Mesures visant à garantir les droits de l'homme dans la transformation numérique

La protection des données personnelles est la protection des droits et libertés fondamentaux de l’homme en matière de données.

Le 17 avril 2023, le gouvernement a publié le décret n° 13/2023/ND-CP (décret) sur la protection des données personnelles, en vigueur à compter du 1er juillet 2023, répondant aux exigences de protection des droits des données personnelles ; empêchant les actes de violation des données personnelles, affectant les droits et les intérêts des individus et des organisations.

Points forts

Le décret est un document juridique réglementant la protection des données personnelles et la responsabilité des agences, organisations et individus concernés en matière de protection des données personnelles.

Premièrement, la protection des données personnelles vise à protéger les droits et libertés fondamentaux liés aux données. Les dispositions du décret relatif à la protection des données personnelles visent à prévenir toute atteinte aux droits et libertés de chacun.

Dans le même temps, la sécurité des données personnelles revêt une importance particulière car si des données sont volées, cela peut entraîner des pertes économiques et sociales, des risques tels que : chantage, fraude, appropriation de biens, diffamation, atteinte à l'honneur, à la dignité, abus sexuels..., entraînant des conséquences à la fois matérielles et spirituelles, affectant directement les droits et les intérêts légitimes des agences, organisations, entreprises et particuliers.

Deuxièmement, promouvoir et respecter les droits des personnes concernées par les données personnelles. Ces droits comprennent le droit d'accès, le droit de consentir ou non au traitement des données personnelles, le droit d'être informé et le droit de demander la suppression des données.

En outre, les personnes concernées ont le droit de se protéger contre toute violation de leurs données personnelles par d'autres personnes. Elles ont le droit de demander réparation du préjudice subi en cas de violation des dispositions du Décret portant atteinte à leur droit à la protection des données personnelles. Le Décret stipule également clairement que la collecte, le transfert, l'achat et la vente de données personnelles sans le consentement de la personne concernée constituent une violation de la loi.

Toutefois, le droit du sujet à la protection des données personnelles n'est pas un droit absolu, mais peut être limité dans les cas d'urgence pour protéger la vie et la santé de l'individu ou d'autrui ; les situations d'urgence concernant la défense nationale, la sécurité nationale, l'ordre et la sécurité sociaux ; l'exécution d'obligations contractuelles qui ont été déterminées, ou au service des activités des agences d'État qui ont été prescrites par des lois spécialisées.

L’octroi d’exceptions vise à mettre en œuvre le principe de garantie des droits des individus et des organisations, sans toutefois porter atteinte aux intérêts légitimes d’autres individus, organisations ou intérêts nationaux afin d’exercer ces droits.

Troisièmement, promouvoir le processus d'intégration internationale en matière de protection des données personnelles. Le décret est compatible avec les pratiques et réglementations internationales en la matière. De nombreux pays développés ont légalisé la protection des données personnelles, ce qui constitue une base d'étude et de référence pour le Vietnam.

Par ailleurs, les organisations internationales dont le Vietnam est membre ou avec lesquelles il coopère ont publié des conventions, des recommandations et des normes sur la confidentialité et la protection des informations et des données personnelles. Il s'agit notamment des principes de confidentialité de l'Organisation de coopération et de développement économiques (OCDE), de la Convention du Conseil de l'Europe pour la protection des personnes physiques à l'égard du traitement automatisé des informations et des données à caractère personnel, des lignes directrices des Nations Unies sur les données personnelles et les fichiers d'information informatisés, du Cadre de protection de la vie privée de la Coopération économique Asie- Pacifique (APEC), des normes internationales sur la confidentialité et la protection des informations et des données personnelles (Résolution de Madrid) et du Règlement général sur la protection des données (RGPD) de l'UE.

Par ailleurs, dans le cadre de la promotion de la coopération entre notre pays et d'autres pays et territoires, plus de 80 pays ont adopté des textes juridiques sur la protection des données personnelles, dont beaucoup contiennent des dispositions applicables aux organisations et aux particuliers vietnamiens. Par conséquent, des réglementations spécifiques et détaillées sur la protection des données personnelles visent à créer un environnement d'égalité et d'État de droit au Vietnam, y compris pour les personnes et les organisations étrangères.

Les défis

Actuellement, des défis importants subsistent dans la mise en œuvre du décret.

Tout d'abord, le défi de la gestion des employés des entreprises. Actuellement, de nombreuses entreprises adoptent un modèle de société mère et de filiales avec un écosystème de gestion commun, et les informations sur les employés sont facilement accessibles depuis un système commun.

Toutefois, en vertu de la loi vietnamienne, chaque entreprise (y compris les sociétés mères et les filiales) est considérée comme une entité juridique distincte et indépendante, de sorte que le transfert de données personnelles des employés par des entreprises du même écosystème pour servir le processus de gestion interne de l'entreprise peut également être considéré comme une violation de la responsabilité de l'entreprise de protéger les données personnelles.

D'autre part, de nombreuses entreprises sont actuellement confrontées à des difficultés dans la mise en œuvre du décret et n'ont pas encore achevé le mécanisme et la réglementation de gestion et de protection des données personnelles des employés conformément au décret.

Deuxièmement, elle n'est pas conforme aux réglementations légales régissant les opérations des établissements de crédit. Actuellement, les opérations des établissements de crédit sont régies par des réglementations légales spécialisées telles que : la loi sur les établissements de crédit de 2010 (modifiée et complétée en 2014) ; la loi relative à la lutte contre le blanchiment d'argent ; le décret 117/2018/ND-CP relatif à la confidentialité et à la communication des informations clients des établissements de crédit et des succursales de banques étrangères ; la circulaire 09/2020/TT-NHNN de la Banque d'État réglementant la sécurité des systèmes d'information dans les opérations bancaires au niveau inférieur à la loi.

D'autre part, pour les activités bancaires, le traitement des données affecte les données personnelles, telles que : La collecte, l'enregistrement, l'analyse, la confirmation, le stockage, l'édition, la publication, la combinaison, l'accès, la récupération, le rappel, le cryptage, le décryptage, la copie, le partage, la transmission, la fourniture, le transfert, la suppression, la destruction des données personnelles ou d'autres actions connexes sont essentielles pour fournir des services aux clients et gérer les risques dans les activités bancaires, en garantissant la sécurité du système monétaire, de sorte que de nombreuses activités de traitement des données personnelles des clients ne peuvent pas et ne nécessitent pas le consentement des clients, tandis que la clause 2, article 3 et la clause 1, article 9 du décret stipulent que les sujets ont le droit de connaître le traitement de leurs données personnelles, sauf dans les cas où d'autres lois en disposent autrement.

Ou dans la clause 2, l'article 9 stipule que le sujet a le droit de ne pas consentir au traitement de ses données personnelles ; le sujet a le droit de supprimer, d'accéder, de demander la restriction du traitement des données et de s'opposer au traitement des données, sauf dans les cas où d'autres lois contiennent d'autres dispositions dans l'article 9. Ainsi, il serait confus et inapproprié que le décret soit appliqué de manière rigide et sans orientation unifiée.

En outre, la fourniture de services et de produits par les établissements de crédit s'effectue selon de nombreux processus relatifs à un même produit. Chaque processus comprend de nombreuses étapes et est lié à la collecte, l'évaluation, l'analyse et la fourniture de données sur des fichiers clients très volumineux. Le décret exige que le responsable du traitement et le sous-traitant des données personnelles obtiennent le consentement de la personne concernée (client) pour toutes les procédures de traitement lors de la réalisation d'activités de traitement de données (article 11) ; et avant toute activité de traitement de données, la personne concernée doit être informée (article 13). Cela continue de constituer un obstacle supplémentaire aux activités des établissements de crédit.

En outre, les établissements de crédit doivent adapter leurs systèmes informatiques et autres documents réglementaires relatifs aux opérations des établissements de crédit ; les modèles de contrats et d'accords doivent être révisés pour se conformer au décret, ce qui crée des difficultés importantes pour les opérations bancaires.

Troisièmement, une partie de la population ne comprend pas et n’est pas consciente de la nécessité de protéger ses données personnelles, c’est pourquoi elle partage facilement des informations personnelles sur les plateformes de réseaux sociaux, permettant ainsi involontairement à des personnes mal intentionnées d’en profiter à des fins malveillantes.

Certaines personnes ne voient pas clairement l’intérêt de la protection des données personnelles comme moyen de garantir la confidentialité des données personnelles et ont également peur de fournir des informations personnelles, ce qui rend difficile pour les autorités de mener à bien la gestion étatique de la protection des données personnelles ainsi que de servir à l’enquête et au traitement des violations de la loi sur la protection des données personnelles.

De plus, l'achat et la vente de données personnelles, ainsi que le risque de fuite d'informations, ont des conséquences majeures sur les questions socio-économiques. Les phénomènes frauduleux, comme les spams publicitaires par appels et messages, restent complexes et affectent la vie des gens.

La sécurité des données personnelles est particulièrement importante, car leur vol peut entraîner des pertes économiques et sociales, affectant directement les droits et les intérêts légitimes des agences, organisations, entreprises et particuliers. (Source : Shutterstock)

Mise en pratique du décret

Le Vietnam est l'un des pays où le développement et la vitesse d'accès à Internet sont les plus élevés au monde, avec plus de 70 millions d'utilisateurs. Les données personnelles de plus des deux tiers de notre population sont stockées, publiées, partagées et collectées dans l'environnement numérique et le cyberespace, sous différentes formes et avec différents niveaux de détail.

Le décret constitue une avancée majeure pour garantir les droits de l’homme dans la transformation numérique, en comblant les lacunes et les insuffisances dans la pratique de la garantie, de la protection et de la sécurisation des données personnelles, et en renforçant la responsabilité des agences, organisations et individus nationaux et étrangers directement impliqués ou liés aux activités de traitement des données personnelles au Vietnam.

Pour que le décret soit réellement efficace dans la pratique, il est nécessaire de se concentrer sur les questions suivantes :

Premièrement, il faut accroître la responsabilité des entreprises en matière de protection des droits des travailleurs. Dans le cadre de leur emploi, les entreprises doivent collecter et conserver les informations relatives à leurs employés. Pour assurer la gestion de la main-d'œuvre, employeurs et entreprises reçoivent et gèrent de nombreuses informations personnelles concernant leurs employés. Or, une gestion et un traitement négligents de ces informations peuvent avoir des conséquences imprévisibles.

Les entreprises doivent étudier et évaluer attentivement les impacts globaux du décret, réviser et mettre à jour rapidement les procédures et les instructions de traitement des données personnelles conformément à la nouvelle réglementation ; envisager d’établir des mécanismes et des réglementations de gouvernance basées sur les dispositions du décret ; maintenir et respecter ces mécanismes et réglementations tout au long du processus d’exploitation.

Deuxièmement, il faut lever les obstacles aux activités de crédit des établissements de crédit . La Banque d'État doit collaborer étroitement avec les ministères concernés, notamment le ministère de la Sécurité publique, afin de fournir des orientations unifiées sur la protection des données personnelles dans le secteur du crédit, tout en assurant la promotion de la responsabilité opérationnelle des établissements de crédit en matière de protection des données clients et en répondant aux exigences et missions spécifiques.

Troisièmement, pour que le décret entre véritablement en vigueur, il est nécessaire de diffuser et de faire connaître le droit. Il est notamment essentiel de souligner la nécessité de promulguer ce décret dans le but ultime de respecter et de protéger les droits civils et les droits de l'homme. Et surtout, la personne concernée doit elle-même bien comprendre et prendre conscience de ses responsabilités en matière de protection des données personnelles.