Créer un cadre juridique pour la protection des données personnelles

Poursuivant la 43ème session, dans l'après-midi du 11 mars, la Commission permanente de l'Assemblée nationale a donné son avis sur le projet de loi sur la protection des données personnelles.

7 principes de protection des données personnelles

Le Gouvernement a indiqué dans sa communication que, bien qu'il existe au Vietnam jusqu'à 69 documents juridiques directement liés à la protection des données personnelles, tous ne se sont pas encore mis d'accord sur le concept et le contenu des données personnelles et de la protection des données personnelles. Seul le décret gouvernemental n° 13/2023/ND-CP du 17 avril 2024 relatif à la protection des données personnelles fournit une définition de ces deux contenus.

Toutefois, il ne s'agit que d'un décret, et non d'une loi. Il est donc nécessaire de l'appliquer uniformément dans la pratique. Il est nécessaire d'établir une loi, véritable « loi originale », assortie de principes, contribuant à l'institutionnalisation continue des dispositions de la Constitution et des lois relatives au droit à la protection de la vie privée et des droits de l'homme.

L'élaboration de la loi sur la protection des données personnelles vise à perfectionner le système juridique de protection des données personnelles dans notre pays, à créer un couloir juridique pour la protection des données personnelles, à améliorer la capacité de protection des données personnelles pour les organisations et les individus nationaux afin d'atteindre les niveaux internationaux et régionaux ; promouvoir l'utilisation légale des données personnelles au service du développement socio -économique.

Le projet de loi sur la protection des données personnelles comprend 7 chapitres et 69 articles, réglementant la protection des données personnelles et la responsabilité des agences, organisations et individus concernés pour protéger les données personnelles avec 7 contenus principaux, à savoir :

Unifier la terminologie et développer certains concepts importants sur la protection des données personnelles, tels que : données personnelles ; protection des données personnelles ; clarifier les concepts et le contenu des données personnelles de base, des données personnelles sensibles, des données non personnelles, de la désidentification des données personnelles ; identifier avec précision et intégralité les activités de traitement des données personnelles ; les rôles des parties dans les activités de traitement.

Développer 7 principes de protection des données personnelles, notamment : la légalité, la transparence, la finalité, la limitation, l’exactitude, la sécurité, la durée de stockage limitée et la responsabilité.

Précise les droits et obligations des personnes concernées.

Règlement sur les conditions de protection des données personnelles pour les organisations fournissant des services de traitement de données personnelles ; services fournissant des organisations de protection des données personnelles et des experts en protection des données personnelles ; services d'évaluation de crédit en matière de protection des données personnelles ; et services certifiant l'éligibilité à la capacité de protection des données personnelles.

Exige une évaluation de l'impact du traitement des données personnelles et de leur transfert à l'étranger, en tant qu'engagement juridique relatif aux activités de traitement des données personnelles. Afin de s'adapter à l'évolution des sciences et des technologies et aux formes actuelles d'entreprises, le projet ne prévoit pas de contrôle préalable (enregistrement), mais prévoit un contrôle a posteriori (vérification, évaluation) du traitement des données personnelles et des transferts transfrontaliers de données personnelles.

Règlement complet sur les mesures de base de protection des données personnelles, les données personnelles sensibles, les conditions pour assurer les activités de protection des données personnelles, les agences spécialisées de protection des données personnelles et le portail national d'information sur la protection des données personnelles.

Règlement sur la gestion de l'État de la protection des données personnelles, responsabilités des ministères et branches concernés dans la direction du gouvernement unifiant la mise en œuvre de la gestion de l'État de la protection des données personnelles ; le ministère de la Sécurité publique est l'organisme central responsable devant le gouvernement de la mise en œuvre de la gestion de l'État des données personnelles, à l'exception du champ d'application du ministère de la Défense nationale ; responsabilités du responsable du traitement des données personnelles, du sous-traitant des données, du responsable du traitement et du sous-traitant des données, des tiers, des organisations et des individus concernés.

Réviser et compléter les actes interdits

Lors de son examen préliminaire du projet de loi, la Commission de la défense nationale, de la sécurité et des affaires étrangères de l'Assemblée nationale a déclaré que les données personnelles jouent un rôle particulièrement important, constituent une source de données stratégique et ont un impact direct et global sur la politique, l'économie, la société, la défense, la sécurité et les affaires étrangères d'un pays. Cependant, la protection des données personnelles a été laxiste par le passé, permettant la collecte, les attaques, l'appropriation et le commerce illégal de données personnelles.

Le Tan Toi, président de la commission de la défense nationale, de la sécurité et des affaires étrangères.

Bien qu'il existe actuellement de nombreux documents juridiques relatifs à la protection des données personnelles, leur contenu reste dispersé et incohérent. Le décret gouvernemental n° 13/2023/ND-CP du 17 avril 2024 relatif à la protection des données personnelles est entré en vigueur, mais il s'agit d'un document de nature sub-législative, sans valeur juridique, non conforme aux dispositions de la Constitution et insuffisamment puissant pour prévenir et traiter les violations.

Par conséquent, l’élaboration de la loi sur la protection des données personnelles est extrêmement nécessaire, répondant aux exigences de protection des données personnelles, de prévention des actes de violation des données personnelles, de renforcement de la responsabilité des agences, des organisations et des individus, et de garantie de la valeur juridique d’une mise en œuvre unifiée.

Concernant les actes interdits (article 7), le président du Comité, Le Tan Toi, a indiqué que certains avis suggéraient de revoir et de compléter d'autres actes interdits afin de couvrir pleinement chaque groupe d'activités et chaque type de personne protégeant les données personnelles. Certains avis suggéraient de compléter les actes interdits liés aux cinq formes d'achat et de vente de données personnelles énoncées dans la soumission du gouvernement.

Concernant la protection des données personnelles dans les services de marketing et de publicité, le Comité permanent de la défense nationale, de la sécurité et des affaires étrangères approuve globalement ce règlement. Cependant, certains estiment que l'interdiction du recours à des tiers est inapplicable et inadaptée à la pratique, car le secteur du marketing et de la publicité dépend de l'écosystème numérique.

Il est suggéré qu’un tiers puisse être autorisé à le faire si la confidentialité est garantie, s’il existe un contrat avec des responsabilités claires et s’il doit y avoir des dispositions transitoires similaires aux dispositions sur les organisations de protection des données personnelles et les experts en protection des données personnelles dans l’article 68 du projet de loi.

En outre, l'agence d'inspection a également proposé de réviser attentivement les réglementations sur les organisations de protection des données personnelles (article 39), les experts en protection des données personnelles (article 40), les services commerciaux des organisations de protection des données personnelles, les experts en protection des données personnelles (article 41) pour à la fois garantir les exigences de gestion de l'État et encourager la créativité, libérer toutes les forces productives et ouvrir toutes les ressources au développement ; réduire et simplifier en profondeur les procédures administratives, les conditions d'investissement pour la production et les entreprises, réduire les coûts de conformité et créer les conditions les plus favorables pour les personnes et les entreprises.