Créer un cadre juridique pour la protection des données personnelles

Poursuivant le programme de la 43e session, le 11 mars après-midi, la commission permanente de l'Assemblée nationale a donné son avis sur le projet de loi relatif à la protection des données personnelles.

7 principes de protection des données personnelles

Le gouvernement a indiqué que, bien qu'il existe au Vietnam jusqu'à 69 textes législatifs relatifs à la protection des données personnelles, aucun ne s'accorde encore sur la définition et le contenu de ces notions. Seul le décret n° 13/2023/ND-CP du 17 avril 2024 relatif à la protection des données personnelles fournit une définition de ces deux concepts.

Toutefois, il ne s'agit que d'un décret, et non d'une loi ; son application doit donc être uniforme. Il est nécessaire d'établir une loi faisant office de texte fondateur, énonçant des principes et contribuant à institutionnaliser les dispositions constitutionnelles et législatives relatives au droit à la vie privée et aux droits fondamentaux.

L’élaboration de la loi sur la protection des données personnelles vise à perfectionner le système juridique en matière de protection des données personnelles dans notre pays, à créer un cadre juridique pour la protection des données personnelles, à améliorer la capacité des organisations et des particuliers nationaux à protéger leurs données personnelles afin d’atteindre les niveaux international et régional ; et à promouvoir l’utilisation légale des données personnelles au service du développement socio-économique .

Le projet de loi sur la protection des données personnelles comprend 7 chapitres et 69 articles ; il réglemente la protection des données personnelles et la responsabilité des agences, organisations et personnes concernées en matière de protection des données personnelles, et s’articule autour de 7 thèmes principaux, à savoir :

Unifier la terminologie et développer certains concepts importants en matière de protection des données personnelles, tels que : données personnelles ; protection des données personnelles ; clarifier le concept et le contenu des données personnelles de base, des données personnelles sensibles, des données non personnelles, de l’anonymisation des données personnelles ; identifier avec précision et exhaustivité les activités de traitement des données personnelles ; les rôles des parties prenantes dans les activités de traitement.

Élaborer 7 principes pour la protection des données personnelles, notamment : la légalité, la transparence, la finalité, la limitation, l'exactitude, la sécurité, la durée de conservation limitée et la responsabilité.

Spécifie les droits et obligations des personnes concernées.

Réglementation relative aux conditions de protection des données personnelles pour les organismes fournissant des services de traitement des données personnelles ; services fournissant des organismes et des experts en protection des données personnelles ; services d’évaluation de la solvabilité en matière de protection des données personnelles ; services de certification des qualifications en matière de protection des données personnelles.

Exige une évaluation de l'impact du traitement et du transfert de données personnelles à l'étranger, conformément aux obligations légales relatives à ces activités. Afin de s'adapter à l'évolution scientifique et technologique et aux spécificités des entreprises actuelles, le projet de loi ne prévoit pas de contrôle préalable (enregistrement), mais un contrôle a posteriori (inspection, évaluation) pour le traitement et le transfert transfrontaliers de données personnelles.

Réglementation complète relative aux mesures de base de protection des données personnelles, aux données personnelles sensibles, aux conditions de mise en œuvre des activités de protection des données personnelles, aux agences spécialisées en matière de protection des données personnelles et au portail national d'information sur la protection des données personnelles.

Réglementation relative à la gestion étatique de la protection des données personnelles ; responsabilités des ministères et services concernés dans le cadre de la mise en œuvre unifiée de cette gestion par le gouvernement ; le ministère de la Sécurité publique est l’organisme central responsable auprès du gouvernement de la mise en œuvre de la gestion étatique des données personnelles, à l’exception des compétences relevant du ministère de la Défense nationale ; responsabilités du responsable du traitement des données personnelles, du sous-traitant, du responsable du traitement et du sous-traitant, des tiers, des organisations et des personnes concernées.

Examiner et compléter les actes interdits

Dans son examen préliminaire du projet de loi, la Commission de la défense nationale, de la sécurité et des affaires étrangères de l'Assemblée nationale a déclaré que les données personnelles jouent un rôle particulièrement important, constituent une source de données stratégique et ont un impact direct et global sur la politique, l'économie, la société, la défense nationale, la sécurité et les affaires étrangères d'un pays. Cependant, la protection des données personnelles a été jusqu'à présent insuffisante, ce qui a permis la collecte, l'attaque, l'appropriation et le commerce illégal de ces données.

Président du Comité de la défense nationale, de la sécurité et des affaires étrangères, Le Tan Toi.

Bien qu'il existe actuellement de nombreux textes juridiques relatifs à la protection des données personnelles, leur contenu demeure dispersé et incohérent. Le décret n° 13/2023/ND-CP du gouvernement, en date du 17 avril 2024, relatif à la protection des données personnelles, est entré en vigueur dans un premier temps, mais il s'agit d'un texte législatif simplifié, qui ne garantit pas de valeur juridique, n'est pas conforme aux dispositions de la Constitution et n'est pas suffisamment contraignant pour prévenir et traiter les violations.

Par conséquent, l'élaboration d'une loi sur la protection des données personnelles est extrêmement nécessaire, afin de répondre aux exigences en matière de protection des données personnelles ; de prévenir les atteintes à la protection des données personnelles ; de renforcer la responsabilité des agences, des organisations et des individus ; et de garantir une valeur juridique pour une mise en œuvre unifiée.

Concernant les actes interdits (article 7), le président du Comité, M. Le Tan Toi, a indiqué que certains avis suggéraient de revoir et de compléter la liste des actes interdits afin de couvrir pleinement chaque groupe d'activités et chaque type de personne concernée par la protection des données personnelles. Des avis ont notamment proposé de compléter les actes interdits relatifs aux cinq formes d'achat et de vente de données personnelles mentionnées dans la contribution du Gouvernement.

Concernant la protection des données personnelles dans les services de marketing et de publicité, le Comité permanent de la Commission de la défense nationale, de la sécurité et des affaires étrangères approuve globalement cette réglementation. Cependant, certains estiment que l'interdiction de recourir à des tiers est irréalisable et inadaptée à la pratique, compte tenu de la dépendance du secteur du marketing et de la publicité à l'égard de l'écosystème numérique.

Il est suggéré qu'un tiers puisse être autorisé à le faire si la sécurité est assurée, s'il existe un contrat avec des responsabilités claires et s'il doit y avoir des dispositions transitoires similaires aux dispositions relatives aux organismes de protection des données personnelles et aux experts en protection des données personnelles figurant à l'article 68 du projet de loi.

En outre, l'agence d'inspection a également proposé de revoir attentivement la réglementation relative aux organismes de protection des données personnelles (article 39), aux experts en protection des données personnelles (article 40), aux entreprises de services des organismes de protection des données personnelles et aux experts en protection des données personnelles (article 41), afin de garantir le respect des exigences de gestion de l'État et d'encourager la créativité, de libérer toutes les capacités productives et d'ouvrir toutes les ressources au développement ; de réduire et de simplifier en profondeur les procédures administratives, les conditions d'investissement pour la production et les entreprises, de réduire les coûts de mise en conformité et de créer les conditions les plus favorables pour les personnes et les entreprises.