Droit international sur la protection des données personnelles et implications pour le Vietnam

En tant que l'un des pays ayant le plus haut développement et la plus grande vitesse d'application d'Internet au monde , avec près de 80 % de la population l'utilisant, les données personnelles des 2/3 de la population vietnamienne sont stockées, publiées, partagées et collectées sur le cyberespace sous de nombreuses formes et niveaux de détail différents.

En 2022 et 2023, le Vietnam a mené cinq poursuites pénales impliquant des milliers de gigaoctets de données et des milliards d'informations personnelles échangées. Cela démontre l'urgence d'améliorer la législation sur la protection des données personnelles, en s'appuyant sur la recherche et en se référant au droit international.

Droit international sur la protection des données personnelles

Le RGPD est considéré comme une avancée juridique majeure, créant le mécanisme de protection des informations personnelles le plus strict au monde aujourd’hui.

Le règlement général sur la protection des données (RGPD) de l'Union européenne (UE) est considéré comme une avancée juridique majeure, créant le mécanisme de protection des informations personnelles le plus strict au monde aujourd'hui et s'applique à toutes les organisations et entreprises qui traitent les données personnelles des citoyens de l'UE.

Le RGPD impose des sanctions uniformes aux entreprises en cas de violation dans l'ensemble de l'Union. Plus précisément, les amendes peuvent atteindre 2 % du chiffre d'affaires ou 10 millions d'euros pour les infractions mineures, et 4 % du chiffre d'affaires ou 20 millions d'euros pour les infractions majeures. Outre les amendes, les entreprises qui enfreignent le RGPD peuvent également être soumises à d'autres sanctions, telles que l'interdiction de traiter des données ou la suppression de données traitées en violation du RGPD.

L'autorité de protection des données personnelles de l'UE est l'Autorité de contrôle de la protection des données de l'UE (CEPD) - un organisme indépendant dont les membres comprennent des avocats expérimentés, des experts en informatique et des administrateurs.

Cet organisme a pour principale fonction de superviser le traitement des données personnelles au sein des agences et organisations de l'UE, ainsi que de fournir des conseils sur les questions relatives aux données personnelles. Le RGPD exige également la mise en place d'une autorité de protection des données personnelles dans chaque État membre, telle qu'une Commission nationale de protection des données personnelles (France, Irlande...) ou une Inspection de la protection des données (Finlande, Lettonie...).

Outre le CEPD, l’UE a également créé le Comité européen de la protection des données (CEPD), composé de représentants des autorités nationales de protection des données des États membres et de représentants de l’UE, et qui fonctionne comme le principal organe consultatif indépendant sur les questions de protection des données personnelles, chargé de l’application cohérente du RGPD dans toute l’Union.

Le RGPD prévoit des sanctions très dissuasives, tant matérielles qu'immatérielles. De plus, l'autorité européenne de protection des données personnelles est mise en place selon le modèle Commission/Commissaire. Elle dispose donc de pouvoirs étendus et indépendants pour imposer des sanctions aux organisations qui enfreignent la réglementation relative à la protection des données personnelles et est en mesure d'évaluer et de décider en toute indépendance du traitement des données personnelles.

La Loi chinoise sur la protection des informations personnelles (LPIP), promulguée en 2021, est considérée comme la première loi nationale complète sur la protection des informations personnelles en Chine. La LPIP adopte une vision relativement unifiée des données personnelles (informations personnelles) comme des informations qui identifient ou identifient une personne spécifique, ciblant un groupe restreint de personnes sur le territoire chinois (article 4, chapitre 1 de la LPIP). Parallèlement, elle réglemente la question des données personnelles sensibles afin d'établir des règles sur les droits et obligations des parties concernant des groupes de données plus spécifiques.

Les sanctions en cas de violation des droits relatifs aux données personnelles en vertu de la PIPL sont très sévères : réparation forcée, confiscation des revenus illégaux, suspension des services, révocation des licences commerciales ou d'exploitation, et amendes pouvant atteindre 50 millions de yuans ou 5 % du chiffre d'affaires annuel de l'organisation au cours de l'exercice précédent. De plus, les violations peuvent être enregistrées dans le « dossier de crédit » de l'unité de traitement dans le cadre du système national de crédit social.

En outre, les unités de traitement seront tenues d'indemniser les dommages causés en cas de violation des droits et intérêts des organisations et des particuliers. Le Code pénal chinois prévoit des sanctions pénales pour ce type de violation, aggravant la responsabilité pénale des personnes responsables de la confidentialité des informations, ajoutant la confiscation des biens et prévoyant la réclusion à perpétuité comme peine maximale.

La loi singapourienne sur la protection des données personnelles (PDPA) a été adoptée en 2012 (modifiée en 2020). La loi singapourienne reconnaît le droit à la protection des données personnelles ainsi que la nécessité pour les organisations de collecter, d'utiliser et de divulguer des informations à des fins appropriées dans certaines circonstances.

La PDPA prévoit également de lourdes sanctions financières en cas de violation de données. Les personnes qui enfreignent la loi sont passibles d'amendes ou d'emprisonnement. L'amende dépend de la nature et de la gravité de l'infraction, allant de 2 000 à 100 000 SGD (soit l'équivalent de 1,6 milliard de VND) et/ou d'une peine d'emprisonnement maximale de 12 mois, voire de 3 ans dans les cas graves1. Les agences et entreprises qui enfreignent la loi peuvent se voir infliger une amende pouvant atteindre 10 % de leur chiffre d'affaires annuel.

L'organisme jouant un rôle important dans la mise en œuvre de la PDPA est la Commission de protection des données personnelles (PDPC). Cet organisme spécialisé, doté de larges pouvoirs et d'un pouvoir d'application étendu, est habilité à demander aux particuliers et aux organisations de fournir des informations et des documents relatifs au traitement des données personnelles, à imposer des sanctions financières en cas de violation et à prendre d'autres mesures pour y remédier.

La création d’une agence spécialisée, la Commission de protection des données personnelles de Singapour, qui travaille de manière indépendante et proactive pour détecter, traiter les violations et appliquer des sanctions, est également l’une des conditions d’une application efficace de la protection des données personnelles à Singapour.

Recommandations pour améliorer les lois sur la protection des données personnelles au Vietnam

Actuellement au Vietnam, il existe 69 documents juridiques directement liés à la question de la protection des données personnelles stipulés dans différents documents, notamment la Constitution, le Code (4), la Loi (39), l'Ordonnance (1), le Décret (2), la Circulaire/Circulaire conjointe (4), la Décision du Ministre (1).

Ces documents abordent la question de la protection des données personnelles dans le sens de la promotion du principe de protection de la vie privée. Cependant, ils contiennent des réglementations différentes sur les informations relatives aux données personnelles, notamment les droits et obligations des personnes concernées, le traitement des informations et les méthodes de protection des données personnelles. La loi régissant la protection des données personnelles au Vietnam a obtenu des résultats remarquables, notamment le 17 avril 2023, lorsque le gouvernement a publié le décret n° 12/2023/ND-CP relatif à la protection des données personnelles ; il s'agit d'un document distinct régissant cette question dans notre pays. Ces documents juridiques ont créé un cadre juridique pour la protection des données personnelles : ils précisent les droits des personnes concernées et des parties au traitement des données, prévoient des sanctions en cas de violation de la protection des données personnelles et désignent l'organisme spécialisé dans la protection des données personnelles comme le Département de la cybersécurité et de la prévention de la criminalité liée aux hautes technologies, relevant du ministère de la Sécurité publique .

Le Vietnam est confronté à de nombreux risques, défis et dangers liés au cyberespace, notamment la fuite et l’appropriation d’informations et de données personnelles, entraînant de nombreux effets néfastes pour les citoyens et la société.

Cependant, la mise en œuvre concrète de ces documents a également révélé de nombreuses limites, telles que les documents juridiques distincts actuels ne sont qu'au niveau du décret, ne répondant pas à l'importance de la protection des données personnelles, de nombreux contenus sont actuellement réglementés de manière générale et peu clairs, ce qui conduit à un manque d'instructions spécifiques pour chaque cas spécifique, et les sanctions sont encore légères et pas assez dissuasives...

Dans ce contexte, l'amélioration continue de la législation vietnamienne sur la protection des données personnelles a été et demeure une question qui mérite d'être étudiée à la lumière de l'expérience d'autres pays. Plus précisément :

Premièrement, il faut élaborer une loi sur la protection des données personnelles . Dans le contexte de la révolution industrielle 4.0, 80 pays ont adopté, aux niveaux régional et national, des textes juridiques distincts pour protéger les données personnelles. Le Vietnam doit rapidement élaborer et adopter une loi générale et spécialisée sur les données, telle que la loi sur la confidentialité des données, à l'instar de l'UE, de la Chine ou de Singapour, qui identifie les enjeux et principes fondamentaux de la protection des données personnelles. L'adoption d'une loi distincte sur les données personnelles constituera une base juridique importante pour la protection des données personnelles, alors que les textes juridiques relatifs à cette question dans notre pays manquent actuellement de cohérence en termes de terminologie et de réglementation du contenu.

Deuxièmement, il faudrait modifier et compléter les sanctions pour les violations de données personnelles afin de les rendre plus sévères et adaptées à la nature et à la gravité de la violation. Bien que les sanctions pour les violations de données personnelles dans notre pays comprennent des sanctions administratives, civiles et pénales, elles sont généralement légères et peu dissuasives. La principale méthode actuelle reste l'application de sanctions pour les violations administratives, mais la réglementation est dispersée dans de nombreux décrets prévoyant des amendes relativement faibles, les plus élevées étant de 100 millions de VND pour les particuliers et de 200 millions de VND pour les organisations.

Les violations administratives des données personnelles peuvent causer des dommages matériels, mais aussi une atteinte à l'honneur et à la dignité. Outre les sanctions administratives, les violations des données personnelles sont sanctionnées pénalement uniquement par les articles 159 et 288 du Code pénal actuel, qui prévoient des peines d'emprisonnement relativement légères, ne dépassant pas sept ans de prison et un montant d'amende d'un milliard de VND. Comparées aux 20 millions d'euros de l'UE, au million de SGD de Singapour ou à la peine de prison à perpétuité en Chine, ces amendes restent très faibles et disproportionnées par rapport à de nombreuses violations.

Parallèlement, il est nécessaire de réglementer de nombreux groupes de comportements qui ne sont pas actuellement mentionnés dans la loi, tels que le commerce de données à grande échelle, la mise en place de systèmes de violation de données, les violations dans les activités de services marketing, etc.

Troisièmement, sur le modèle de l'agence de protection des données personnelles au Vietnam . Actuellement, le Département de la cybersécurité et de la prévention de la criminalité liée aux hautes technologies, relevant du ministère de la Sécurité publique, est l'agence spécialisée en matière de protection des données personnelles. Conformément à la réglementation internationale, nous pourrions envisager la création d'une agence indépendante de protection des données personnelles, chargée de faire respecter la loi sur la protection des données personnelles, de mener des inspections, des examens, d'émettre des directives et des recommandations, et d'appliquer des sanctions en cas de violation.

Nous pouvons nous référer à ces modèles dans l’UE ou à Singapour… pour appliquer efficacement les lois sur la protection des données personnelles, en équilibrant la protection des droits personnels et en garantissant la sécurité du réseau.

La protection des données personnelles n’est pas une question simple, surtout lorsqu’elle est placée dans le contexte de l’intégration, alors que les activités de surveillance et de collecte de données personnelles se déroulent à grande échelle et que le système juridique vietnamien régissant cette question est encore en cours de construction et de perfectionnement.

L’étude du droit international sur cette question en référence à la situation pratique au Vietnam nous aidera bientôt à construire un cadre juridique pour une protection complète des données personnelles, compatible avec le droit international et une application efficace.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html