, les entreprises et organisations qui enfreignent la loi ne sont passibles que de sanctions administratives. Par conséquent, la pénalité maximale proposée, plafonnée à 5 % du chiffre d'affaires total, dans le projet de loi à venir, est adaptée au Vietnam et a un effet dissuasif, incitant ainsi les entreprises à une plus grande responsabilité en matière de protection des données clients. Cependant, selon M. Son, cette amende reste modeste par rapport aux pratiques internationales. En effet, dans de nombreux pays, les amendes sont généralement calculées en fonction de l'ampleur des conséquences de chaque infraction. Par exemple, si une infraction commise par une petite entreprise affecte gravement un grand nombre d'utilisateurs, l'amende sera très élevée. « Au Vietnam, il n'existe pas encore de système permettant d'évaluer l'impact de chaque fuite de données personnelles. Il est donc logique de proposer une amende basée sur le chiffre d'affaires. Je pense que cela constituera un progrès important dans le contrôle et la protection des données personnelles », a déclaré M. Vu Ngoc Son.
M. Vo Do Thang a approuvé cette mesure, soulignant que des réglementations plus détaillées, prévoyant des sanctions administratives spécifiques et publiques pour les manquements à la protection des données personnelles des clients, inciteraient les entreprises à revoir leurs systèmes de sécurité réseau. Un processus d'évaluation et de contrôle régulier des ressources techniques et humaines est mis en place afin de garantir la confidentialité des informations clients. Ce processus est comparable aux réglementations relatives à la sécurité incendie dans les immeubles de bureaux et les lieux publics. Les autorités compétentes doivent également renforcer l'inspection, la supervision et les sanctions à l'encontre des entreprises contrevenantes. Une première infraction pourrait être rendue publique ; en cas de récidive, des sanctions administratives seraient appliquées, puis le service pourrait être suspendu temporairement afin de permettre à l'entreprise de renforcer sa sécurité réseau.
Quelle que soit sa taille, toute entreprise doit, dès le début de son activité, se conformer à la réglementation en matière de sécurité des réseaux. Cela permet non seulement de protéger les données personnelles des utilisateurs, mais aussi d'améliorer la réputation du Vietnam dans l'environnement économique numérique. Il en résultera des retombées positives sur le commerce international et un développement accru de l'économie numérique du pays.
M. Vo Do Thang , Centre de cybersécurité Athena
Lien source
![[Photo] Action for the Community raconte des histoires de parcours initiatiques – à la fois intimes et grandioses, mais aussi discrets et déterminés](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/15/1763179022035_ai-dai-dieu-5828-jpg.webp)
Comment (0)