Créer un cadre juridique pour la protection des données personnelles

Poursuivant le programme de la 43ème Session, dans l'après-midi du 11 mars, la Commission permanente de l'Assemblée nationale a donné son avis sur le projet de loi sur la protection des données personnelles.

7 principes de protection des données personnelles

Le Gouvernement a indiqué dans sa communication que, bien qu'il existe au Vietnam jusqu'à 69 documents juridiques directement liés à la protection des données personnelles, tous ne se sont pas encore mis d'accord sur le concept et le contenu des données personnelles et de la protection des données personnelles. Seul le décret n° 13/2023/ND-CP du 17 avril 2024 du Gouvernement sur la protection des données personnelles fournit une définition de ces deux contenus.

Il s'agit toutefois d'un décret et non d'une loi. Il faut donc qu'il soit appliqué de manière uniforme dans la pratique. Il faut qu'il y ait un texte de loi qui soit la « loi originale », avec des principes, contribuant à continuer d'institutionnaliser les dispositions de la Constitution et des lois sur le droit à la protection de la vie privée et des droits de l'homme.

L'élaboration de la loi sur la protection des données personnelles vise à perfectionner le système juridique de protection des données personnelles dans notre pays, à créer un couloir juridique pour la protection des données personnelles et à améliorer la capacité de protection des données personnelles des organisations et des individus nationaux pour atteindre les niveaux internationaux et régionaux ; Promouvoir l’utilisation légale des données personnelles au service du développement socio-économique.

Le projet de loi sur la protection des données personnelles comprend 7 chapitres et 69 articles ; Règlement sur la protection des données personnelles et la responsabilité en matière de protection des données personnelles des agences, organisations et individus concernés, avec 7 contenus principaux, à savoir :

Unifier la terminologie et établir certains concepts importants sur la protection des données personnelles, tels que : données personnelles ; protection des données personnelles; clarifier les concepts et les connotations des données personnelles de base, des données personnelles sensibles, des données non personnelles et de la dépersonnalisation des données personnelles ; identifier avec précision et exhaustivité les activités de traitement des données personnelles ; Rôle des parties dans les activités de traitement.

Développer 7 principes de protection des données personnelles, dont : la légalité, la transparence, la finalité, la limitation, l’exactitude, la sécurité, la durée de stockage limitée et la responsabilité.

Précise les droits et obligations des personnes concernées.

Règlement sur les conditions de protection des données personnelles pour les organisations fournissant des services de traitement de données personnelles ; services fournis par des organismes de protection des données personnelles, des experts en protection des données personnelles ; les services de notation de crédit protègent les données personnelles ; Service de certification de qualification en protection des données personnelles.

Exige une évaluation d’impact du traitement des données personnelles et du transfert de données personnelles à l’étranger en tant qu’engagement juridique envers les activités de traitement des données personnelles. Afin de s'adapter au développement de la science et de la technologie et aux types actuels d'entreprises, le projet ne prévoit pas de forme d'inspection préalable (enregistrement), mais prévoit plutôt une inspection postérieure (inspection, évaluation) pour le traitement des données personnelles et le transfert de données personnelles au-delà des frontières.

Règlement complet sur les mesures de base de protection des données personnelles, les données personnelles sensibles, les conditions pour assurer les activités de protection des données personnelles, les agences spécialisées en protection des données personnelles et le portail national d'information sur la protection des données personnelles.

Règlement sur la gestion par l'État de la protection des données personnelles, responsabilités des ministères et branches concernés en direction du gouvernement unifiant la mise en œuvre de la gestion par l'État de la protection des données personnelles ; Le ministère de la Sécurité publique est l'organisme central responsable auprès du gouvernement de la mise en œuvre de la gestion étatique des données personnelles, à l'exception du champ d'application du ministère de la Défense nationale ; Responsabilités des responsables du traitement des données personnelles, des sous-traitants, des responsables du traitement et des sous-traitants, des tiers, des organisations et des personnes concernées.

Réviser et compléter les actes interdits

Dans son examen préliminaire du projet de loi, la Commission de la défense nationale, de la sécurité et des affaires étrangères de l'Assemblée nationale a déclaré que les données personnelles jouent un rôle particulièrement important, constituent une source de données stratégique et ont un impact direct et complet sur la politique, l'économie, la société, la défense, la sécurité et les affaires étrangères d'un pays. Cependant, ces derniers temps, les mesures de protection des données personnelles ont été laxistes, permettant des activités de collecte, d’attaque, d’appropriation et d’achat et de vente illégaux de données personnelles.

Président de la Commission de la défense nationale, de la sécurité et des affaires étrangères Le Tan Toi.

Bien qu’il existe actuellement de nombreux documents juridiques relatifs à la protection des données personnelles, leur contenu reste encore dispersé et incohérent. Le décret n° 13/2023/ND-CP du 17 avril 2024 du Gouvernement sur la protection du DLCN est initialement entré en vigueur, mais il s'agit d'un document de sous-loi, ne garantit pas de valeur juridique, n'est pas conforme aux dispositions de la Constitution et n'est pas suffisamment fort pour prévenir et gérer les violations.

Par conséquent, l’élaboration de la loi sur la protection des données personnelles est extrêmement nécessaire pour répondre aux exigences de protection des données personnelles ; prévenir les violations de données personnelles ; renforcer la responsabilité des organismes, des organisations et des individus ; garantir la valeur juridique d’une mise en œuvre unifiée.

Concernant les actes interdits (article 7), le président du Comité, Le Tan Toi, a déclaré que certains avis suggéraient de revoir et de compléter d'autres actes interdits afin de couvrir pleinement chaque groupe d'activités et chaque type de sujet protégeant les données personnelles. Il est proposé d'ajouter des actes interdits liés à cinq formes d'achat et de vente de données personnelles, comme indiqué dans la soumission du gouvernement.

En ce qui concerne la protection des données personnelles dans les services de marketing et de publicité, le Comité permanent de la défense nationale, de la sécurité et des affaires étrangères est fondamentalement d'accord avec ce règlement. Cependant, certains soutiennent que la réglementation interdisant l’externalisation par des tiers n’est pas réalisable et n’est pas adaptée à la pratique, car le secteur du marketing et de la publicité dépend de l’écosystème numérique.

Il a été suggéré qu’un tiers pourrait être autorisé à le faire si la confidentialité est garantie, s’il existe un contrat avec des responsabilités claires et s’il doit y avoir des dispositions transitoires similaires aux dispositions sur les organisations de protection des données personnelles et les experts en protection des données personnelles dans l’article 68 du projet de loi.

En outre, l'agence d'inspection a également proposé d'examiner attentivement les réglementations relatives aux organisations de protection des données personnelles (article 39), aux experts en protection des données personnelles (article 40) et aux entreprises de services des organisations de protection des données personnelles et aux experts en protection des données personnelles (article 41) afin de garantir les exigences de gestion de l'État et d'encourager la créativité, de libérer toutes les forces productives et de libérer toutes les ressources pour le développement ; Réduire et simplifier en profondeur les procédures administratives, les conditions d’investissement, de production et d’affaires, réduire les coûts de conformité et créer les conditions les plus favorables pour les personnes et les entreprises.