Mesures pour garantir les droits de l’homme dans la transformation numérique

La protection des données personnelles est la protection des droits et libertés fondamentaux de l’homme en matière de données.

Le 17 avril 2023, le gouvernement a publié le décret n° 13/2023/ND-CP (décret) sur la protection des données personnelles, en vigueur à compter du 1er juillet 2023, répondant aux exigences de protection des droits des données personnelles ; Prévenir les actes de violation des données personnelles qui affectent les droits et les intérêts des individus et des organisations.

Points forts

Le décret est un document juridique réglementant la protection des données personnelles et la responsabilité des agences, organisations et individus concernés en matière de protection des données personnelles.

Premièrement, la protection des données personnelles vise à protéger les droits et libertés fondamentaux de l’homme en ce qui concerne les données. Les dispositions du Décret relatif à la protection des données personnelles en vigueur visent à empêcher que les droits et libertés individuelles de chaque personne ne soient violés.

Dans le même temps, la sécurité des données personnelles revêt une importance particulière car si les données sont volées, cela peut entraîner des pertes économiques et sociales, des risques tels que : chantage, fraude, appropriation de biens, diffamation, atteinte à l'honneur, à la dignité, abus sexuel..., entraînant des conséquences à la fois matérielles et spirituelles, affectant directement les droits et les intérêts légitimes des agences, organisations, entreprises et particuliers.

Deuxièmement, promouvoir et respecter les droits des personnes concernées par les données personnelles. Les droits des personnes concernées par les données personnelles comprennent le droit d’accès, le droit de consentir ou de s’opposer au traitement des données personnelles, le droit d’être informé et le droit de demander la suppression des données…

En outre, les personnes concernées ont également le droit de se protéger contre toute atteinte à leurs données personnelles par d’autres personnes. Le sujet a le droit de demander une indemnisation pour les dommages causés lorsqu'il y a une violation des dispositions du décret portant atteinte au droit à la protection des données personnelles. Le décret stipule également clairement que la collecte, le transfert ou l’achat et la vente de données personnelles sans le consentement de la personne concernée constituent une violation de la loi.

Toutefois, le droit de la personne concernée à protéger ses données personnelles n’est pas un droit absolu, mais peut être limité dans des cas d’urgence pour protéger la vie et la santé de la personne ou d’autrui ; état d’urgence concernant la défense nationale, la sécurité nationale, l’ordre et la sécurité sociaux ; exécuter des obligations contractuelles telles que déterminées ou servir les activités d'un organisme d'État telles que prescrites par des lois spécialisées.

L’octroi d’exceptions vise à mettre en œuvre le principe de garantie des droits des individus et des organisations, sans porter atteinte aux intérêts légitimes d’autres individus, organisations ou intérêts nationaux afin d’exercer ces droits.

Troisièmement, promouvoir l’intégration internationale en matière de protection des données personnelles. Le décret est compatible avec les pratiques et réglementations internationales en matière de protection des données personnelles. De nombreux pays développés ont légalisé la question de la protection des données personnelles, ce qui constitue une base de recherche et de référence pour le Vietnam.

En outre, les organisations internationales dont le Vietnam est membre ou avec lesquelles il coopère ont émis des conventions, des recommandations et des normes sur la confidentialité et la protection des informations et données personnelles. Il s'agit notamment des principes de confidentialité de l'Organisation de coopération et de développement économiques (OCDE), de la Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des informations et des données à caractère personnel, des lignes directrices de l'ONU sur les données personnelles et les fichiers d'informations informatisés, du cadre de confidentialité de la Coopération économique Asie-Pacifique (APEC), des normes internationales sur la confidentialité et la protection des informations et des données personnelles (Résolution de Madrid), du Règlement général sur la protection des données (RGPD) de l'UE...

En outre, dans le cadre du processus de promotion de la coopération entre notre pays et d’autres pays et territoires, plus de 80 pays ont publié des documents juridiques sur la protection des données personnelles, dont beaucoup contiennent des dispositions applicables aux organisations et aux individus vietnamiens. Par conséquent, des réglementations spécifiques et détaillées sur la protection des données personnelles visent à créer un environnement égalitaire et respectueux des lois au Vietnam, y compris pour les personnes et organisations étrangères.

Les défis

Actuellement, des défis importants subsistent dans la mise en œuvre du décret.

Premièrement, le défi de la gestion du travail dans les entreprises. De nos jours, de nombreuses entreprises construisent un modèle de société mère et de filiales partageant le même écosystème de gestion, les informations sur les employés peuvent être facilement accessibles à partir du système commun.

Cependant, selon la loi vietnamienne, chaque entreprise (y compris les sociétés mères et les filiales) est considérée comme une entité juridique distincte et indépendante, de sorte que le transfert de données personnelles des employés par des entreprises du même écosystème pour servir le processus de gestion interne de l'entreprise peut également être considéré comme une violation de la responsabilité de l'entreprise de protéger les données personnelles.

D'autre part, de nombreuses entreprises sont actuellement confrontées à des difficultés dans la mise en œuvre du décret et n'ont pas encore mis au point le mécanisme et la réglementation en matière de gestion et de protection des données personnelles des employés conformément au décret.

Deuxièmement, elle n’est pas conforme aux réglementations légales régissant les opérations des établissements de crédit. Actuellement, les opérations des établissements de crédit sont réglementées par des réglementations juridiques spécialisées telles que : la Loi sur les établissements de crédit de 2010 (modifiée et complétée en 2014) ; Loi sur la lutte contre le blanchiment d’argent; Décret 117/2018/ND-CP sur la confidentialité et la fourniture d’informations sur les clients des établissements de crédit et des succursales de banques étrangères ; Circulaire 09/2020/TT-NHNN de la Banque d'État réglementant la sécurité des systèmes d'information dans les activités bancaires au niveau inférieur à la Loi.

D'autre part, pour les activités bancaires, le traitement des données affecte les données personnelles, telles que : La collecte, l'enregistrement, l'analyse, la confirmation, le stockage, l'édition, la publication, la combinaison, l'accès, la récupération, le rappel, le cryptage, le décryptage, la copie, le partage, la transmission, la fourniture, le transfert, la suppression, la destruction des données personnelles ou d'autres actions connexes sont essentielles pour fournir des services aux clients et gérer les risques dans les activités bancaires, en garantissant la sécurité et la sûreté du système monétaire, de sorte que de nombreuses activités de traitement des données personnelles des clients ne peuvent pas et ne nécessitent pas le consentement des clients, tandis que la clause 2, article 3 et la clause 1, article 9 du décret stipulent que les sujets ont le droit de connaître le traitement de leurs données personnelles, sauf disposition contraire d'autres lois.

Ou dans la clause 2, l’article 9 stipule que le sujet a le droit de ne pas consentir au traitement de ses données personnelles ; Le sujet a le droit de supprimer, d'accéder, de demander la limitation du traitement des données et de s'opposer au traitement des données, sauf dans les cas où d'autres lois prévoient le contraire dans l'article 9. Ainsi, il serait déroutant et inapproprié d'appliquer le décret de manière rigide et sans orientation unifiée.

En outre, la fourniture de services et de produits par les établissements de crédit s'effectue selon de nombreux processus sur un seul produit, chaque processus sur un seul produit comprend de nombreuses étapes différentes et est lié à la collecte, l'évaluation, l'analyse et la fourniture de données sur des fichiers clients très volumineux, tandis que le décret exige que la partie qui contrôle et traite les données personnelles lors de la conduite de toute activité de traitement de données doit avoir le consentement de la personne concernée (client) dans toutes les procédures de traitement (article 11) ; et doit informer la personne concernée des données personnelles avant de procéder à des activités de traitement de données (article 13). Cela continue de constituer un obstacle supplémentaire aux opérations des établissements de crédit.

En outre, les établissements de crédit doivent adapter leurs systèmes informatiques et autres documents réglementaires relatifs aux opérations des établissements de crédit ; Les documents contractuels et conventionnels doivent être révisés pour se conformer au décret, ce qui crée une difficulté non négligeable pour les opérations bancaires.

Troisièmement, une partie de la population ne comprend pas et n’est pas consciente de la nécessité de protéger ses données personnelles, c’est pourquoi elle partage facilement des informations personnelles sur les plateformes de réseaux sociaux, permettant involontairement à des personnes mal intentionnées d’en profiter à de mauvaises fins.

Certaines personnes ne voient pas clairement l’intérêt de la protection des données personnelles en tant que garantie de la vie privée et ont également peur de fournir des informations personnelles, ce qui entraîne des difficultés pour les autorités dans la gestion étatique de la protection des données personnelles ainsi que dans l’enquête et le traitement des violations de la loi sur la protection des données personnelles.

De plus, la situation d’achat et de vente de données personnelles, le risque de fuite d’informations, crée des conséquences majeures, affectant les questions socio-économiques. La fraude et le spam publicitaire via des appels et des messages texte restent complexes et affectent la vie des gens.

La sécurité des données personnelles revêt une importance particulière car si des données sont volées, cela peut entraîner des pertes économiques et sociales, affectant directement les droits et les intérêts légitimes des agences, des organisations, des entreprises et des particuliers. (Source : Shutterstock)

Mise en pratique du décret

Le Vietnam est l'un des pays où le développement d'Internet et la vitesse d'application sont les plus élevés au monde, avec plus de 70 millions d'utilisateurs. Les données personnelles de plus de 2/3 de la population de notre pays ont été et sont stockées, publiées, partagées et collectées dans l’environnement numérique et le cyberespace sous différentes formes et niveaux de détail.

Le décret constitue une avancée majeure pour garantir les droits de l’homme dans la transformation numérique, en comblant les lacunes et les insuffisances dans la pratique de garantie, de protection et de sécurisation des données personnelles, et en renforçant la responsabilité des agences, organisations et individus nationaux et étrangers directement impliqués ou liés aux activités de traitement des données personnelles au Vietnam.

Pour que le décret soit réellement efficace dans la pratique, il est nécessaire de se concentrer sur les questions suivantes :

L’une d’entre elles consiste à accroître la responsabilité des entreprises dans la protection des droits des travailleurs. Lorsqu’elles emploient de la main-d’œuvre, les entreprises doivent collecter et stocker des informations sur les employés. Pour servir les objectifs de gestion du travail, les employeurs et les entreprises reçoivent et gèrent de nombreuses informations personnelles des employés, mais s'ils ne font pas attention dans la gestion et le traitement des informations, cela entraînera des conséquences imprévisibles.

Les entreprises doivent étudier attentivement et évaluer de manière exhaustive les impacts du décret, revoir et mettre à jour rapidement les procédures et les instructions de traitement des données personnelles conformément à la nouvelle réglementation ; Envisager d’établir des mécanismes et de construire des règles de gouvernance fondées sur les dispositions du décret ; maintenir et respecter ces mécanismes et réglementations tout au long de l’exploitation.

Deuxièmement, éliminer les difficultés liées aux activités de crédit des établissements de crédit . La Banque d’État doit travailler en étroite collaboration avec les ministères concernés, en particulier le ministère de la Sécurité publique, afin de fournir des orientations unifiées sur la protection des données personnelles dans le secteur du crédit, en garantissant à la fois la promotion de la responsabilité opérationnelle des établissements de crédit dans la protection des données des clients et en répondant aux exigences et tâches spécialisées.

Troisièmement, pour que le décret prenne véritablement vie, il est nécessaire de faire un bon travail de propagande et d’éducation pour vulgariser la loi. Il convient en particulier de souligner la nécessité d’émettre un décret ayant pour objectif principal le respect et la protection des droits civils et des droits de l’homme. Et surtout, la personne concernée elle-même doit bien comprendre et prendre conscience de sa responsabilité en matière de protection des données personnelles.