Les délégués de l'Assemblée nationale de Nghe An discutent de la loi sur la protection des données personnelles

Seules les catégories de données personnelles sensibles doivent être spécifiées.en droit

Prenant la parole lors de la discussion, M. Hoang Minh Hieu - Député de l'Assemblée Nationale, membre à temps plein de la Commission du Droit et de la Justice de l'Assemblée Nationale, délégué de la délégation de Nghe An a exprimé son haut accord avec la promulgation de cette loi.

« Il s'agit d'une étape importante dans le processus de perfectionnement du système juridique afin de répondre aux exigences de protection des droits humains, des droits individuels et de la transformation numérique au Vietnam », a déclaré le délégué de Nghe An. « Grâce à nos recherches, nous avons également constaté que les dispositions du projet sont globalement proches des normes internationales. »

Par ailleurs, le délégué Hoang Minh Hieu a également contribué à l'élaboration du projet de loi. Concernant la distinction entre données personnelles de base et données personnelles sensibles, il a déclaré que cette distinction, établie dans le projet de loi, entre les données personnelles de base et les données personnelles sensibles, est essentielle, car les données sensibles nécessitent des mesures de protection plus strictes.

Par exemple, selon le projet, la protection des données personnelles dans les domaines de la santé, des assurances, de la finance et de la banque doit s'appliquer aux réglementations sur la protection des données personnelles sensibles.

Toutefois, en termes de techniques législatives, le projet de loi chargeant le gouvernement d'énumérer les deux catégories de ces deux types de données, selon le délégué Hoang Minh Hieu, créera un problème dans la mesure où il y aura des situations où les informations qui répondent à tous les critères prescrits mais n'appartiennent pas à l'une des deux catégories ne seront pas considérées comme des données personnelles.

Par conséquent, le délégué a suggéré que la liste ne soit spécifiée que pour les données personnelles sensibles. Les données restantes, répondant aux critères prescrits par la loi, sont bien entendu considérées comme des données personnelles de base. Une telle disposition garantit la scientificité, l'exhaustivité et la facilité d'application.

De plus, selon l'expérience de nombreux pays, les données personnelles sensibles constituent un contenu important, lié aux droits des individus. C'est pourquoi la législation de nombreux pays prévoit souvent la protection de certaines données personnelles sensibles. Par exemple, selon la législation japonaise, il s'agit de données telles que le statut social, les dossiers médicaux, les casiers judiciaires, etc.

La loi chinoise répertorie les données sensibles telles que l'identification biométrique, les croyances religieuses, les données médicales, les soins de santé, les comptes financiers et les données de localisation.

Il a donc suggéré que l’organisme de rédaction stipule certains types de droits fondamentaux dans la loi, tandis que le gouvernement réglementerait et compléterait d’autres informations conformément aux exigences de chaque période.

Ajouter davantage de dispositions sur la manière de dépersonnaliser les données

En ce qui concerne la dépersonnalisation des données personnelles, le projet de loi a fourni une définition de la dépersonnalisation des données personnelles et en même temps, le projet stipule clairement que les données personnelles après dépersonnalisation ne sont pas considérées comme des données personnelles.

Le délégué Hoang Minh Hieu a estimé qu'il s'agit d'un point important et progressiste, créant une base juridique très favorable à l'utilisation du big data à des fins de recherche et notamment de formation de modèles d'intelligence artificielle.

Cependant, ses recherches lui ont permis de constater que les projets et règlements des lois connexes, telles que la loi sur les données et la loi sur l'industrie des technologies numériques, ne précisent pas comment anonymiser les données personnelles ni comment garantir qu'elles ne puissent pas être réidentifiées. En pratique, si les critères et les méthodes de mise en œuvre ne sont pas clairement définis, il est difficile pour les entreprises de savoir quand les données ont été entièrement et légalement anonymisées.

Par conséquent, M. Hoang Minh Hieu a suggéré qu'il était nécessaire d'étudier et d'ajouter des réglementations sur la manière de dépersonnaliser les données afin de faciliter leur mise en œuvre. À cet effet, nous pouvons nous référer à la liste des champs de données devant être supprimés ou codés, conformément aux lois de certains pays. Si la loi ne le prévoit pas, nous pouvons consulter la liste prescrite par le gouvernement.

Le délégué de la délégation de Nghe An a proposé de revoir et de supprimer les dispositions du projet de loi sur l'industrie des technologies numériques sur la dépersonnalisation des données numériques, car ce concept chevauche le concept de dépersonnalisation des données personnelles dans la loi sur la protection des données personnelles, afin de garantir qu'il n'y ait pas de conflits, de chevauchements ou de goulots d'étranglement dans le processus d'application de la loi.

Concernant la classification des risques pour les données personnelles dans le développement de l'intelligence artificielle, le projet de loi stipule la protection des données personnelles dans le traitement du big data, de l'intelligence artificielle, de la blockchain, de l'univers virtuel, du cloud computing, y compris l'obligation de classer le niveau de risque dans le traitement des données personnelles en 4 niveaux : risque inacceptable, risque élevé, risque limité et risque faible.

M. Hoang Minh Hieu a déclaré que ce règlement manque de clarté et pourrait affecter l'utilisation des données pour développer des systèmes d'intelligence artificielle. Plus précisément, le projet ne définit pas clairement les critères d'évaluation des niveaux de risque ; il ne précise pas qui est responsable de la détermination des risques (les entreprises, l'État ou un tiers ?).

Les délégués ont donc suggéré qu’il devrait y avoir une réglementation claire et spécifique sur l’évaluation des risques liés au traitement des données personnelles dans le développement de l’intelligence artificielle afin de faciliter le développement des systèmes d’intelligence artificielle.

En outre, les délégués ont également proposé de revoir les dispositions de l’article 27 afin d’éviter tout chevauchement avec les réglementations existantes sur le développement de l’intelligence artificielle dans le projet de loi sur l’industrie des technologies numériques, qui devrait également être adopté lors de cette session.

Envisager d’appliquer des réglementations de conformité à plusieurs niveaux

Le projet de loi a établi de nombreuses obligations pour les responsables du traitement des données et les sous-traitants, notamment des obligations telles que l'évaluation de l'impact du traitement des données personnelles, la mise à jour périodique, la notification précoce en cas de violation et la présence d'un expert en protection des données personnelles...

Selon le délégué, bien que le projet contienne des dispositions permettant aux petites entreprises et aux startups d'être exemptées de la réglementation sur les experts en protection des données personnelles pendant les 5 premières années... d'autres obligations peuvent encore créer un fardeau important pour les entreprises, en particulier pour les petites et moyennes entreprises qui n'opèrent pas principalement dans le secteur des données.

Il a donc recommandé que l'agence de rédaction continue d'examiner et de mener des recherches afin de réduire la charge de conformité pour les parties, afin d'encourager le développement de nouvelles industries et de protéger les droits des personnes.

Il est donc possible d'envisager d'appliquer les réglementations de conformité de manière échelonnée, en fonction de la taille de l'entreprise, et notamment du volume et de la sensibilité des données traitées. Plus précisément, il est possible d'exempter ou de simplifier le processus d'évaluation d'impact des données personnelles pour les petites et moyennes entreprises qui traitent des données à faible risque et un faible volume de données, au lieu d'appliquer le même ensemble de règles à toutes les entreprises.

« Nous sommes conscients que l'entrée en vigueur de ce projet de loi aura un impact considérable sur tous les citoyens et les entreprises, notamment sur l'utilisation des plateformes numériques. C'est pourquoi nous proposons que le gouvernement élabore prochainement un plan de diffusion afin de créer une habitude de respect de la loi lors de l'utilisation des plateformes numériques », a suggéré le délégué de Nghe An.

Le matin du 24 mai, l'Assemblée nationale a également écouté la présentation et le rapport sur l'examen du projet de loi sur le transfèrement des personnes purgeant des peines de prison, du projet de loi sur l'extradition et a discuté du projet de résolution de l'Assemblée nationale sur le pilotage d'un certain nombre de mécanismes et de politiques spécifiques pour le développement du logement social.