Le Vietnam étant l'un des pays affichant la vitesse de développement et d'utilisation d'Internet la plus élevée au monde, avec près de 80 % de la population qui l'utilise, les données personnelles des deux tiers de la population vietnamienne sont stockées, publiées, partagées et collectées sur le cyberespace sous de nombreuses formes et à différents niveaux de détail.
En 2022 et 2023, le Vietnam a intenté des poursuites pénales dans cinq affaires impliquant des milliers de gigaoctets de données et des milliards d'informations personnelles faisant l'objet d'un commerce illicite. Ceci démontre l'urgence d'améliorer la législation sur la protection des données personnelles en s'appuyant sur la recherche et en prenant en compte le droit international.
Droit international relatif à la protection des données personnelles
 |
| Le RGPD est considéré comme une avancée juridique majeure, créant le mécanisme de protection des données personnelles le plus strict au monde à ce jour. |
Le Règlement général sur la protection des données (RGPD) de l'Union européenne (UE) est considéré comme une avancée juridique majeure, créant le mécanisme de protection des informations personnelles le plus strict au monde aujourd'hui et s'applique à toutes les organisations et entreprises qui traitent des données personnelles de citoyens de l'UE.
Le RGPD impose des sanctions uniformes aux entreprises de l'Union européenne. Concrètement, les amendes peuvent atteindre 2 % du chiffre d'affaires ou 10 millions d'euros pour les infractions mineures, et 4 % du chiffre d'affaires ou 20 millions d'euros pour les infractions majeures. Outre les amendes, les entreprises qui enfreignent le RGPD peuvent également se voir imposer d'autres sanctions, telles que l'arrêt du traitement des données ou la suppression des données traitées en violation du RGPD.
L'autorité de l'UE en matière de protection des données personnelles est le Contrôleur européen de la protection des données (CEPD) – un organisme indépendant dont les membres comprennent des juristes expérimentés, des experts en informatique et des administrateurs.
Cet organisme a pour principale fonction de superviser le traitement des données à caractère personnel au sein des agences et organisations de l'UE et de fournir des conseils sur les questions relatives aux données personnelles. Le RGPD exige également la mise en place d'une autorité de protection des données à caractère personnel dans chaque État membre, telle qu'une commission nationale de protection des données (France, Irlande…) ou une inspection de la protection des données (Finlande, Lettonie…).
Parallèlement au CEPD, l'UE a également créé le Comité européen de la protection des données (CEPD), composé de représentants des autorités nationales de protection des données des États membres et de représentants de l'UE, et qui fait office de principal organe consultatif indépendant sur les questions de protection des données personnelles, chargé de l'application cohérente du RGPD dans toute l'Union.
Le RGPD prévoit des sanctions très dissuasives, tant matérielles qu'immatérielles. De plus, l'autorité européenne de protection des données, qui fonctionne sur le modèle Commission/Commissaire, dispose de pouvoirs étendus et indépendants pour imposer des sanctions aux organisations qui enfreignent la réglementation en matière de protection des données personnelles et est habilitée à évaluer et à statuer de manière indépendante sur le traitement des données personnelles.
La loi chinoise sur la protection des renseignements personnels (PIPL), promulguée en 2021, est considérée comme la première loi nationale et exhaustive de protection des renseignements personnels en Chine. La PIPL offre une définition relativement unifiée des données personnelles, les définissant comme toute information permettant d'identifier une personne physique, et cible un groupe restreint d'individus sur le territoire chinois (article 4, chapitre 1 de la PIPL). Parallèlement, elle encadre la question des données personnelles sensibles afin d'établir les droits et obligations des parties concernant des catégories de données plus spécifiques.
Les sanctions prévues par la loi sur la protection des données personnelles (PIPL) pour les violations des droits à la protection des données personnelles sont très sévères : mise en conformité forcée, confiscation des revenus illicites, suspension des services, retrait des licences d’exploitation ou commerciales et amendes pouvant atteindre 50 millions de yuans ou 5 % du chiffre d’affaires annuel de l’organisme au cours de l’exercice précédent. De plus, les violations peuvent être inscrites au fichier de crédit de l’entité responsable du traitement, conformément au système national de crédit social.
De plus, les unités de traitement seront tenues d'indemniser les dommages causés aux organisations et aux particuliers en cas d'atteinte à leurs droits et intérêts. Les sanctions pénales applicables à ce type d'infractions sont également prévues par le droit pénal chinois, qui prévoit une responsabilité pénale plus lourde pour les personnes tenues à la confidentialité, la confiscation des biens et la réclusion à perpétuité comme peine maximale.
La loi singapourienne sur la protection des données personnelles (PDPA), adoptée en 2012 (et modifiée en 2020), reconnaît le droit à la protection des données personnelles ainsi que la nécessité d'organiser la collecte, l'utilisation et la divulgation des informations à des fins appropriées dans certaines circonstances.
La loi sur la protection des données personnelles (PDPA) prévoit également de lourdes sanctions financières en cas de violation de données. Les personnes physiques contrevenantes s'exposent à des amendes ou à des peines d'emprisonnement. Le montant des amendes dépend de la nature et de la gravité de l'infraction ; elles peuvent aller de 2 000 à 100 000 SGD (soit 1,6 milliard de VND) et/ou à une peine d'emprisonnement de 12 mois maximum, pouvant atteindre 3 ans dans les cas les plus graves¹. Les organismes et entreprises contrevenants peuvent se voir infliger une amende pouvant atteindre 10 % de leur chiffre d'affaires annuel.
L'organisme qui joue un rôle essentiel dans la mise en œuvre de la loi sur la protection des données personnelles (PDPA) est la Commission de protection des données personnelles (PDPC). Cet organisme spécialisé dispose de pouvoirs étendus et d'une grande capacité de contrôle ; il est habilité à demander aux personnes physiques et morales de fournir des informations et des documents relatifs au traitement des données personnelles, à imposer des sanctions financières en cas d'infraction et à prendre d'autres mesures.
La création d'une agence spécialisée, la Commission de protection des données personnelles de Singapour, qui travaille de manière indépendante et proactive pour détecter et traiter les violations et appliquer les sanctions, est également l'une des conditions d'une application efficace de la protection des données personnelles à Singapour.
Recommandations pour améliorer les lois sur la protection des données personnelles au Vietnam
Actuellement au Vietnam, il existe 69 documents juridiques directement liés à la question de la protection des données personnelles stipulés dans différents documents, notamment la Constitution, le Code (4), la Loi (39), l'Ordonnance (1), le Décret (2), la Circulaire/Circulaire conjointe (4), la Décision du Ministre (1).
Ces documents abordent la question de la protection des données personnelles dans le but de promouvoir le principe du respect de la vie privée, mais présentent des dispositions différentes concernant les informations relatives aux données personnelles. Ils traitent notamment des droits et obligations des personnes concernées, du traitement des données et des méthodes de protection. La législation vietnamienne en matière de protection des données personnelles a obtenu des résultats remarquables, en particulier avec le décret n° 12/2023/ND-CP du 17 avril 2023, qui constitue un texte législatif distinct régissant cette question. Ces textes ont créé un cadre juridique pour la protection des données personnelles ; ils précisent les droits des personnes concernées et des responsables du traitement, prévoient des sanctions en cas de violation de la protection des données et désignent l’autorité compétente en la matière : le Département de la cybersécurité et de la prévention de la cybercriminalité du ministère de la Sécurité publique .
 |
| Le Vietnam est confronté à de nombreux risques, défis et dangers liés au cyberespace, notamment la fuite et l'appropriation d'informations et de données personnelles, ce qui entraîne de nombreux effets néfastes pour les citoyens et la société. |
Cependant, la mise en œuvre concrète de ces documents a également révélé de nombreuses limites : les textes juridiques actuels se limitent à des décrets, ne répondant pas à l’importance accordée à la protection des données personnelles ; de nombreux contenus sont actuellement réglementés de manière générale et imprécise, ce qui entraîne un manque de directives spécifiques pour chaque cas particulier ; et les sanctions restent légères et insuffisamment dissuasives…
Dans ce contexte, l’amélioration continue de la législation vietnamienne sur la protection des données personnelles a été et demeure une question qui mérite d’être étudiée à la lumière de l’expérience d’autres pays. Plus précisément :
Il est primordial d'élaborer une loi sur la protection des données personnelles . Dans le contexte de la quatrième révolution industrielle, 80 pays ont promulgué, aux niveaux régional et national, des textes législatifs spécifiques pour protéger les données personnelles. Le Vietnam doit rapidement mener des recherches et promulguer une loi générale et spécialisée sur les données, à l'instar de la loi sur la protection des données de l'UE, de la Chine ou de Singapour, qui définisse les enjeux et les principes fondamentaux de la protection des données personnelles. L'adoption d'une loi spécifique sur les données personnelles constituera un fondement juridique essentiel pour leur protection, car actuellement, les textes législatifs relatifs à cette question ne sont pas harmonisés au Vietnam, tant sur le plan de la terminologie que sur celui du contenu.
Deuxièmement, il convient de modifier et de renforcer les sanctions pour violation des données personnelles afin de les adapter à la nature et à la gravité de la violation. Bien que les sanctions pour violation des données personnelles en Turquie comprennent des sanctions administratives, civiles et pénales, elles restent généralement assez légères et n'ont pas un fort effet dissuasif. La principale méthode utilisée actuellement consiste encore à appliquer des sanctions pour les infractions administratives, mais la réglementation est dispersée dans de nombreux décrets prévoyant des amendes relativement faibles, les plus élevées étant de 100 millions de VND pour les particuliers et de 200 millions de VND pour les personnes morales.
Les atteintes administratives aux données personnelles peuvent causer des dommages non seulement matériels, mais aussi une atteinte à l'honneur et à la dignité. En dehors des sanctions administratives, les sanctions pénales pour ces atteintes ne sont prévues que par les articles 159 et 288 du Code pénal actuel, relatifs à la protection de la vie privée et à la sécurité des technologies de l'information et des réseaux. Ces sanctions prévoient une peine d'emprisonnement relativement faible, n'excédant pas sept ans, et une amende maximale d'un milliard de dongs (VND). Comparativement aux amendes en vigueur dans l'UE (20 millions d'euros), à Singapour (1 million de dollars singapouriens) ou en Chine (peine de prison à perpétuité), cette amende demeure très faible et disproportionnée par rapport à la gravité des infractions.
Dans le même temps, il est nécessaire de réglementer de nombreux comportements qui ne sont actuellement pas mentionnés dans la loi, tels que le commerce de données à grande échelle, la mise en place de systèmes de violation de données, les infractions dans le secteur des services de marketing, etc.
Troisièmement, concernant le modèle d'agence de protection des données personnelles au Vietnam : actuellement, le Département de la cybersécurité et de la prévention de la cybercriminalité, rattaché au ministère de la Sécurité publique, est l'organisme spécialisé en matière de protection des données personnelles. Conformément aux réglementations internationales, il serait judicieux d'envisager la création d'une agence indépendante de protection des données personnelles, chargée de l'application de la loi sur la protection des données personnelles, de la réalisation d'inspections et d'examens, de l'émission de lignes directrices et de recommandations, et de l'application de sanctions en cas d'infraction.
Nous pouvons nous référer à ces modèles dans l'UE ou à Singapour... pour appliquer efficacement les lois sur la protection des données personnelles, en équilibrant la protection des droits individuels et en assurant la sécurité du réseau.
La protection des données personnelles n'est pas une question simple, surtout dans un contexte d'intégration, lorsque les activités de surveillance et de collecte de données personnelles sont menées à grande échelle et que le système juridique vietnamien régissant cette question est encore en cours de construction et de perfectionnement.
L’étude du droit international en la matière, au regard de la situation pratique au Vietnam, nous permettra de mettre rapidement en place un cadre juridique pour une protection complète des données personnelles, compatible avec le droit international et applicable efficacement.
1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html
Source
![[Photo] Explorez le navire de guerre USS Robert Smalls de l'US Navy](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F10%2F1765341533272_11212121-8303-jpg.webp&w=3840&q=75)
Comment (0)