Droit international sur la protection des données personnelles et suggestions pour le Vietnam

En tant que l'un des pays où le développement et l'application d'Internet sont les plus rapides au monde, avec près de 80 % de la population qui l'utilise, les données personnelles des 2/3 de la population vietnamienne sont stockées, publiées, partagées et collectées dans le cyberespace sous de nombreuses formes différentes. et les niveaux de détail.

En 2022 et 2023, le Vietnam a engagé 5 poursuites pénales dans lesquelles des milliers de Go de données et des milliards d'informations personnelles ont été achetés et vendus. Cela montre qu’il est urgent d’améliorer la loi sur la protection des données personnelles sur la base de recherches et de références au droit international.

Droit international sur la protection des données personnelles

Le RGPD est considéré comme une avancée juridique majeure, créant le mécanisme de protection des informations personnelles le plus strict au monde aujourd'hui.

Règlement général sur la protection des données (RGPD) de l'Union européenne (UE). Le RGPD est considéré comme une avancée juridique majeure, créant le mécanisme de protection des informations personnelles le plus strict au monde aujourd'hui et s'applique à toutes les organisations et entreprises traitant des données personnelles d'entreprises dans l'UE.

Le RGPD applique des sanctions uniformes pour les violations par les entreprises dans l’ensemble du bloc. Concrètement, l'amende s'élève au maximum à 2 % du chiffre d'affaires ou 10 millions d'euros pour les infractions mineures, et à 4 % du chiffre d'affaires ou 20 millions d'euros pour les infractions majeures. Outre les amendes, les entreprises qui enfreignent le RGPD peuvent également être soumises à d'autres sanctions, telles que l'obligation d'arrêter leurs activités de traitement de données ou de supprimer les données traitées en violation du RGPD.

L'autorité européenne de protection des données personnelles est le Contrôleur européen de la protection des données (CEPD), un organisme indépendant composé d'avocats, d'experts en informatique et d'administrateurs expérimentés.

Cette agence a pour fonction principale de superviser le traitement des données personnelles dans les agences et organisations de l'UE ainsi que de donner des conseils sur les questions liées aux données personnelles. Le RGPD impose également la mise en place d'une Autorité de protection des données personnelles dans chaque État membre comme une Commission nationale pour la protection des données personnelles (France, Irlande...) ou un Médiateur pour la protection des données (France, Irlande...) Finlande, Lettonie. ...).

Parallèlement au CEPD, l'UE a également créé le Comité européen de la protection des données (EDPB), composé de représentants des autorités nationales de protection des données des États membres et de représentants de l'UE, qui a pour fonction d'être un organe consultatif indépendant, figure de proue en matière de protection des données personnelles. questions, responsable de l’application cohérente du RGPD dans l’ensemble de l’Union.

Le RGPD prévoit des sanctions très dissuasives, tant matérielles que non physiques. En outre, l'agence européenne de protection des données personnelles est mise en œuvre selon le modèle Commission/Commissaire, elle dispose donc de grands pouvoirs et d'une grande indépendance lorsqu'il s'agit d'appliquer des sanctions si les organisations enfreignent les réglementations sur la protection des données personnelles et a la capacité d'évaluer et de décider de manière indépendante. sur le traitement des données personnelles.

Loi chinoise sur la protection des informations personnelles (PIPL) promulguée en 2021 est considérée comme la première loi complète sur la protection des informations personnelles au niveau national en Chine. PIPL offre une vision relativement unifiée des données personnelles/informations personnelles en tant qu'informations destinées à identifier ou identifier un individu spécifique, ciblant un public restreint d'individus sur le territoire de la Chine (article 4, chapitre 1 du PIPL). Dans le même temps, les réglementations sur les questions de données personnelles sensibles établiront des réglementations sur les droits et obligations des parties concernant des groupes de données plus spécifiques.

Les sanctions en cas de violation des droits sur les données personnelles selon la réglementation PIPL sont très strictes, telles que la correction forcée, la confiscation des revenus illégaux, la suspension des services, la révocation des licences d'exploitation ou d'entreprise, une amende pouvant aller jusqu'à 50 millions de yuans ou 5 % du montant. le chiffre d'affaires annuel d'une organisation au cours de l'exercice précédent. En outre, les violations peuvent également être enregistrées dans le « dossier de crédit » du processeur dans le cadre du système national de crédit social.

En outre, les unités de transformation seront responsables de l'indemnisation si elles violent les droits et intérêts des organisations et des individus. Les sanctions pénales pour ce type de violations sont également spécifiquement prévues par le Code pénal chinois, qui prévoit une responsabilité pénale plus lourde pour les responsables de la sécurité de l'information, complétant outre la confiscation des biens, la réclusion à perpétuité constitue la peine maximale.

Loi sur la protection des données personnelles de Singapour (PDPA) adopté en 2012 (révisé en 2020). La loi de Singapour reconnaît le droit de protéger les données personnelles ainsi que la nécessité pour les organisations de collecter, d'utiliser et de divulguer des informations à des fins adaptées aux circonstances données.

Le PDPA prévoit également de lourdes sanctions financières en cas de violation de données. Les contrevenants seront passibles d’amendes ou d’emprisonnement. Le niveau de l'amende dépend de la nature et de la gravité de l'acte, avec une amende allant de 2.000 100.000 à 1,6 12 SGD (équivalent à 3 milliard de VND) ou/et une peine d'emprisonnement n'excédant pas 1 mois, si elle est grave, elle peut aller jusqu'à 10 ansXNUMX. ; Les agences et entreprises contrevenantes peuvent être condamnées à une amende pouvant aller jusqu'à XNUMX % de leur chiffre d'affaires annuel.

L'agence qui joue un rôle important pour garantir l'application de la PDPA est la Commission de protection des données personnelles (PDPC). Il s'agit d'une agence spécialisée dotée de grands pouvoirs et de larges capacités d'application lorsqu'elle a le droit de demander aux individus et aux organisations de fournir des informations et des documents relatifs au traitement des données personnelles, et d'imposer des sanctions financières en cas de violation ainsi que d'autres mesures. .

Avec la création d'une agence spécialisée, la Commission de protection des données personnelles de Singapour travaille de manière indépendante et proactive dans la détection et le traitement des violations, et l'application de sanctions est également l'une des conditions pour que la protection des données personnelles soit efficacement appliquée à Singapour.

Recommandations pour améliorer les lois sur la protection des données personnelles au Vietnam

Actuellement au Vietnam, il existe 69 documents juridiques directement liés à la question de la protection des données personnelles, stipulés dans différents documents, notamment la Constitution, le Code (4), la loi (39), l'ordonnance (1), le décret (2), la circulaire/circulaire commune. (4), Décision du Ministre (1).

Ces documents abordent essentiellement la question de la protection des données personnelles dans le sens de promouvoir le principe de garantie de la vie privée des sujets. Toutefois, il existe différentes réglementations sur les informations relatives aux données des personnes, traitant des questions de droits et d'obligations des sujets. traitement des informations et méthodes de protection des données personnelles. Les lois vietnamiennes réglementant la protection des données personnelles ont obtenu des résultats remarquables, notamment le 17 avril 4, le gouvernement a publié le décret n° 2023/12/ND-CP sur la protection des données personnelles - il s'agit d'un document distinct réglementant cette question dans notre pays. Ces documents juridiques ont créé un couloir juridique dans la protection des données personnelles ; Préciser les droits des personnes concernées ainsi que des parties au traitement, stipuler les sanctions en cas de violation de la protection des données personnelles et identifier les agences spécialisées pour la protection des données personnelles. La personne est le Département de la cybersécurité et de la prévention de la criminalité de haute technologie du ministère. de la Sécurité Publique...

Le Vietnam est confronté à de nombreux risques, défis et dangers liés au cyberespace, notamment la fuite et l'appropriation d'informations et de données personnelles, entraînant de nombreux effets néfastes sur les citoyens et la société.

Cependant, la mise en œuvre effective de ces documents a également révélé de nombreuses limitations, car les documents juridiques distincts actuels ne sont qu'au niveau du décret, ne répondant pas à l'importance de la protection des données personnelles. De nombreux contenus sont actuellement réglementés de manière générale et peu claire, ce qui entraîne des problèmes. l'application ne dispose pas d'instructions spécifiques pour chaque cas spécifique, et les sanctions sont encore légères et insuffisantes pour dissuader...

Face à cette situation, la poursuite de l'amélioration de la loi sur la protection des données personnelles au Vietnam est une question qui nécessite une attention et des recherches basées sur l'expérience d'autres pays. Spécifiquement:

Premièrement, élaborer une loi sur la protection des données personnelles. Dans le contexte de la révolution industrielle 4.0, à l'échelle régionale et nationale, 80 pays ont publié leurs propres documents juridiques protégeant les données personnelles. Le Vietnam doit bientôt rechercher et promulguer une loi générale et spécialisée sur les données, telle que la loi sur la confidentialité des données comme celle de l'UE, de la Chine ou de Singapour, qui définit les questions et principes fondamentaux de la protection des données individuelles. La promulgation d'une loi distincte sur les données personnelles constituera une base juridique importante pour la protection des données personnelles alors qu'il n'existe actuellement aucun document juridique relatif à cette question dans notre pays, même dans l'utilisation de la terminologie et des réglementations sur le contenu.

Deuxièmement, modifier et compléter les sanctions pour traiter les violations de données personnelles d'une manière plus aggravante, en fonction de la nature et de l'étendue de la violation. Bien que des sanctions soient prévues dans notre pays en cas de violation des données personnelles, notamment administratives, civiles et pénales, elles sont généralement assez légères et n'ont pas un grand pouvoir dissuasif. Aujourd'hui, la principale méthode consiste toujours à appliquer des sanctions en cas d'infraction administrative, mais les réglementations sont dispersées dans de nombreux décrets avec des amendes assez faibles, la plus élevée étant de 100 millions de VND pour les particuliers et de 200 millions de VND pour les particuliers appartenant à l'organisation.

Tandis que les dommages que peuvent causer les violations administratives des données personnelles ne sont pas seulement des dommages matériels mais aussi des dommages à l’honneur et à la dignité. Outre les sanctions administratives, les sanctions pénales en cas de violation de données personnelles ne sont indiquées que dans les réglementations sur la vie privée et dans le domaine des technologies de l'information et de la sécurité des réseaux, à l'article 159. L'article 288 du Code pénal actuel prévoit une peine de prison relativement faible, ne dépassant pas 7 ans de prison et une amende ne dépassant pas 1 milliard de VND. Cette amende, comparée aux 20 millions d'euros de l'UE, au 1 million de SGD de Singapour ou à la peine à perpétuité de la Chine, est encore très faible et sans commune mesure avec de nombreuses violations.

Dans le même temps, il est nécessaire de réglementer davantage de groupes de comportements qui ne sont actuellement pas mentionnés dans la loi, comme le commerce de données à grande échelle, la mise en place de systèmes pour violer les données, les violations dans le secteur des services marketing...

Troisièmement, sur le modèle d'agence de protection des données personnelles au Vietnam. Actuellement, le Département de la cybersécurité et de la prévention et du contrôle de la criminalité de haute technologie relevant du ministère de la Sécurité publique est une agence spécialisée dans la protection des données personnelles. En référence aux réglementations internationales, nous pouvons envisager de créer une agence indépendante de protection des données personnelles chargée de mettre en œuvre la loi sur la protection des données personnelles, de mener des inspections, des tests et de donner des instructions et d'appliquer des sanctions en cas de violation, le cas échéant.

On peut se référer à ces modèles dans l'UE ou à Singapour... pour une application de la loi très efficace pour protéger les données personnelles, équilibrer la protection des droits individuels et assurer la sécurité des réseaux.

La protection des données personnelles n'est pas une question simple, surtout lorsqu'elle est placée dans le contexte de l'intégration, alors que les activités de surveillance et de collecte de données personnelles se déroulent à grande échelle et que le système juridique vietnamien régissant cette question est toujours en vigueur. processus d’élaboration et d’achèvement.

La recherche du droit international sur cette question en référence à la situation pratique au Vietnam nous aidera bientôt à construire un cadre juridique pour une protection complète des données personnelles, compatible avec le droit international et sa mise en œuvre efficace.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html