En vertu de la loi vietnamienne sur la protection des données personnelles (PDPL), entrée en vigueur en janvier 2026, une approche unifiée de la collecte, de l'utilisation et de la divulgation des données personnelles est harmonisée en matière de consentement. Votre site web est-il prêt à se conformer ?
La loi sur la protection des données personnelles (LPDP) constitue la première approche globale du Vietnam visant à instaurer une législation unifiée sur la protection des données au sein d'un cadre juridique unique. Elle régit la collecte, l'utilisation, la divulgation et la gestion des données personnelles par les organisations, visant à protéger les données personnelles des individus tout en permettant une utilisation commerciale légitime, reconnaissant ainsi l'importance de la protection des données personnelles comme moteur économique du pays.
Si votre site web utilise des cookies qui suivent le comportement, les préférences ou l'identité des utilisateurs (tels que des cookies d'analyse ou de marketing), vous devez obtenir leur consentement clair et éclairé avant de les activer. Cela s'inscrit dans la lignée de la LPDP qui met l'accent sur la notification et l'obtention du consentement des personnes avant la collecte de données personnelles.
S'inspirant du RGPD, la LPDP vietnamienne impose d'informer les personnes des finalités de la collecte de données personnelles, d'obtenir leur consentement et de garantir la protection adéquate de leurs données. Tout service tiers utilisé (par exemple, à des fins de marketing ou d'analyse) doit également respecter les normes de la LPDP.
Pour être en conformité, les entreprises opérant ou servant des utilisateurs au Vietnam doivent respecter six principes clés :
Examiner les pratiques en matière de données :
Se conformer à la constitution du Vietnam, au PDPL et aux lois pertinentes
Limitation de la finalité :
Collecter et traiter des données personnelles dans un cadre et une finalité spécifiques, clairs et licites
Précision et limitation de stockage :
Assurez-vous que les données personnelles sont exactes et que les données personnelles ne sont conservées que pendant la période autorisée aux fins du traitement
Sécurité des données :
Protéger efficacement les données personnelles par des moyens institutionnels, techniques et humains
Se protéger contre les violations :
Détecter et prévenir de manière proactive les violations des protections des données personnelles et agir rapidement pour gérer et résoudre ces violations
Équilibrer les intérêts nationaux et les droits :
Protéger les données personnelles en respectant l'équilibre entre la protection des données personnelles et la protection des droits légitimes détenus par les agences, les organisations et les individus
La PDPL s'applique à toutes les organisations et personnes, nationales et internationales, qui traitent des données personnelles de personnes au Vietnam. Cela signifie que les entreprises étrangères proposant des services ou exploitant des plateformes numériques accessibles aux utilisateurs vietnamiens doivent également s'y conformer. Les organisations à but non lucratif, les startups et les grandes entreprises sont toutes concernées.
La loi vietnamienne accorde aux consommateurs divers droits en matière de confidentialité des données, notamment :
Les particuliers peuvent demander l’accès à leurs données personnelles détenues par une organisation et obtenir des informations sur la manière dont elles sont traitées.
Les personnes doivent être informées de la nature des données personnelles collectées, de la finalité du traitement, de leur durée de conservation et de leur éventuel partage ou transfert à l'étranger. La collecte et le traitement des données nécessitent un consentement préalable, explicite et volontaire. Ce consentement doit être distinct pour chaque finalité de traitement, et les personnes peuvent refuser leur consentement sans se voir refuser les services de base. Elles peuvent retirer leur consentement à tout moment à la collecte et au traitement de leurs données personnelles.
Les particuliers peuvent demander des corrections ou des mises à jour de leurs données personnelles afin d’en garantir l’exactitude.
Les consommateurs peuvent demander la suppression de leurs données personnelles lorsqu’elles ne sont plus nécessaires aux fins déclarées, lorsque le consentement a été retiré ou que le traitement est illégal.
Les particuliers peuvent demander aux organisations de limiter la manière dont leurs données personnelles sont utilisées, par exemple en les stockant uniquement mais sans les traiter activement, et de s'opposer à ce que leurs données personnelles soient utilisées à certaines fins, telles que le marketing direct, le profilage ou la prise de décision automatisée.
Les personnes peuvent demander que leurs données personnelles soient fournies dans un format structuré et lisible par machine, ou transférées à une autre organisation.
Les particuliers peuvent déposer une plainte auprès du ministère de la Sécurité publique s'ils estiment que leurs droits en matière de données ont été violés. Ils peuvent également demander réparation si l'utilisation abusive de leurs données personnelles cause un préjudice.
Les individus bénéficient de droits renforcés lorsque des données sensibles sont en cause, telles que des données financières, de santé, biométriques ou politiques. Les organisations doivent mettre en œuvre des mesures de protection plus strictes concernant ces types de données.
Les cookies qui stockent ou suivent des données personnelles sont soumis à la LPDP. Les cookies et technologies de suivi qui traitent des données personnelles (telles que les adresses IP, les activités de navigation ou les données de profilage) sont également concernés par la LPDP. Les cookies fonctionnels nécessaires au fonctionnement du site web peuvent être exemptés du consentement, mais tous les autres cookies, notamment ceux destinés à l'analyse, à la publicité et au suivi comportemental, nécessitent une divulgation claire et le consentement préalable de l'utilisateur. Une politique de cookies transparente et une bannière de consentement sont essentielles à la conformité.
Le non-respect de la PDPL peut entraîner des sanctions. Selon la gravité de la violation, les organisations peuvent être confrontées à des amendes administratives, à la suspension des activités de traitement des données, voire à des poursuites pénales dans les cas graves. Si le montant des amendes est soumis à des décrets d'application, le non-respect peut également entraîner une atteinte à la réputation et des restrictions opérationnelles, notamment pour les entreprises manipulant des données sensibles ou volumineuses.
Pour vérifier votre conformité avec la PDPL Vietnam, les entreprises doivent :
Audit:
Effectuer un audit de données pour identifier tous les cookies et traceurs présents sur leurs sites Web
Classer par catégories:
Catégoriser les cookies (par exemple, nécessaires, de préférence, d'analyse, de marketing)
Mettre en œuvre le consentement :
Assurez-vous que les bannières de consentement sont correctement mises en œuvre, permettez aux utilisateurs de retirer leur consentement à tout moment, conservez les journaux de consentement et permettez aux utilisateurs de retirer leur consentement à tout moment.
Vérifiez auprès des partenaires :
Examiner les pratiques de partage de données par des tiers
Personnel du train :
Assurez-vous que les employés reçoivent une formation pour comprendre et se conformer à la PDPL
Une plateforme de gestion du consentement comme CookieHub est conçue pour aider votre entreprise à se conformer en permettant une collecte transparente du consentement aux cookies, en gérant les préférences des utilisateurs et en documentant les enregistrements de consentement à des fins d'audit.
La PDPL réglemente le traitement des données personnelles par les individus et les organisations au Vietnam, y compris les entités étrangères directement impliquées dans le traitement des données personnelles des citoyens vietnamiens - ou des personnes d'origine vietnamienne résidant au Vietnam - même si ces entités sont situées en dehors du pays.
La PDPL classe les données personnelles en deux catégories : Données personnelles de base, telles que les noms, la date de naissance, les coordonnées, les numéros d'identification nationale, les photographies, les liens familiaux, les informations de compte numérique, etc. Données personnelles sensibles, notamment les opinions politiques, les croyances religieuses, l'état de santé, l'origine ethnique, les données biométriques ou génétiques, l'orientation sexuelle, le casier judiciaire, les données de compte financier, la localisation en temps réel et d'autres identifiants uniques nécessitant une protection renforcée.
Les données sensibles comprennent notamment des informations privées, telles que les dossiers médicaux et de santé, l’origine ethnique, les données génétiques/biométriques, l’orientation sexuelle, les dossiers financiers et criminels, la localisation en temps réel et d’autres catégories d’identification personnelle ou sensibles telles que spécifiées par la loi.
Le ministère de la Sécurité publique (MPS), par l'intermédiaire de son Département de la cybersécurité et de la prévention de la criminalité de haute technologie, est le principal organisme de réglementation et d'application supervisant la protection des données en vertu de la PDPL et des décrets connexes.
Le traitement courant des données personnelles ou domestiques est exempté, à condition qu'elles ne soient pas partagées avec des tiers ni utilisées à des fins commerciales. D'autres exemptions peuvent s'appliquer dans des contextes spécifiques (par exemple, traitement gouvernemental ou d'urgence), qui seront précisées dans les prochains décrets d'application.
Le traitement est licite s'il repose sur : Le consentement libre et éclairé de la personne concernée (clair, explicite, spécifique et révocable) L'exécution d'un contrat Les obligations légales La protection des intérêts vitaux de la personne L'intérêt public, notamment en matière de sécurité nationale ou de sûreté publique D'autres bases juridiques sectorielles prévues par la loi
Des informations détaillées, des orientations et des mises à jour seront fournies par le ministère de la Sécurité publique, notamment par le biais : du décret d'orientation (attendu avant fin 2025) du décret de sanction définissant les sanctions Ces décrets visent à clarifier des aspects tels que la catégorisation des données, le signalement des violations, les règles relatives au DPD, les analyses d'impact, etc.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
