Publication du décret portant sur la protection des données personnelles

Le décret n°13/2023/ND-CP portant sur la protection des données personnelles a été promulgué par le gouvernement vietnamien le 17 avril 2023. Attendu par les acteurs du secteur du numérique et permettant d’inscrire le Vietnam dans la tendance mondiale de protection des données personnelles, ce décret vient compléter la législation déjà existantes sur la question, notamment la loi du 12 juin 2018 portant sur la cybersécurité et imposant notamment la localisation des données personnelles aux entreprises tant vietnamiennes qu’étrangères.

Ce décret s’inspire particulièrement du règlement général de protection des données européen (RGPD, ou règlement 2016/679/UE du Parlement européen et du conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données). Il impose de nouvelles obligations s’adressant à toute entreprise, toute organisation ou tout individu qui exerce dans un domaine lié au traitement de données personnel au Vietnam.

Il est possible de relever plusieurs éléments :

⇒ Tout d’abord, le champ d’application extraterritorial de ce décret : ses dispositions s'appliqueront à toute entité qui est impliquée dans le traitement de données personnelles. Cela vise indistinctement les entités vietnamiennes opérant localement ou à l’étranger, les entités étrangères domiciliées au Vietnam, mais aussi les entreprises étrangères domiciliées à l’étranger mais impliquées dans un tel processus de traitement situé au Vietnam.

⇒ Il est aussi intéressant de souligner que la notion de donnée personnelle a été définie d’une manière particulièrement large. Défini par l’article 2 du nouveau texte, cette notion s’entend comme “toute information électronique sous forme de symboles, de lettres, de chiffres, d'images, de sons ou d'équivalents associés à une personne ou utilisés pour l'identifier. Les données à caractère personnel comprennent les données à caractère personnel générales et les données à caractère personnel sensibles”. Cette conception large de la donnée personnelle est appuyée par la distinction faite entre “donnée générale” et “donnée sensible”, qui bénéficieront chacune d’un régime de protection spécifique. Le décret fait notamment une liste très large des données pouvant être classées comme “données personnes à caractère sensible”

⇒ De nouvelles dispositions sont introduites concernant le consentement, le traitement des données personnelles sensibles et le transfert de données à l’étranger.

Concernant le consentement de la personne dont les données personnelles sont traitées, il faut qu’il soit exprimé clairement : écrit, oral, cocher la case de consentement, par un message électronique, en sélectionnant les paramètres liés à la confidentialité… Il est à noter que le silence ou l’absence de réponse n’est pas un consentement au traitement des données.

⇒ Le décret prévoit toutefois des hypothèses dans lesquelles il est possible de passer outre ces mesures de protection : urgence, données devenues publiques suite à l’application d’un délai de prescription, menace à la sécurité et la défense nationale…

Ce décret entrera en vigueur le 1er juillet 2023, une période d’adaptation de deux ans sera appliquée aux petites et moyennes entreprises.

-Manon Gonzalez