Zalo enfreint-il la loi ?
La loi de 2025 sur la protection des données personnelles introduit de nombreuses dispositions spécifiques concernant les droits des personnes concernées (utilisateurs), ainsi que les droits et obligations des organisations et entreprises qui collectent et traitent des données personnelles. Par conséquent, la collecte de données personnelles doit se faire avec le consentement de l'utilisateur. Les réseaux sociaux et les services de communication en ligne sont tenus d'indiquer clairement le contenu des données personnelles collectées ; ils ne sont pas autorisés à demander des images ou des vidéos contenant des documents d'identité, en tout ou en partie, à des fins de vérification de compte.
Zalo annonce de nouvelles conditions d'utilisation avant l'entrée en vigueur de la loi de 2025 sur la protection des données personnelles.
Photo : MP
Contre toute attente, juste avant l'entrée en vigueur de la loi, Zalo, le réseau social le plus utilisé au Vietnam, a affiché une notification mettant à jour ses conditions d'utilisation, suscitant l'inquiétude de nombreux utilisateurs. Beaucoup ont exprimé des doutes car les nouvelles conditions concernent le droit à la vie privée et la protection des données personnelles, et le refus de les accepter signifierait l'impossibilité d'utiliser l'application Zalo.
Par exemple, dans la clause « Collecte, protection et utilisation des informations utilisateur », lorsqu'un utilisateur se connecte à son compte Zalo , il autorise VNG (l'éditeur de l'application) à utiliser des moyens techniques pour collecter et traiter les données relatives à son compte. Les données personnelles de base fournies par les utilisateurs à des fins d'identification comprennent leur numéro de téléphone, leur carte d'identité, leurs nom et prénom, leur âge, leur sexe, leurs liens familiaux, leur adresse e-mail et leurs photos personnelles. De même, l'avis indiquant que VNG reçoit, partage et transfère les données personnelles des utilisateurs à ses sociétés membres et affiliées suscite des inquiétudes chez de nombreux utilisateurs quant à une éventuelle fuite de leurs informations personnelles.
On observe depuis peu une recrudescence des escroqueries où des personnes se font passer pour des livreurs, des employés de compagnies d'électricité ou des acheteurs en ligne, toutes liées à des fuites de données. Les victimes perdent de l'argent ou sont piégées par de faux liens ou applications qui volent leurs comptes, entraînant de graves conséquences. Si des mesures juridiques plus strictes ne peuvent empêcher totalement les fuites de données, elles constituent néanmoins une base solide pour prévenir et lutter contre la fraude en ligne.
M. Ngo Minh Hieu (Directeur du Projet de lutte contre la fraude)
Selon M. Vo Do Thang, directeur du centre de formation en cybersécurité Athena, Zalo demande le droit d'accéder aux données personnelles des utilisateurs et de les traiter. Cependant, la nouvelle annonce ne précise pas clairement les avantages liés à l'autorisation de partage et d'utilisation des données personnelles, ni la valeur ajoutée que Zalo apporte. En cas de fuite de données causant un préjudice aux utilisateurs, comment Zalo les indemnisera-t-elle ? C'est ce qui inquiète les utilisateurs de l'application. Par conséquent, Zalo doit clairement définir les droits et obligations des utilisateurs, ainsi que sa responsabilité en cas de fuite de données. De plus, après le 1er janvier 2026, comment les données personnelles collectées par Zalo auprès des anciens utilisateurs seront-elles stockées et utilisées ? Les droits seront-ils différents entre ceux qui ont donné leur accord avant le 1er janvier 2026 et ceux qui le feront après ? Par ailleurs, si Zalo souhaite apporter des modifications, un préavis d'au moins 30 jours est nécessaire pour permettre aux utilisateurs de s'y préparer. Cette application de médias sociaux doit communiquer de manière plus transparente sur ces points afin que les utilisateurs soient bien informés.
L'expert en cybersécurité Nguyen Van Thu interprète l'annonce de Zalo comme une mise à jour conforme à l'esprit de la future loi de 2025 sur la protection des données personnelles. Auparavant, de nombreux réseaux sociaux et autres applications exigeaient que les utilisateurs acceptent les conditions générales d'utilisation lors de leur inscription. Nombreux étaient ceux qui, sans y prêter attention, ne lisaient pas attentivement ces conditions et les acceptaient automatiquement, voire les ignoraient, notamment celles relatives aux données personnelles. Les entreprises n'exigeaient pas non plus explicitement l'accord des utilisateurs. Cependant, avec l'entrée en vigueur de la loi de 2025 sur la protection des données personnelles, les entreprises ne pourront collecter les informations personnelles des utilisateurs pour la création de comptes qu'avec leur consentement. De plus, à partir de 2026, si les utilisateurs constatent que leurs données personnelles sont traitées ou utilisées à des fins autres que celles autorisées, ils auront le droit d'exiger de Zalo, en particulier, ou des autres entreprises, la suppression de ces données, et même d'engager une action en justice pour obtenir réparation si leurs droits sont lésés.
Contribuer à la réduction de la fraude
L'une des autres dispositions importantes de la loi de 2025 sur la protection des données personnelles est la liste claire des sept actes interdits relatifs aux données personnelles. Il s'agit notamment de l'utilisation des données personnelles d'autrui pour commettre des actes illégaux, ainsi que de l'achat et de la vente de données personnelles . En réalité, l'achat et la vente de données personnelles sont devenus monnaie courante ces derniers temps, et sont à l'origine de nombreuses escroqueries. Ces personnes achètent et vendent ouvertement des données en grande quantité et sur une longue période, via de nombreux sites web, comptes et groupes sur les réseaux sociaux tels que Facebook, Zalo, Telegram et les forums de hackers. Ces données contiennent notamment des informations personnelles très détaillées, telles que : nom complet, date de naissance, numéro d'identification national, adresse, numéro de téléphone, numéro de compte bancaire (y compris le solde), informations sur les proches, profession et poste occupé.
Il est interdit aux applications de médias sociaux de demander des images ou des vidéos contenant des documents d'identité complets ou partiels comme moyen de vérification de compte.
Photo : Ngoc Duong
M. Ngo Minh Hieu, directeur du Projet de lutte contre la fraude , estime également que la loi sur la protection des données personnelles, applicable à compter du 1er janvier 2026, sans pour autant mettre un terme immédiat à la recrudescence récente de la fraude en ligne, contribuera à la réduire et à la limiter progressivement. Il explique : « Cette loi instaurera un cadre juridique plus solide pour la protection des données personnelles. Elle établit notamment les droits des individus concernant leurs données privées, leur donnant le droit d’en demander l’effacement lorsqu’elles ne sont plus nécessaires. Parallèlement, la loi encadre strictement la collecte et le traitement des données ; les organisations et les entreprises sont tenues de respecter les processus et la vie privée de leurs clients, et d’évaluer régulièrement la sécurité de leurs systèmes et applications, notamment la cybersécurité. »
« En cas d'attaque informatique visant une organisation, celle-ci doit immédiatement en informer les autorités afin d'éviter des sanctions. Dans certains cas où des employés ou des responsables d'une entreprise ou d'une organisation vendent des informations à des tiers, cette loi prévoit également des sanctions claires, allant des poursuites pénales aux amendes administratives très lourdes calculées en fonction du chiffre d'affaires annuel. Récemment, on a constaté une recrudescence des escroqueries impliquant l'usurpation d'identité de transporteurs, de fournisseurs d'électricité ou de vendeurs en ligne… toutes liées à des fuites de données. Les victimes perdent de l'argent ou sont piégées par de faux liens ou applications qui volent leurs comptes, entraînant de graves conséquences. Le renforcement des barrières juridiques, bien que les fuites d'informations ne puissent être totalement empêchées, constitue une base solide pour prévenir et lutter contre la fraude en ligne », a conclu M. Ngo Minh Hieu.
L'expert Nguyen Van Thu a également confirmé qu'avant l'entrée en vigueur de la loi, toute entreprise collectait et utilisait les informations client sans discernement, entraînant de nombreuses conséquences néfastes pour les individus et la société dans son ensemble. Par conséquent, l'application officielle de la loi permettra de réduire progressivement ce problème et de sensibiliser davantage les citoyens et les entreprises à la protection des données personnelles. Les individus seront plus proactifs dans la protection de leurs données lorsqu'ils partagent des informations personnelles en ligne. Cette sensibilisation accrue contribuera à limiter le partage public d'informations en ligne et à détecter rapidement les vols et les trafics de données personnelles, qui seront signalés aux autorités compétentes pour un traitement rapide. Ceci permettra de réduire l'achat et la vente d'informations personnelles et de lutter contre la fraude.
Les utilisateurs ont le droit de demander la suppression de leurs données et de réclamer une indemnisation.
La loi de 2025 sur la protection des données personnelles définit un ensemble de droits pour les utilisateurs concernant leurs données personnelles. Ces droits incluent le droit de demander la rectification ou la suppression des données si elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées ; de retirer leur consentement au traitement de leurs données personnelles ; et de porter plainte, d’intenter une action en justice et de réclamer des dommages et intérêts. Par exemple, auparavant, les utilisateurs autorisaient les entreprises à utiliser leurs informations personnelles, telles que leurs numéros de téléphone et adresses, lors de leur inscription à des services. Or, si l’utilisateur cessait d’utiliser le service, ces données continuaient d’être stockées et utilisées par l’entreprise à des fins publicitaires et marketing. Désormais, les utilisateurs peuvent demander aux entreprises de supprimer leurs informations personnelles.
La loi précise notamment la distinction entre données personnelles ordinaires et données personnelles sensibles. Ainsi, les données personnelles sensibles comprennent des informations telles que l'état de santé, les données financières, les données biométriques, la vie privée, les opinions politiques , etc., et leur traitement est soumis à des exigences de protection renforcées.
L'expert Ngo Minh Hieu a souligné que la nouvelle loi aura un impact sur la plupart des gens, car les informations et les données personnelles prennent une importance croissante, notamment à l'ère du développement fulgurant de l'IA. Parmi les nouvelles dispositions, les utilisateurs ont le droit de supprimer ou de demander la suppression de leurs données personnelles. Il est important que les citoyens soient attentifs à ces nouvelles réglementations afin de demander aux organismes et aux services de gestion des données de supprimer leurs informations lorsqu'ils n'en ont plus besoin, notamment dans des secteurs comme la finance et les télécommunications.
« Ce règlement va certainement causer des problèmes à de nombreuses personnes qui se voient constamment proposer des biens immobiliers, des valeurs mobilières ou des prêts sans savoir comment y mettre fin. Lorsque la loi entrera en vigueur, les utilisateurs disposeront d'un cadre légal pour obtenir réparation », a ajouté M. Ngo Minh Hieu.
Selon Nguyen Van Thu, expert en cybersécurité, les entreprises seront les plus touchées dans un premier temps après la mise en œuvre de la loi. Collectant et stockant des informations personnelles, elles constituent un immense « entrepôt » de données, ce qui en fait une cible privilégiée pour les pirates informatiques. Ces derniers peuvent ainsi s'attaquer à ces données et les voler à des fins frauduleuses, de piratage de comptes ou de vol financier. Par conséquent, pour se conformer à la réglementation et protéger les données personnelles de leurs clients, les entreprises devront mettre en place des processus internes de collecte, de traitement et de protection des données. Parallèlement, elles devront déployer des solutions techniques, matérielles et logicielles, afin de prévenir la copie des données et de minimiser les risques.
Cela inclut la prévention des attaques externes et des vols et diffusions de données par des employés. De telles mesures peuvent engendrer des coûts supplémentaires pour l'entreprise. Toutefois, elles sont entièrement bénéfiques pour les utilisateurs, et les entreprises elles-mêmes renforceront leur cybersécurité opérationnelle. De plus, les organismes gouvernementaux disposeront de motifs suffisants pour mener des inspections, des contrôles et imposer des sanctions aux organisations et entreprises contrevenantes, assurant ainsi une meilleure protection des utilisateurs.
Une amende maximale de 5 % du chiffre d'affaires de l'année suivante peut être infligée en cas de violation des données personnelles.
La loi de 2025 sur la protection des données personnelles stipule : l’amende maximale pour les infractions administratives liées à l’achat et à la vente de données personnelles est égale à dix fois le chiffre d’affaires tiré de l’infraction. L’amende maximale pour les infractions administratives commises par des organisations qui enfreignent la réglementation sur les transferts transfrontaliers de données personnelles est égale à 5 % de leur chiffre d’affaires de l’année précédente ; ce taux s’applique en l’absence de chiffre d’affaires l’année précédente ou si l’amende calculée sur la base du chiffre d’affaires est inférieure à l’amende maximale prévue. L’amende maximale pour les autres infractions en matière de protection des données personnelles est de 3 milliards de VND. Les personnes physiques commettant la même infraction sont passibles d’une amende maximale égale à la moitié de celle infligée aux organisations.
L'achat et la vente de données personnelles sont strictement interdits.
GRAPHISMES : BAO NGUYEN
Source : https://thanhnien.vn/du-lieu-ca-nhan-nong-truc-ngay-duoc-luat-bao-ve-185251228221725252.htm
Comment (0)