Le décret n° 13/2023/ND-CP est le premier document juridique au Vietnam à utiliser officiellement le concept de données personnelles, réglementant l'obligation de protéger les données personnelles pour les entités qui collectent et traitent des données personnelles. (Photo d'illustration : Reuters)

Aujourd'hui (1er juillet), le décret n° 13/2023/ND-CP du gouvernement sur la protection des données personnelles est officiellement entré en vigueur, créant un couloir juridique pour protéger efficacement les données personnelles au Vietnam, minimisant les risques et les conséquences des violations des données personnelles.

Le décret a été publié par le gouvernement le 17 avril 2023 avec de nombreuses réglementations strictes sur la protection des données et la responsabilité de protéger les données personnelles des agences, organisations et individus concernés.

Que contiennent les données personnelles ?

Le décret stipule clairement que les données personnelles sont des informations sous forme de symboles, de lettres, de chiffres, d’images, de sons ou de formes similaires dans l’environnement électronique associées à une personne spécifique ou aidant à identifier une personne spécifique.

Les données personnelles comprennent les données personnelles de base et les données personnelles sensibles.

Les données personnelles de base comprennent : le nom de famille, le deuxième prénom et le nom de naissance, ainsi que d’autres noms (le cas échéant) ; date de naissance; date, mois, année du décès ou de la disparition ; sexe; lieu de naissance, lieu d'enregistrement de naissance, résidence permanente, résidence temporaire, résidence actuelle, ville natale, adresse de contact ; nationalité; image personnelle; Numéro de téléphone, numéro de carte d'identité, numéro d'identification personnel, numéro de passeport, numéro de permis de conduire, numéro de plaque d'immatriculation, numéro de code fiscal personnel, numéro d'assurance sociale, numéro de carte d'assurance maladie ; état matrimonial; informations sur les relations familiales (parents, enfants) ; informations sur les numéros de compte individuels ; Les données personnelles reflètent les activités et l'historique des activités sur le cyberespace...

Les données personnelles sensibles sont étroitement liées à la vie privée d’un individu, qui, lorsqu’elle est violée, affectera directement les droits et intérêts légitimes de cette personne. Comme les opinions politiques , les opinions religieuses ; état de santé; origine raciale, origine ethnique; traits génétiques; caractéristiques biologiques uniques; vie sexuelle; données de localisation; données sur les crimes et les actes criminels collectées et stockées par les organismes chargés de l’application de la loi ; Informations clients des établissements de crédit…

Actes interdits

La protection des données personnelles est l’activité de prévention, de détection, d’arrêt et de traitement des violations liées aux données personnelles conformément aux dispositions de la loi.

L’article 8 du décret stipule les actes interdits, notamment : le traitement de données à caractère personnel contraire aux dispositions de la loi sur la protection des données à caractère personnel ; traitement de données personnelles pour créer des informations et des données visant à s'opposer à la République socialiste du Vietnam ; Traitement des données personnelles pour créer des informations et des données qui affectent la sécurité nationale, l’ordre et la sécurité sociaux, ainsi que les droits et intérêts légitimes d’autres organisations et individus.

Le décret interdit également les actes d’obstruction aux activités de protection des données personnelles des autorités compétentes, ainsi que le fait de profiter des activités de protection des données personnelles pour violer la loi.

Cas de traitement de données personnelles sans le consentement de la personne concernée

L'article 17 du décret prévoit des cas de traitement de données à caractère personnel sans le consentement de la personne concernée, notamment : les cas d'urgence, où il est nécessaire de traiter immédiatement les données à caractère personnel pertinentes pour protéger la vie et la santé de la personne concernée ou d'autres personnes ; Divulgation de données personnelles comme l’exige la loi.

Il en va de même pour le traitement des données par les organismes compétents de l’État dans les situations d’urgence concernant la défense nationale, la sécurité nationale, l’ordre et la sécurité sociaux, les catastrophes majeures et les épidémies dangereuses ; lorsqu’il existe une menace pour la sécurité ou la défense nationale, mais pas au point de déclarer l’état d’urgence ; prévenir et combattre les émeutes, le terrorisme, prévenir et combattre les crimes et les violations de la loi comme le prévoit la loi.

En outre, le responsable du traitement et le sous-traitant des données personnelles peuvent également traiter des données personnelles sans le consentement de la personne concernée pour exécuter les obligations contractuelles de la personne concernée avec les agences, organisations et personnes concernées, comme prescrit par la loi ; ainsi que dans le cas de services rendus aux activités des organismes d'État conformément aux lois spécialisées.

L'âge des enfants doit être vérifié avant le traitement des données personnelles des enfants

Le décret stipule que le traitement des données personnelles des enfants est toujours effectué conformément au principe de protection des droits et dans l'intérêt supérieur de l'enfant.

En conséquence, le traitement des données personnelles des enfants doit avoir le consentement de l'enfant dans les cas où l'enfant est âgé de 7 ans ou plus et a le consentement du parent ou du tuteur comme prescrit, sauf dans le cas spécifié à l'article 17.

Les responsables du traitement des données personnelles, les sous-traitants des données personnelles, les responsables du traitement et les sous-traitants des données personnelles et les tiers doivent vérifier l'âge des enfants avant de traiter les données personnelles des enfants.

Le décret prévoit également un certain nombre de cas dans lesquels les parties doivent cesser de traiter les données personnelles des enfants, supprimer ou détruire de manière irréversible les données personnelles des enfants (sauf disposition contraire de la loi).

En particulier, dans les cas où le traitement des données n’est pas conforme à la finalité prévue ou lorsque la finalité du traitement des données à caractère personnel a été remplie avec le consentement de la personne concernée ; le parent ou le tuteur de l’enfant retire son consentement au traitement des données personnelles de l’enfant ; ou à la demande des autorités compétentes lorsqu’il existe des preuves suffisantes pour prouver que le traitement des données à caractère personnel porte atteinte aux droits et aux intérêts légitimes des enfants.