Projet de loi sur la cybersécurité : Vers un cyberespace plus sain et plus sûr

L'utilisation de l'IA pour falsifier des visages, des voix... afin de commettre une fraude est strictement interdite.

La députée Le Thi Thanh Lam ( Can Tho ) a déclaré que le développement rapide de l'intelligence artificielle (IA) a engendré de nombreuses formes de fraude, notamment l'usurpation d'identité (visage, voix et image). Elle a également souligné que les personnes vulnérables, comme les personnes âgées, les personnes handicapées et les personnes à mobilité réduite, sont des cibles privilégiées. Les cybercriminels exploitent leur manque de compétences en matière de cybersécurité.

Par conséquent, le délégué a suggéré que dans le règlement relatif aux actes interdits en matière de cybersécurité, à l'article 9, il soit nécessaire d'ajouter une disposition interdisant l'utilisation de l'IA pour falsifier des visages, des voix et d'autres technologies de falsification pour usurper l'identité d'organisations et d'individus afin de frauder, de déformer ou de tromper, de porter atteinte aux droits et intérêts légitimes des personnes.

Dans le même temps, il convient de poursuivre l'examen et la recherche de réglementations supplémentaires visant à prévenir, à stopper et à traiter rapidement les actes d'utilisation de la technologie, notamment des deepfakes d'IA, pour modifier, créer des clips, des images et des sons afin de falsifier l'identité ou les caractéristiques d'identification de personnes célèbres ou de proches dans le but de frauder, de diffamer ou de fournir de fausses informations... dans le projet de loi.

Par ailleurs, la députée Ha Anh Phuong ( Phu Tho ) a également relevé quatre lacunes dans l'article 20 relatif à la prévention et à la lutte contre la maltraitance des enfants en ligne. Bien que ce point constitue un élément important et novateur du projet de loi, selon la députée, la réglementation actuelle ne prévoit aucun critère permettant d'identifier les contenus préjudiciables aux enfants, ce qui peut facilement entraîner des suppressions excessives ou un traitement incohérent.

Parallèlement, on constate un manque de « barrières » de confidentialité lors de la mise en œuvre de techniques (principes de minimisation des données, anonymat) ; une lourde charge de conformité pour les petites unités car les obligations ne sont pas stratifiées en fonction du risque/de l'échelle ; il n'existe aucun mécanisme pour le traitement rapide des plaintes et la transparence des rapports, et aucune couverture ne s'applique aux groupes vulnérables autres que les enfants.

Pour combler les lacunes mentionnées, la déléguée Ha Anh Phuong a suggéré d'étudier et de compléter la définition et la classification du niveau de préjudice par des critères clairs. Il convient d'ajouter le principe de protection des données (minimisation, anonymat), de mettre en place un canal de réclamation rapide et de publier les données périodiquement. Parallèlement, il est recommandé d'appliquer le modèle d'obligation « risque/échelle » assorti d'une feuille de route adaptée aux petits services, notamment éducatifs et communautaires, ce qui signifie que tous les services ne sont pas tenus de satisfaire aux mêmes exigences techniques onéreuses.

Pour les plateformes de médias sociaux à haut risque (par exemple, les grands réseaux sociaux, un grand nombre d'utilisateurs et une forte diffusion, une forte participation d'enfants et des contenus sensibles), les délégués ont suggéré la mise en place de filtres/blocages et d'une procédure de signalement rapide. Pour les services à risque moyen (plateformes de commerce électronique de taille moyenne, forums spécialisés), un ensemble d'exigences allégé est requis. Pour les services à faible risque ou de petite taille (sites web de clubs scolaires, petites applications pour la classe), seules les normes minimales sont exigées et un calendrier de développement plus long est appliqué.

« Les critères de hiérarchisation peuvent reposer sur le nombre d'utilisateurs par mois, la capacité de diffusion du contenu, la proportion d'utilisateurs mineurs, le type de contenu géré et l'historique des infractions. Cette approche permet de concentrer les ressources sur les zones à haut risque, allégeant ainsi la charge des petites unités tout en garantissant la sécurité de base », a souligné le délégué.

La déléguée a également souligné que la disposition relative à « l’application de mesures professionnelles de prévention et de détection » figurant à l’article 20 du projet de loi est nécessaire, mais qu’elle n’évoque pas le principe de protection des données personnelles des enfants lors de la collecte et de l’analyse des informations. La « surveillance du cyberespace » peut engendrer des « risques d’atteinte à la vie privée » en l’absence de limites et de mécanismes de contrôle indépendants. Par conséquent, la déléguée Ha Anh Phuong a proposé d’ajouter le principe suivant : « Toutes les activités professionnelles liées aux données des enfants doivent respecter le principe de minimisation et de protection des données personnelles. »

Face au constat que les personnes âgées représentent environ 50 % des victimes de fraudes en ligne, les députées Le Thi Thanh Lam et Le Thi Ngoc Linh (Ca Mau) ont proposé d'élargir la catégorie des personnes protégées afin d'y inclure les personnes vulnérables telles que les personnes âgées et celles dont la capacité juridique est altérée ou inexistante. Cette proposition vise à garantir l'exhaustivité des dispositions du chapitre III relatif à la prévention et à la gestion des atteintes à la sécurité des réseaux. Elle prévoit également de compléter la réglementation relative aux responsabilités des plateformes numériques, des opérateurs de télécommunications et des banques en matière de détection, d'alerte et de coordination des actions en cas de préjudices et de fraudes visant ce groupe.

Le gouvernement précise en détail les responsabilités des ministères, des directions et des agences.

Concernant la force de protection de la cybersécurité, le député de l'Assemblée nationale Nguyen Quoc Duyet (Hanoï) a déclaré que le cyberespace est désormais devenu un nouveau territoire, un espace stratégique indissociable de la souveraineté nationale, un environnement qui contient des risques et des défis de sécurité extrêmement complexes.

Le cyberespace est devenu un cinquième front et un cinquième environnement de combat, aux côtés des environnements de combat traditionnels sur terre, dans les airs, en mer et dans l'espace. Considéré comme faisant partie intégrante du territoire national, il occupe une place particulière dans la construction et la défense de la patrie. Par conséquent, la protection de la patrie dans le cyberespace constitue une tâche urgente, permanente et de longue haleine, indissociable de la construction et de la défense de la patrie.

« La nature transfrontalière, asymétrique et non traditionnelle des cybermenaces rend la protection de la souveraineté nationale dans le cyberespace complexe et exige une coordination étroite entre les forces, en particulier celles qui jouent un rôle central au sein du ministère de la Défense nationale et du ministère de la Sécurité publique. »

Soulignant cette exigence, le délégué Nguyen Quoc Duyet a suggéré que le projet de loi définisse clairement et de manière transparente les rôles du ministère de la Défense nationale, du ministère de la Sécurité publique et du Comité gouvernemental de chiffrement ; dans le même temps, la répartition des tâches et des pouvoirs des agences devrait être fondée sur les fonctions et les tâches de la gestion étatique par secteur et par domaine.

Le député Nguyen Minh Quang (Hai Phong) a également déclaré que les articles 15, 16, 22, 23, 24, 25 et 32 ​​stipulent que le ministère de la Défense nationale est responsable et habilité à gérer et à mettre en œuvre un certain nombre de mesures visant à protéger la cybersécurité des systèmes d'information militaires. Par conséquent, la portée du projet de loi régissant les compétences et les responsabilités du ministère de la Défense nationale est très limitée et ne couvre pas tous les domaines de la défense nationale. Le député a suggéré de s'appuyer sur la loi de 2015 relative à la sécurité des réseaux d'information et sur la loi de 2018 relative à la cybersécurité.

Le député To Van Tam (Kon Tum) a toutefois approuvé la disposition prévoyant que la force spécialisée en cybersécurité soit placée sous l'autorité du ministère de la Sécurité publique et du ministère de la Défense nationale, comme le prévoit l'article 42 du projet de loi. Il a par ailleurs proposé d'étudier et de compléter la réglementation relative aux fonctions et aux missions de la formation spécialisée en technologies et équipements, ainsi que de mettre en place des politiques et des dispositifs adaptés afin de constituer une force spécialisée pour une protection moderne et professionnelle en matière de cybersécurité dans notre pays.

En réponse aux divergences d'opinions sur ce sujet, à la clôture de la séance de discussion, le vice-président de l'Assemblée nationale, le lieutenant-général Tran Quang Phuong, a demandé au gouvernement et à l'organisme de rédaction de poursuivre l'examen de toutes les dispositions relatives aux responsabilités spécifiques des ministères, des directions et des collectivités territoriales dans le projet de loi. Il a ainsi veillé à ce que seules les dispositions administratives soient inscrites dans la loi, tandis que les responsabilités générales des ministères et des directions seraient définies au chapitre III du projet de loi. Le gouvernement a été chargé de préciser les modalités de gestion et de protection de la sécurité des réseaux des ministères, des directions et des collectivités territoriales.