Le Vietnam est l'un des pays où le développement d'Internet et la vitesse d'application sont les plus élevés au monde, avec près de 80 % de la population qui l'utilise. Les données personnelles des 2/3 de la population vietnamienne sont stockées, publiées, partagées et collectées sur le cyberespace sous de nombreuses formes et niveaux de détail différents.
En 2022 et 2023, le Vietnam a mené cinq poursuites pénales impliquant des milliers de Go de données et des milliards d'informations personnelles échangées. Cela démontre l'urgence d'améliorer la législation sur la protection des données personnelles, en s'appuyant sur la recherche et en se référant au droit international.
Droit international sur la protection des données personnelles
 |
| Le RGPD est considéré comme une avancée juridique majeure, créant le mécanisme de protection des informations personnelles le plus strict au monde aujourd’hui. |
Le règlement général sur la protection des données (RGPD) de l’Union européenne (UE) est considéré comme une avancée juridique majeure, créant le mécanisme de protection des informations personnelles le plus strict au monde aujourd’hui et s’applique à toutes les organisations et entreprises qui traitent les données personnelles des citoyens de l’UE.
Le RGPD impose des sanctions uniformes aux entreprises de l'Union européenne. Plus précisément, les amendes peuvent atteindre 2 % du chiffre d'affaires ou 10 millions d'euros pour les infractions mineures, et 4 % du chiffre d'affaires ou 20 millions d'euros pour les infractions majeures. Outre les amendes, les entreprises qui enfreignent le RGPD peuvent également être soumises à d'autres sanctions, telles que l'interdiction de traiter des données ou la suppression de celles traitées en violation du RGPD.
L'autorité de protection des données personnelles de l'UE est le Contrôleur européen de la protection des données (CEPD) - un organisme indépendant dont les membres comprennent des avocats expérimentés, des experts en informatique et des administrateurs.
Cet organisme a pour principale fonction de superviser le traitement des données personnelles au sein des agences et organisations de l'UE, ainsi que de fournir des conseils sur les questions relatives aux données personnelles. Le RGPD exige également la création d'une autorité de protection des données personnelles dans chaque État membre, telle qu'une Commission nationale de protection des données personnelles (France, Irlande...) ou une Inspection de la protection des données (Finlande, Lettonie...).
Outre le CEPD, l’UE a également créé le Comité européen de la protection des données (CEPD), composé de représentants des autorités nationales de protection des données des États membres et de représentants de l’UE, et qui fonctionne comme le principal organe consultatif indépendant sur les questions de protection des données personnelles, chargé de l’application cohérente du RGPD dans toute l’Union.
Le RGPD prévoit des sanctions très dissuasives, tant matérielles qu'immatérielles. De plus, l'autorité européenne de protection des données personnelles, mise en œuvre selon le modèle de la Commission/du Commissaire, dispose de pouvoirs étendus et indépendants pour imposer des sanctions aux organisations qui enfreignent la réglementation relative à la protection des données personnelles et est capable d'évaluer et de décider en toute indépendance du traitement des données personnelles.
La Loi chinoise sur la protection des informations personnelles (LPIP), promulguée en 2021, est considérée comme la première loi nationale complète sur la protection des informations personnelles en Chine. La LPIP offre une vision relativement unifiée des données personnelles (informations personnelles) en tant qu'informations identifiant une personne spécifique, ciblant un groupe restreint de personnes sur le territoire chinois (article 4, chapitre 1 de la LPIP). Parallèlement, elle réglemente la question des données personnelles sensibles afin d'établir des règles sur les droits et obligations des parties concernant des groupes de données plus spécifiques.
Les sanctions en cas de violation des droits relatifs aux données personnelles en vertu de la PIPL sont très sévères : réparation forcée, confiscation des revenus illégaux, suspension des services, révocation des licences d'exploitation ou d'activité, et amendes pouvant atteindre 50 millions de yuans ou 5 % du chiffre d'affaires annuel de l'organisation au cours de l'exercice précédent. De plus, les violations peuvent être enregistrées dans le « dossier de crédit » de l'unité de traitement, conformément au système national de crédit social.
En outre, les unités de traitement seront tenues d'indemniser les dommages en cas d'atteinte aux droits et intérêts des organisations et des particuliers. Les sanctions pénales pour ce type d'infractions sont également spécifiquement réglementées par le droit pénal chinois, qui alourdit la responsabilité pénale des personnes tenues de préserver la confidentialité des informations, prévoit la confiscation des biens et prévoit la réclusion à perpétuité comme peine maximale.
La loi singapourienne sur la protection des données personnelles (PDPA) a été adoptée en 2012 (modifiée en 2020). La législation singapourienne reconnaît le droit à la protection des données personnelles ainsi que la nécessité d'organiser la collecte, l'utilisation et la divulgation des informations à des fins appropriées dans certaines circonstances.
La PDPA prévoit également de lourdes sanctions financières en cas de violation de données. Les contrevenants s'exposent à des amendes ou à des peines d'emprisonnement. Le montant des amendes varie selon la nature et la gravité de l'infraction, allant de 2 000 à 100 000 SGD (soit l'équivalent de 1,6 milliard de VND) et/ou à une peine d'emprisonnement maximale de 12 mois, voire de 3 ans dans les cas graves1 ; les agences et entreprises contrevenantes peuvent se voir infliger une amende pouvant atteindre 10 % de leur chiffre d'affaires annuel.
L'organisme jouant un rôle important dans la mise en œuvre de la PDPA est la Commission de protection des données personnelles (PDPC). Cet organisme spécialisé, doté de larges pouvoirs et d'un pouvoir d'application étendu, est habilité à demander aux particuliers et aux organisations de fournir des informations et des documents relatifs au traitement des données personnelles, à imposer des sanctions financières en cas de violation et à prendre d'autres mesures.
La création d’une agence spécialisée, la Commission de protection des données personnelles de Singapour, qui travaille de manière indépendante et proactive pour détecter, traiter les violations et appliquer des sanctions, est également l’une des conditions d’une application efficace de la protection des données personnelles à Singapour.
Recommandations pour améliorer les lois sur la protection des données personnelles au Vietnam
Actuellement au Vietnam, il existe 69 documents juridiques directement liés à la question de la protection des données personnelles stipulés dans différents documents, notamment la Constitution, le Code (4), la Loi (39), l'Ordonnance (1), le Décret (2), la Circulaire/Circulaire conjointe (4), la Décision du Ministre (1).
Ces documents abordent la question de la protection des données personnelles dans le sens de la promotion du principe de protection de la vie privée. Cependant, ils contiennent des réglementations différentes sur les informations relatives aux données personnelles, notamment les droits et obligations des personnes concernées, le traitement des informations et les modalités de protection des données personnelles. La loi régissant la protection des données personnelles au Vietnam a obtenu des résultats remarquables, notamment la publication, le 17 avril 2023, du décret gouvernemental n° 12/2023/ND-CP relatif à la protection des données personnelles, qui constitue un document distinct régissant cette question dans notre pays. Ces textes juridiques ont créé un cadre juridique pour la protection des données personnelles : ils précisent les droits des personnes concernées et des parties au traitement des données, prévoient des sanctions en cas de violation de la protection des données personnelles et désignent l'agence spécialisée en matière de protection des données personnelles, le Département de la cybersécurité et de la prévention de la criminalité liée aux technologies de pointe, relevant du ministère de la Sécurité publique .
 |
| Le Vietnam est confronté à de nombreux risques, défis et dangers liés au cyberespace, notamment la fuite et l’appropriation d’informations et de données personnelles, entraînant de nombreux effets néfastes pour les citoyens et la société. |
Cependant, la mise en œuvre concrète de ces documents a également révélé de nombreuses limites, telles que les documents juridiques distincts actuels ne sont qu'au niveau du décret, ne répondant pas à l'importance de la protection des données personnelles, de nombreux contenus sont actuellement réglementés de manière générale et peu clairs, ce qui conduit à un manque d'orientations spécifiques pour chaque cas spécifique, et les sanctions sont encore légères et pas assez dissuasives...
Dans ce contexte, l'amélioration continue de la législation vietnamienne sur la protection des données personnelles a été et demeure une question qui mérite d'être étudiée à la lumière de l'expérience d'autres pays. Plus précisément :
Premièrement, il faut élaborer une loi sur la protection des données personnelles . Dans le contexte de la révolution industrielle 4.0, 80 pays ont adopté, aux niveaux régional et national, des textes juridiques distincts pour protéger les données personnelles. Le Vietnam doit rapidement élaborer et promulguer une loi générale et spécialisée sur les données, telle que la loi sur la protection des données, à l'instar de l'UE, de la Chine ou de Singapour, qui identifie les enjeux et principes fondamentaux de la protection des données personnelles. L'adoption d'une loi distincte sur les données personnelles constituera une base juridique importante pour la protection des données personnelles, car les textes juridiques relatifs à cette question dans notre pays ne sont actuellement pas harmonisés en termes de terminologie et de réglementation du contenu.
Deuxièmement, modifier et compléter les sanctions pour les violations de données personnelles afin de les rendre plus sévères et de les adapter à la nature et à la gravité de l'infraction. Bien que les sanctions pour les violations de données personnelles dans notre pays comprennent des sanctions administratives, civiles et pénales, elles sont généralement légères et peu dissuasives. La principale méthode actuelle reste l'application de sanctions pour les violations administratives, mais la réglementation est dispersée dans de nombreux décrets prévoyant des amendes relativement faibles, les plus élevées étant de 100 millions de VND pour les particuliers et de 200 millions de VND pour les organisations.
Les violations administratives des données personnelles peuvent causer des dommages non seulement matériels, mais aussi une atteinte à l'honneur et à la dignité. Outre les sanctions administratives, les violations de données personnelles ne sont sanctionnées pénalement que par les articles 159 et 288 du Code pénal actuel, dans la réglementation relative à la vie privée et au domaine des technologies de l'information et de la sécurité des réseaux, avec une peine d'emprisonnement relativement faible, ne dépassant pas sept ans de prison et une amende ne dépassant pas un milliard de VND. Comparée aux 20 millions d'euros de l'UE, au million de SGD de Singapour ou à la peine de prison à vie en Chine, cette amende reste très faible et disproportionnée par rapport à de nombreuses violations.
Dans le même temps, il est nécessaire de réglementer de nombreux groupes de comportements qui ne sont pas actuellement mentionnés dans la loi, tels que le commerce de données à grande échelle, la mise en place de systèmes de violation de données, les violations dans les activités de services marketing, etc.
Troisièmement, sur le modèle de l'agence de protection des données personnelles au Vietnam . Actuellement, le Département de la cybersécurité et de la prévention de la criminalité liée aux hautes technologies, relevant du ministère de la Sécurité publique, est l'agence spécialisée en matière de protection des données personnelles. Conformément à la réglementation internationale, nous pourrions envisager la création d'une agence indépendante de protection des données personnelles, chargée de faire respecter la loi sur la protection des données personnelles, de mener des inspections, des examens, d'émettre des directives et des recommandations, et d'appliquer des sanctions en cas de violation.
Nous pouvons nous référer à ces modèles dans l’UE ou à Singapour… pour appliquer efficacement les lois sur la protection des données personnelles, en équilibrant la protection des droits personnels et en garantissant la sécurité du réseau.
La protection des données personnelles n’est pas une question simple, surtout lorsqu’elle est placée dans le contexte de l’intégration, alors que les activités de surveillance et de collecte de données personnelles se déroulent à grande échelle et que le système juridique vietnamien régissant cette question est encore en cours de construction et de perfectionnement.
L’étude du droit international sur cette question en référence à la situation pratique au Vietnam nous aidera à construire bientôt un cadre juridique pour une protection complète des données personnelles, compatible avec le droit international et une application efficace.
1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html
Source
![[Photo] Le Premier ministre Pham Minh Chinh rencontre le président sud-africain Matamela Cyril Ramaphosa](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/23/1761226081024_dsc-9845-jpg.webp)
![[Photo] Le président Luong Cuong s'entretient avec le président sud-africain Matamela Cyril Ramaphosa](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/23/1761221878741_ndo_br_1-8416-jpg.webp)
Comment (0)