Droit international sur la protection des données personnelles et implications pour le Vietnam

Le Vietnam est l'un des pays où le développement et la vitesse d'application d'Internet sont les plus élevés au monde, avec près de 80 % de la population qui l'utilise. Les données personnelles des 2/3 de la population vietnamienne sont stockées, publiées, partagées et collectées sur le cyberespace sous de nombreuses formes et niveaux de détail différents.

En 2022 et 2023, le Vietnam a poursuivi cinq affaires pénales impliquant des milliers de Go de données et des milliards d’informations personnelles achetés et vendus. Cela montre qu’il est urgent d’améliorer la loi sur la protection des données personnelles en se basant sur la recherche et la référence au droit international.

Droit international sur la protection des données personnelles

Le RGPD est considéré comme une avancée juridique majeure, créant aujourd’hui le mécanisme de protection des informations personnelles le plus strict au monde.

Règlement général sur la protection des données (RGPD) de l'Union européenne (UE) . Le RGPD est considéré comme une avancée juridique majeure, créant le mécanisme de protection des informations personnelles le plus strict au monde aujourd'hui et s'applique à toutes les organisations et entreprises qui traitent les données personnelles des citoyens de l'UE.

Le RGPD applique des sanctions uniformes aux entreprises. Concrètement, l'amende peut atteindre 2 % du chiffre d'affaires ou 10 millions d'euros pour les infractions mineures, et 4 % du chiffre d'affaires ou 20 millions d'euros pour les infractions majeures. Outre les amendes, les entreprises qui enfreignent le RGPD peuvent également être soumises à d’autres sanctions, telles que l’obligation de cesser de traiter des données ou de supprimer des données qui ont été traitées en violation du RGPD.

L'autorité de protection des données personnelles de l'UE est l'Autorité de contrôle de la protection des données de l'UE (CEPD) - un organisme indépendant dont les membres comprennent des juristes expérimentés, des experts en informatique et des administrateurs.

Sa fonction principale est de superviser le traitement des données personnelles dans les organes et institutions de l’UE et de conseiller sur les questions relatives aux données personnelles. Le RGPD exige également la mise en place d’une Autorité de protection des données personnelles dans chaque État membre, telle qu’une Commission nationale de protection des données personnelles (France, Irlande, etc.) ou une Inspection de la protection des données (Finlande, Lettonie, etc.).

Outre le CEPD, l’UE a également créé le Comité européen de la protection des données (CEPD), qui est composé de représentants des autorités nationales de protection des données des États membres et de représentants de l’UE, et fonctionne comme le principal organe consultatif indépendant sur les questions de protection des données personnelles, responsable de l’application cohérente du RGPD dans toute l’Union.

Le RGPD prévoit des sanctions très dissuasives, tant matérielles qu’immatérielles. En outre, l'autorité de protection des données personnelles de l'UE est mise en œuvre selon le modèle Commission/Commissaire, elle dispose donc de pouvoirs étendus et indépendants pour imposer des sanctions si les organisations violent les réglementations sur la protection des données personnelles et est en mesure d'évaluer et de décider de manière indépendante du traitement des données personnelles.

La loi chinoise sur la protection des informations personnelles (PIPL), promulguée en 2021, est considérée comme la première loi complète de protection des informations personnelles à l'échelle nationale en Chine. La PIPL adopte une vision relativement unifiée selon laquelle les données personnelles/informations personnelles sont des informations qui identifient ou identifient un individu spécifique et visent un groupe cible restreint d'individus sur le territoire chinois (article 4 chapitre 1 de la PIPL). Parallèlement, des réglementations sur les questions de données personnelles sensibles sont établies pour établir des réglementations sur les droits et obligations des parties à l’égard de groupes de données plus spécifiques.

Les sanctions pour les violations des droits relatifs aux données personnelles en vertu de la PIPL sont très sévères, telles que la réparation forcée, la confiscation des revenus illégaux, la suspension des services, la révocation des licences d'exploitation ou commerciales et des amendes pouvant atteindre 50 millions de yuans ou 5 % du chiffre d'affaires annuel d'une organisation au cours de l'exercice précédent. En outre, les violations peuvent également être enregistrées dans le « dossier de crédit » de l'unité de traitement dans le cadre du système national de crédit social.

En outre, les unités de traitement seront tenues d’indemniser les dommages si elles portent atteinte aux droits et aux intérêts des organisations et des individus. Les sanctions pénales pour ces types de violations sont également spécifiquement réglementées par le droit pénal chinois, qui stipule une responsabilité pénale plus lourde pour les personnes responsables de la confidentialité des informations, ajoute la forme de confiscation des biens et stipule la réclusion à perpétuité comme peine de prison la plus élevée.

Loi de Singapour sur la protection des données personnelles (PDPA) adoptée en 2012 (modifiée en 2020). La loi de Singapour reconnaît le droit à la protection des données personnelles ainsi que la nécessité pour les organisations de collecter, d’utiliser et de divulguer des informations à des fins appropriées dans certaines circonstances.

La PDPA prévoit également de lourdes sanctions financières en cas de violation de données. Les contrevenants seront passibles d’amendes ou d’emprisonnement. L'amende dépend de la nature et de la gravité de l'acte, et peut aller de 2 000 à 100 000 SGD (soit 1,6 milliard de VND) ou/et une peine d'emprisonnement ne dépassant pas 12 mois, et, en cas d'acte grave, jusqu'à 3 ans1 ; Pour les agences et entreprises qui enfreignent la loi, des amendes pouvant aller jusqu'à 10 % du chiffre d'affaires annuel peuvent être appliquées.

L’organisme qui joue un rôle clé dans la garantie de la mise en œuvre de la PDPA est la Commission de protection des données personnelles (PDPC). Il s'agit d'une agence spécialisée dotée de grands pouvoirs et de larges capacités d'application lorsqu'elle a le droit de demander aux particuliers et aux organisations de fournir des informations et des documents liés au traitement des données personnelles, d'imposer des sanctions financières en cas de violation ainsi que de les traiter par d'autres mesures.

La création d’une agence spécialisée, la Commission de protection des données personnelles de Singapour, qui travaille de manière indépendante et proactive pour détecter, traiter les violations et appliquer des sanctions, est également l’une des conditions d’une application efficace de la protection des données personnelles à Singapour.

Recommandations pour améliorer la législation sur la protection des données personnelles au Vietnam

Actuellement au Vietnam, il existe 69 documents juridiques directement liés à la question de la protection des données personnelles stipulés dans différents documents, notamment la Constitution, le Code (4), la Loi (39), l'Ordonnance (1), le Décret (2), la Circulaire/Circulaire conjointe (4), la Décision du Ministre (1).

Ces documents abordent essentiellement la question de la protection des données personnelles dans le sens de la promotion du principe de garantie de la vie privée du sujet. Cependant, il existe différentes réglementations sur les informations relatives aux données personnelles, se référant aux questions de droits et d'obligations des sujets, de traitement des informations et de méthodes de protection des données personnelles. Les lois vietnamiennes régissant la protection des données personnelles ont obtenu des résultats remarquables, notamment le 17 avril 2023, le gouvernement a publié le décret n° 12/2023/ND-CP sur la protection des données personnelles - il s'agit d'un document distinct réglementant cette question dans notre pays. Ces documents juridiques ont créé un corridor juridique pour la protection des données personnelles ; Préciser les droits des personnes concernées ainsi que des parties au traitement, prescrire des sanctions en cas de violation de la protection des données personnelles et identifier l'agence spécialisée pour la protection des données personnelles comme le Département de la cybersécurité et de la prévention de la criminalité de haute technologie relevant du ministère de la Sécurité publique...

Le Vietnam est confronté à de nombreux risques, défis et dangers liés au cyberespace, notamment la fuite et l’appropriation d’informations et de données personnelles, entraînant de nombreux effets néfastes pour les citoyens et la société.

Cependant, la mise en œuvre concrète de ces documents a également révélé de nombreuses limites, telles que les documents juridiques distincts actuels ne sont qu'au niveau du décret, ne répondant pas à l'importance de la protection des données personnelles, de nombreux contenus sont actuellement réglementés de manière générale et peu clairs, ce qui conduit à un manque d'instructions spécifiques pour chaque cas spécifique, et les sanctions sont encore légères et pas assez dissuasives...

Face à cette situation, continuer à améliorer la loi sur la protection des données personnelles au Vietnam a été et reste une question qui doit être étudiée sur la base de l’expérience d’autres pays. Spécifiquement:

Premièrement, il faut élaborer une loi sur la protection des données personnelles . Dans le contexte de la révolution industrielle 4.0, à l’échelle régionale et nationale, 80 pays ont émis des documents juridiques distincts pour protéger les données personnelles. Le Vietnam doit bientôt rechercher et promulguer une loi générale et spécialisée sur les données, telle que la loi sur la confidentialité des données, comme l'UE, la Chine ou Singapour, qui identifie les problèmes et principes fondamentaux pour la protection des données personnelles. La promulgation d’une loi distincte sur les données personnelles constituera une base juridique importante pour la protection des données personnelles alors qu’actuellement, les documents juridiques liés à cette question dans notre pays ne sont pas cohérents tant dans l’utilisation de la terminologie que dans la réglementation du contenu.

Deuxièmement, modifier et compléter les sanctions pour les violations des données personnelles d’une manière plus sévère, afin de les adapter à la nature et à la gravité de la violation. Bien que les sanctions pour les violations des données personnelles dans notre pays incluent des sanctions administratives, civiles et pénales, elles sont généralement assez légères et n'ont pas un effet dissuasif élevé. La principale méthode actuelle est encore l'application de sanctions administratives, cependant, les réglementations sont dispersées dans de nombreux décrets avec des amendes assez faibles, les plus élevées étant : 100 millions de VND pour les particuliers et 200 millions de VND pour les organisations.

Les dommages que peuvent causer les violations administratives des données personnelles ne sont pas seulement des dommages matériels, mais aussi des dommages à l’honneur et à la dignité. Outre les sanctions administratives, les sanctions pénales pour les violations des données personnelles ne sont reflétées que dans les réglementations sur la vie privée et les domaines des technologies de l'information et de la sécurité des réseaux dans les articles 159 et 288 du Code pénal actuel avec des peines de prison relativement faibles ne dépassant pas 7 ans de prison et des amendes ne dépassant pas 1 milliard de VND. Cette amende, comparée aux 20 millions d'euros de l'UE, au million de SGD de Singapour ou à la peine de prison à vie en Chine, reste très faible et sans commune mesure avec de nombreuses violations.

Parallèlement, il est nécessaire de réglementer de nombreux groupes de comportements qui ne sont pas actuellement mentionnés dans la loi, tels que le commerce de données à grande échelle, la mise en place de systèmes de violation de données, les violations dans les activités de services marketing, etc.

Troisièmement, sur le modèle de l’agence de protection des données personnelles au Vietnam . Actuellement, le Département de la cybersécurité et de la prévention de la criminalité de haute technologie relevant du ministère de la Sécurité publique est l'agence spécialisée dans la protection des données personnelles. En se référant aux réglementations internationales, nous pouvons envisager de créer une autorité indépendante de protection des données personnelles chargée de faire respecter la loi sur la protection des données personnelles, de procéder à des inspections, des examens, d’émettre des lignes directrices et des recommandations et d’imposer des sanctions en cas de violation.

Nous pouvons nous référer à ces modèles dans l’UE ou à Singapour… pour appliquer efficacement les lois sur la protection des données personnelles, en équilibrant la protection des droits personnels et en garantissant la sécurité du réseau.

La protection des données personnelles n’est pas une question simple, surtout lorsqu’elle est placée dans le contexte de l’intégration, alors que les activités de surveillance et de collecte de données personnelles se déroulent à grande échelle et que le système juridique vietnamien réglementant cette question est encore en cours de construction et de perfectionnement.

L’étude du droit international sur cette question en référence à la situation pratique au Vietnam nous aidera bientôt à construire un cadre juridique pour une protection complète des données personnelles, compatible avec le droit international et une application efficace.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html