Le décret sur la protection des données personnelles entre officiellement en vigueur

Le décret n° 13/2023/ND-CP est le premier document juridique au Vietnam à utiliser officiellement le concept de données personnelles, réglementant l'obligation de protection des données personnelles pour les entités qui collectent et traitent des données personnelles. (Photo d'illustration : Reuters)

Aujourd'hui (1er juillet), le décret n° 13/2023/ND-CP du gouvernement sur la protection des données personnelles est officiellement entré en vigueur, créant un couloir juridique pour protéger efficacement les données personnelles au Vietnam, minimisant les risques et les conséquences des violations des données personnelles.

Le décret a été publié par le gouvernement le 17 avril 2023 avec de nombreuses réglementations strictes sur la protection des données et la responsabilité de protéger les données personnelles des agences, organisations et individus concernés.

Que contiennent les données personnelles ?

Le décret stipule clairement que les données personnelles sont des informations sous forme de symboles, de lettres, de chiffres, d’images, de sons ou de formes similaires dans l’environnement électronique associées à une personne spécifique ou aidant à identifier une personne spécifique.

Les données personnelles comprennent les données personnelles de base et les données personnelles sensibles.

Les données personnelles de base comprennent : le nom de famille, le deuxième prénom et le nom de naissance, les autres noms (le cas échéant) ; la date de naissance ; la date de décès ou de disparition ; le sexe ; le lieu de naissance, le lieu d'enregistrement de la naissance, la résidence permanente, la résidence temporaire, la résidence actuelle, la ville natale, l'adresse de contact ; la nationalité ; l'image personnelle ; le numéro de téléphone, le numéro de carte d'identité, le numéro d'identification personnel, le numéro de passeport, le numéro de permis de conduire, le numéro de plaque d'immatriculation, le numéro de code fiscal personnel, le numéro d'assurance sociale, le numéro de carte d'assurance maladie ; l'état civil ; les informations sur les relations familiales (parents, enfants) ; les informations sur les comptes numériques personnels ; les données personnelles reflétant les activités et l'historique des activités sur le cyberespace...

Les données personnelles sensibles sont étroitement liées à la vie privée des individus, dont la violation porte directement atteinte à leurs droits et intérêts légitimes. Par exemple, les opinions politiques et religieuses ; l'état de santé ; l'origine raciale et ethnique ; les caractéristiques génétiques ; les caractéristiques biologiques uniques ; la vie sexuelle ; les données de localisation ; les données relatives aux crimes et aux actes criminels collectées et conservées par les forces de l'ordre ; les informations clients des établissements de crédit…

Actes interdits

La protection des données personnelles est l’activité de prévention, de détection, d’arrêt et de traitement des violations liées aux données personnelles conformément aux dispositions de la loi.

L'article 8 du décret stipule les actes interdits, notamment : le traitement des données personnelles contraire aux dispositions de la loi sur la protection des données personnelles ; le traitement des données personnelles pour créer des informations et des données contre la République socialiste du Vietnam ; le traitement des données personnelles pour créer des informations et des données affectant la sécurité nationale, l'ordre et la sécurité sociaux, ainsi que les droits et intérêts légitimes d'autres organisations et individus.

Le décret interdit également les actes d’obstruction aux activités de protection des données personnelles des autorités compétentes, ainsi que le fait de profiter des activités de protection des données personnelles pour violer la loi.

Cas de traitement de données personnelles sans le consentement de la personne concernée

L'article 17 du décret prévoit les cas de traitement de données personnelles sans le consentement de la personne concernée, notamment : les cas d'urgence, où il est nécessaire de traiter immédiatement les données personnelles pertinentes pour protéger la vie et la santé de la personne concernée ou d'autrui ; et la divulgation de données personnelles conformément aux dispositions de la loi.

Il en va de même pour le traitement des données par les organismes compétents de l'État en cas d'état d'urgence concernant la défense nationale, la sécurité nationale, l'ordre et la sécurité sociale, les catastrophes majeures, les épidémies dangereuses ; lorsqu'il existe une menace pour la sécurité nationale et la défense mais pas au point de déclarer l'état d'urgence ; la prévention et la lutte contre les émeutes, le terrorisme, la prévention et la lutte contre les crimes et les violations de la loi conformément aux dispositions de la loi.

En outre, le responsable du traitement et le sous-traitant des données personnelles peuvent également traiter des données personnelles sans le consentement de la personne concernée pour exécuter les obligations contractuelles de la personne concernée avec les agences, organisations et personnes concernées, comme prescrit par la loi ; ainsi que dans le cas de la prestation des activités des agences d'État comme prescrit par les lois spécialisées.

L'âge des enfants doit être vérifié avant le traitement des données personnelles des enfants

Le décret stipule que le traitement des données personnelles des enfants est toujours effectué conformément au principe de protection des droits et dans l'intérêt supérieur de l'enfant.

En conséquence, le traitement des données personnelles des enfants doit avoir le consentement de l'enfant dans les cas où l'enfant est âgé de 7 ans ou plus et a le consentement du parent ou du tuteur comme prescrit, sauf dans le cas spécifié à l'article 17.

Les responsables du traitement des données personnelles, les sous-traitants des données personnelles, les responsables du traitement et les sous-traitants des données personnelles et les tiers doivent vérifier l'âge des enfants avant de traiter les données personnelles des enfants.

Le décret prévoit également un certain nombre de cas dans lesquels les parties doivent cesser de traiter les données personnelles des enfants, supprimer ou détruire de manière irréversible les données personnelles des enfants (sauf disposition contraire de la loi).

Plus précisément, dans les cas où le traitement des données n'est pas conforme à la finalité prévue ou a atteint la finalité du traitement des données personnelles avec le consentement de la personne concernée ; le parent ou le tuteur de l'enfant retire son consentement au traitement des données personnelles de l'enfant ; ou à la demande d'une autorité compétente lorsqu'il existe des preuves suffisantes pour prouver que le traitement des données personnelles porte atteinte aux droits et aux intérêts légitimes de l'enfant.