Les cadres légaux de protection des données et de la vie privée se sont de plus en plus développés à l’échelle mondiale. C’est particulièrement le cas en Asie : au cours des deux dernières années, plusieurs juridictions clés, dont la Chine, l’Inde, l’Indonésie et le Vietnam, ont soit introduit leurs premières réglementations sur la protection des données, soit mis à jour et réformé leurs réglementations existantes.
Ces réglementations ont été de manière générale très influencées par le Règlement général sur la protection des données de l’UE (RGPD), lui empruntant certains concepts, et fixant une norme de conformité élevée pour les organisations qui traitent des données à caractère personnel.
Vous trouverez ci-dessous un aperçu de l’approche nationale de la Chine en matière de protection de la vie privée.
Vous pourrez découvrir les approches nationales de l’Inde, de l’Indonésie, de Singapour et du Viêt Nam en suivant les liens ci-dessous.
- Chine – Personal Information Protection Law (PIPL)
- Inde – Digital Personal Data Protection Act (DPDPA)
- Indonésie – Personal Data Protection Law (PDPL)
- Singapour – Personal Data Protection Act (PDPC)
Notre Asia Data Privacy Taskforce : Chez DS Avocats, nous avons développé une forte expertise sur les questions de protection des données en Asie, nous permettant d’assister nos clients dans le développement de leurs opérations tout en tenant compte de leurs obligations en matière de conformité des données. Notre connaissance du RGPD nous permet également de faire le lien entre les besoins des sièges européens et ceux des filiales locales en Chine, Inde, Indonésie, Singapour et au Viêt Nam.
Le gouvernement vietnamien a publié le décret 13/2013/ND-CP sur Personal Data Protection (« DPDP« ) le 17 avril 2023, lequel est entré en vigueur le 1er juillet 2023. Le DPDP remplace plusieurs lois éparses et définit le cadre juridique de la protection des données au Vietnam.
Entre influence internationale et spécificité locale
Fortement influencé par le RGPD, le DPDP fournit une définition plus claire des données personnelles (de base et celles considérées comme sensibles), de la responsabilité des organisations et des individus traitant des données personnelles, ainsi que des droits des individus.
Bien qu’il soit influencé par le RGPD, le DPDP prévoit toutefois des dispositions uniques telles que l’interdiction de la vente et de l’achat de données personnelles par quelque moyen que ce soit, sauf disposition contraire. Cette disposition devrait avoir un effet considérable sur l’activité des courtiers en données et d’autres entreprises engagées dans le commerce des données personnelles. Le DPDP ne reconnaît pas non plus le principe d’intérêt légitime.
Protection des données personnelles des mineurs
Comme le RGPD, le DPDP prévoit une protection spéciale pour les données personnelles des mineurs. Toutefois, il existe une différence entre ces deux réglementations en ce qui concerne le seuil d’âge pour l’obtention d’un consentement valide. Au Vietnam, le décret exige le consentement d’un parent ou d’un tuteur légal pour les mineurs âgés de 7 ans ou moins (le DPDP ne précise pas toutefois les modalités de vérification de l’âge), alors que le RGPD n’autorise que les personnes de plus de 16 ans à donner leur consentement de manière indépendante pour le traitement de leurs données personnelles.
Le DPDP stipule que seul le parent ou le tuteur légal du mineur peut retirer son consentement au traitement des données de l’enfant. Toutefois, il n’est pas clair si le mineur lui-même peut révoquer le consentement qui a été donné en son nom et réclamer que soient effacées ses données personnelles.
Exigences relatives aux transferts transfrontaliers de données personnelles
Un dossier d’analyse d’impact pour un transfert transfrontalier de données personnelles doit être préparé avant tout transfert transfrontalier de données. Ce dossier doit également être soumis au Department of Cybersecurity and Hi-Tech Crime Prevention (« DCHCP« ) relevant du Ministry of Public Security (« MPS« ) dans un délai de 60 jours à compter de la date de traitement des données.
Le MPS se réserve le droit d’interrompre un transfert transfrontalier de données personnelles si : (i) les données transférées sont utilisées pour des activités violant l’intérêt national et la sécurité du Vietnam ; (ii) le cédant ne se conforme pas aux demandes de compléter le dossier d’évaluation d’impact ; ou (iii) il y a un incident de fuite ou de perte de données personnelles de citoyens vietnamiens – il semble que cela puisse être appliqué même s’il n’y a pas de faute de la part du cédant.
Conséquences pour les entreprises
Le DPDP encadre le traitement des données personnelles sans toutefois abroger les lois spécifiques pouvant contenir de règles particulières en matière de traitement des données personnelles, telles que la loi sur la cybersécurité (et ses exigences en matière de localisation des données). Il est donc essentiel que les entreprises comprennent et identifient leurs nouvelles obligations au titre du DPDP (mais également des lois spécifiques) et évaluent les mesures à prendre pour s’y conformer.
| Législation | Decree No. 13/2023/ND-CP dated 17 April 2023 on protection of personal data |
| Autorité | Ministry of Public Security (Department of Cybersecurity and Hi-tech Crime Prevention) |
| Champ d’application | Personnes et organisations vietnamiennes (y compris celles qui opèrent à l’étranger) ainsi qu’aux entités étrangères opérant au Vietnam, ou s’engageant directement dans des activités de traitement de données personnelles de citoyens vietnamiens ou s’y rapportant. |
| Définition de données personnelles | Information in the form of symbols, scripts, numbers, images, sounds or any other similar form in the electronic environment, which pertains to a particular individual or facilitates the identification of a particular individual. Personal data includes “basic personal data” and “sensitive personal data” |
| Principes de protection des données personnelles | 8 principes : 1. Les données personnelles sont traitées conformément à la loi. 2. La personne concernée a le droit de recevoir des informations relatives au traitement de ses données personnelles, sauf disposition contraire de la loi. 3. Les données personnelles sont traitées aux fins enregistrées et déclarées par le peronal data controller, le personal data processor et le personal data controlling, et le tiers. 4. Les données personnelles collectées doivent être adaptées à la portée et aux finalités du traitement. L’achat ou la vente de données personnelles est interdit sous quelque forme que ce soit, sauf disposition légale contraire. 5. Les données personnelles sont mises à jour et ajoutées aux fins du traitement. 6. Les données personnelles sont protégées et sécurisées tout au long du traitement. En particulier, les données personnelles sont protégées contre les violations des règles relatives à la protection des données personnelles et à la prévention de la perte, de la destruction ou des dommages causés par des incidents et l’utilisation de mesures techniques. 7. Les données personnelles sont conservées pendant une durée adaptée aux finalités du traitement, sauf disposition légale contraire. 8. Le personal data controller et le personal data controlling doivent respecter les règles de traitement des données conformément aux lois et prouver leur conformité. |
| Droits de la personne concernée | 11 droits : 1. Droit d’être informé 2. Droit de donner son consentement 3. Droit d’accès aux données personnelles 4. Droit de retirer son consentement 5. Droit d’effacer les données personnelles 6. Droit d’obtenir la limitation du traitement 7. Droit d’obtenir des données personnelles 8. Droit de s’opposer au traitement 9. Droit de déposer une plainte et d’introduire une action en justice 10. Droit de réclamer des dommages et intérêts 11. Droit à la légitime défense |
| Portée du consentement | Le consentement de la personne concernée est accordé pour toutes les activités de traitement de ses données personnelles, sauf disposition contraire de la loi. Le consentement de la personne concernée est valable jusqu’à ce que la personne concernée ait pris d’autres décisions ou que l’autorité compétente en fasse la demande par écrit. Le retrait du consentement n’affecte pas la légalité du traitement pour lequel le consentement a été donné avant son retrait. |
| Mesures visant à assurer la protection des données personnelles | Protection générale : Mesures de gestion et mesures techniques prises par les parties concernées par les données personnelles, ainsi que par le gouvernement compétent. Mesure supplémentaire pour les données sensibles : désignation d’un service de protection des données et d’un délégué à la protection des données au sein de l’organisation ou de l’entité. |
| Analyse d’impact sur le traitement des données | Le responsable du traitement des données, le sous-traitant des données et l’entité de contrôle et de traitement des données sont tenus de préparer et de présenter le dossier de demande d’évaluation de l’impact du traitement des données personnelles sur le SPM. Ce dossier doit être soumis au DCHCP du MPS dans les 60 jours suivant le début du traitement des données personnelles. Toute mise à jour ou modification connexe doit également être signalée. |
| Transfert transfrontalier de données et impact sur l’évaluation des transferts à l’étranger | Définition du « transfert transfrontalier de données » : le fait d’utiliser le cyberespace, des dispositifs électroniques, des équipements ou d’autres formes pour transférer des données personnelles d’un citoyen vietnamien vers un lieu situé en dehors du territoire vietnamien ou d’utiliser un lieu situé en dehors du Vietnam pour traiter des données personnelles d’un citoyen vietnamien. Plus précisément : a. Une organisation, une entreprise ou une personne transfère les données personnelles d’un citoyen vietnamien à une organisation, une entreprise ou un service de gestion à l’étranger afin de traiter les données aux fins convenues par la personne concernée ; b. Les données personnelles d’un citoyen vietnamien sont traitées par des systèmes automatiques en dehors du territoire vietnamien par le contrôleur des données personnelles, l’entité de contrôle des données personnelles et l’entité de traitement, le processeur des données personnelles aux fins convenues par la personne concernée. Condition relative au transfert transfrontalier de données : • Obtention du consentement de la personne concernée • Evaluation du dossier d’évaluation de l’impact du transfert par le DHCP du MPS (dans les 60 jours suivant le transfert). • Une notification écrite au DHCP du MPS doit être soumise après que les données ont été transférées avec succès. |
| Notification de la violation | • Délai : 72 heures à compter de la violation (tout retard doit être justifié) • Autorité chargée de recevoir la notification : DCHCP du MPS |
| Sanctions | • Sanction administrative • Sanction pénale |
