Des délégués de l'Assemblée nationale de Nghe An discutent de la loi sur la protection des données personnelles

Seules les catégories de données personnelles sensibles doivent être spécifiées.en droit

Lors de la discussion, M. Hoang Minh Hieu, député à l'Assemblée nationale, membre à temps plein de la Commission de la loi et de la justice de l'Assemblée nationale et délégué de la délégation de Nghe An, a exprimé son plein accord avec la promulgation de cette loi.

« Il s’agit d’une étape importante dans le processus de modernisation du système juridique afin de répondre aux exigences de protection des droits humains et individuels, ainsi qu’aux impératifs de la transformation numérique au Vietnam », a déclaré le délégué de la délégation de Nghệ An. « Nos recherches ont également montré que le projet de réglementation se rapproche des normes internationales. »

Par ailleurs, le délégué Hoang Minh Hieu a également contribué à l'élaboration du projet de loi. Concernant la distinction entre données personnelles de base et données personnelles sensibles, il a notamment souligné que cette distinction était essentielle, car les données sensibles requièrent des mesures de protection renforcées.

Par exemple, selon le projet, la protection des données personnelles dans les domaines de la santé, de l'assurance, de la finance et de la banque doit appliquer la réglementation relative à la protection des données personnelles sensibles.

Cependant, en termes de techniques législatives, le projet de loi chargeant le gouvernement de recenser les deux catégories de ces deux types de données, selon le délégué Hoang Minh Hieu, créera un problème dans la mesure où il y aura des situations où des informations qui répondent à tous les critères prescrits mais qui n'appartiennent à aucune des deux catégories ne seront pas considérées comme des données personnelles.

Par conséquent, le délégué a suggéré que la liste ne concerne que les données personnelles sensibles. Les autres données répondant aux critères prévus par la loi devraient, bien entendu, être considérées comme des données personnelles de base. Une telle réglementation garantit la scientificité, l'exhaustivité et la facilité d'application.

De plus, l'expérience de nombreux pays montre que les données personnelles sensibles constituent un contenu important, lié aux droits des individus. C'est pourquoi la législation de nombreux pays inclut souvent certaines données personnelles sensibles dans ses dispositions légales. Par exemple, la loi japonaise inclut des données telles que le statut social, les dossiers médicaux et les casiers judiciaires.

La loi chinoise cite parmi les données sensibles les données d'identification biométrique, les convictions religieuses, les données médicales, les données de santé, les comptes financiers et les données de géolocalisation.

Il a donc suggéré que l'organisme rédacteur puisse stipuler certains droits fondamentaux dans la loi, tandis que le gouvernement réglementerait et compléterait les autres informations en fonction des besoins de chaque période.

Ajouter des dispositions sur la manière de dépersonnaliser les données

En ce qui concerne l’anonymisation des données personnelles, le projet de loi en donne une définition et précise également que les données personnelles, une fois anonymisées, ne sont plus considérées comme des données personnelles.

Le délégué Hoang Minh Hieu a estimé qu'il s'agissait d'un point important et progressiste, créant une base juridique très favorable à l'utilisation des mégadonnées à des fins de recherche et notamment pour l'entraînement des modèles d'intelligence artificielle.

Toutefois, ses recherches ont révélé que les projets et règlements des lois connexes, telles que la loi sur la protection des données et la loi sur l'industrie des technologies numériques, ne précisent pas encore comment dépersonnaliser les données personnelles ni comment garantir leur impossibilité de réidentification. En pratique, faute de critères et de méthodes de mise en œuvre clairement définis, il est très difficile pour les entreprises de savoir quand les données ont été entièrement et légalement dépersonnalisées.

Par conséquent, M. Hoang Minh Hieu a suggéré qu'il est nécessaire d'étudier et d'ajouter des réglementations sur la dépersonnalisation des données afin d'en faciliter la mise en œuvre. À cet égard, on peut se référer à la liste des champs de données qui doivent être supprimés ou encodés conformément à la législation de certains pays. Si la loi ne le prévoit pas, on peut consulter la liste établie par le gouvernement.

Le délégué de Nghe An a proposé de revoir et de supprimer les dispositions du projet de loi sur l'industrie des technologies numériques relatives à la dépersonnalisation des données numériques, car ce concept chevauche celui de la dépersonnalisation des données personnelles dans la loi sur la protection des données personnelles, afin d'éviter tout conflit, chevauchement ou blocage dans la mise en œuvre de la loi.

Concernant la classification des risques liés aux données personnelles dans le développement de l'intelligence artificielle, le projet de loi stipule la protection des données personnelles lors du traitement des mégadonnées, de l'intelligence artificielle, de la blockchain, des univers virtuels et du cloud computing, notamment l'obligation de classer le niveau de risque du traitement des données personnelles en 4 niveaux : risque inacceptable, risque élevé, risque limité et risque faible.

M. Hoang Minh Hieu a déclaré que ce règlement manque de clarté et pourrait nuire à l'utilisation des données pour le développement des systèmes d'intelligence artificielle. Plus précisément, le projet ne définit pas clairement les critères d'évaluation des niveaux de risque et ne précise pas qui est responsable de cette évaluation (les entreprises, l'État ou des tiers ?).

Par conséquent, les délégués ont suggéré qu'il devrait exister des réglementations claires et spécifiques sur l'évaluation des risques liés au traitement des données personnelles dans le développement de l'intelligence artificielle afin de faciliter le développement des systèmes d'intelligence artificielle.

En outre, les délégués ont également proposé de revoir les dispositions de l'article 27 afin d'éviter les doublons avec la réglementation existante sur le développement de l'intelligence artificielle dans le projet de loi sur l'industrie des technologies numériques, qui devrait être adopté lors de cette session.

Envisagez d'appliquer des réglementations de conformité à plusieurs niveaux

Le projet de loi impose de nombreuses obligations aux responsables du traitement et aux sous-traitants des données, notamment l'évaluation de l'impact du traitement des données à caractère personnel, la mise à jour périodique des informations, la notification rapide en cas de violation et la désignation d'un expert en protection des données à caractère personnel...

Selon le délégué, bien que le projet de loi contienne des dispositions permettant aux petites entreprises et aux jeunes pousses d'être exemptées des réglementations relatives aux experts en protection des données personnelles pendant les 5 premières années... d'autres obligations peuvent néanmoins constituer une charge importante pour les entreprises, en particulier pour les petites et moyennes entreprises qui n'opèrent pas principalement dans le secteur des données.

Il a donc recommandé à l'organisme rédacteur de poursuivre ses travaux d'examen et de recherche afin de réduire les contraintes de conformité pour toutes les parties, dans le but à la fois d'encourager le développement de nouvelles industries et de protéger les droits des personnes.

En conséquence, il est possible d'envisager une application différenciée des réglementations de conformité, en fonction de la taille de l'entreprise et notamment du volume et de la sensibilité des données traitées. Concrètement, il est possible d'exempter ou de simplifier l'analyse d'impact relative au traitement des données à caractère personnel pour les petites et moyennes entreprises qui traitent des données à faible risque et en faible volume, au lieu d'appliquer les mêmes règles à toutes les entreprises.

« Nous sommes conscients que, lorsque ce projet de loi entrera en vigueur, il aura un impact considérable sur tous les individus et les entreprises, notamment en ce qui concerne l'utilisation des plateformes numériques. C'est pourquoi nous proposons que le gouvernement mette rapidement en place un plan de communication et de diffusion afin d'instaurer une culture du respect de la loi lors de l'utilisation des plateformes numériques », a suggéré le délégué de la délégation de Nghe An.

Le matin du 24 mai également, l'Assemblée nationale a entendu la présentation et le rapport sur l'examen du projet de loi sur le transfèrement des personnes purgeant des peines d'emprisonnement, du projet de loi sur l'extradition et a discuté du projet de résolution de l'Assemblée nationale sur la mise en œuvre pilote d'un certain nombre de mécanismes et de politiques spécifiques pour le développement du logement social.