1. Introduction
La politique de protection des données d'entreprise de FPT Software Company, Ltd. ("FPT Software" ci-après) énonce des exigences strictes pour le traitement des données personnelles relatives aux clients, partenaires, collaborateurs ou toute autre personne. Il répond aux exigences du Règlement européen sur la protection des données et garantit le respect des principes des lois nationales et internationales sur la protection des données en vigueur dans le monde entier. La politique établit une norme de protection et de sécurité des données applicable à l'échelle mondiale pour FPT Software et réglemente l’échange d'informations entre FPT Software, les filiales et les entités juridiques. FPT Software a établi des principes directeurs de protection des données - dont la transparence, l'économie et la sécurité des données – comme le Manuel de protection des données personnelles de FPT Software et la Code ISM.
Les responsables et les collaborateurs de FPT Software sont tenus de respecter la politique de protection des données de l'entreprise et leurs lois locales sur la protection des données. En tant que responsable global de la protection des données, il est de mon devoir de veiller à ce que les règles et principes de protection des données chez FPT Software soient respectés dans toutes les filiales dans le monde entier.
Je serai ravi de répondre à toutes vos questions sur la protection des données et le transfert international de données personnelles.
Michael Hering
Responsable global de la protection des données, [email protected],
+84 902606236
1.1. Objectif
Cette politique de protection des données s'applique dans le monde entier à FPT Software, aux filiales ainsi qu'aux entités juridiques. Elle est basée sur des principes de base acceptés globalement. Assurer la protection des données est le fondement de relations commerciales dignes de confiance et la réputation de FPT Software en tant qu'employeur de première classe.
La politique de protection des données fournit l'une des conditions-cadres nécessaires au transfert transfrontalier de données entre FPT Software, ses filiales et ses entités juridiques. Il garantit un niveau adéquat de protection des données ordonné par Règlement européen sur la protection des données, APPI, PDPA ou d'autres réglementations nationales sur la protection des données personnelles et les lois nationales pour la transmission transfrontalière de données, y compris vers des pays qui ne disposent pas encore d'une législation adéquate.
Afin de standardiser la collecte, le traitement, le transfert et l'utilisation des données personnelles ainsi que de promouvoir l'utilisation raisonnable, licite, juste et transparente pour éviter le vol, la modification, le dégât, la perte ou la fuite des données, FPT Software établit la politique de gestion de la protection des données personnelles et les politiques de sécurité des informations.
1.3. Application des lois nationales
Cette politique de protection des données comprend les principes de confidentialité des données internationalement acceptés sans remplacer les lois nationales existantes. Il complète les lois nationales sur la protection des données. La législation nationale applicable prévaudra en cas de conflit avec la présente politique de protection des données ou si elle comporte des exigences plus strictes que la présente politique. Le contenu de cette politique de protection des données doit également être respecté en l'absence de législation nationale correspondante. Les exigences de déclaration pour le traitement des données en vertu des lois nationales doivent être respectées.
Chaque filiale ou entité juridique de FPT Software est responsable du respect de la présente Politique de Protection des Données et des obligations légales. S'il y a des raisons de croire que des obligations légales contredisent les devoirs en vertu de la présente politique de protection des données, la filiale ou l'entité juridique concernée doit en informer le responsable global de la protection des données. En cas de conflit entre la législation nationale et la politique de protection des données, FPT Software en personne, le responsable global de la protection des données, travaillera avec la filiale ou l'entité juridique concernée de FPT Software pour trouver une solution pratique répondant à l'objectif de la politique de protection des données.
1.4 Prévention des violations des lois nationales et internationales sur la protection des données
Le Délégué mondial à la protection des données GDPO, relevant du membre du conseil d'administration responsable de la protection des données, CFO, supervise les fonctions de conformité et de réglementation de FPT Software, dans le but d'identifier, de réduire et de surveiller tous les domaines de risques réglementaires et de réputation possibles concernant le traitement des données personnelles.
Le manuel de protection des données personnelles (politiques, lignes directrices, procédures, modèles) est révisé et complété deux fois par an. Le GDPO coordonne toute révision ou supplément au manuel. Le GDPO et le CFO examinent et approuvent le manuel dans les plus brefs délais en cas de modification importante des lois. réglementations ou pratiques commerciales.
Le manuel de protection des données personnelles (politiques, lignes directrices, procédures, modèles) est publié sur le QMS de FPT Software, tous les employés ont accès au QMS. Les parties pertinentes du manuel sont distribuées rapidement en cas de modifications importantes dans le manuel. Les nouveaux employés sont informés du manuel et du système de gestion de la qualité. Ils sont tenus de consulter le manuel et de certifier qu'ils comprennent les dispositions pertinentes du manuel telles qu'elles s'appliquent à cet employé.
GDPO propose périodiquement des programmes de formation en ligne sur la protection des données personnelles sur la plateforme de formation en ligne d'e-campus FPT Software pour tenir les employés informés des évolutions réglementaires actuelles, des mises à jour des politiques et procédures et des exigences légales. Voir Policy_Personal Data Protection Training_v3.4.
Si une violation du manuel de protection des données personnelles (politiques, directives, procédures, modèles) se produit ou si une détermination préliminaire est faite qu'une violation a pu se produire, un rapport doit être adressé au GDPO et à la haute direction.
La haute direction doit imposer des sanctions adéquates aux employés qui enfreignent les politiques contenues dans le manuel. Les sanctions peuvent inclure tout ou partie des éléments suivants : une lettre de censure, une amende, une suspension temporaire d'emploi, un licenciement ou toute autre sanction jugée appropriée par la haute direction.
2. Politique
2.1. Principes directeurs
Principe 1 : Les données personnelles sont traitées de manière licite, juste et transparente vis-à-vis de la personne concernée (licéité, justice et transparence). La collecte, le traitement, le transfert et l'utilisation de données personnelles à des fins illégales ou d'opérations commerciales non administratives sont strictement interdits.
Principe 2 : Ne traiter que des données personnelles lorsque cela est strictement nécessaire à des fins légales et réglementaires, ou à des fins organisationnelles légitimes.
La collecte est uniquement possible pour des finalités déterminées, explicites et légitimes et non traitée d'une manière incompatible avec ces finalités (limitation des finalités).
Principe 3 : Ne traiter que les informations nécessaires. Adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité pour laquelle elles sont traitées (minimisation des données)..
FPT Software ne collectera, traitera, transférera et utilisera les données personnelles fournies par les parties que dans le cadre des lois, réglementations et exigences commerciales, et prendra les mesures appropriées et pertinentes pour traiter et utiliser les données personnelles dans le cadre nécessaire et raisonnable.
Principe 4 : Fournir des informations transparentes aux personnes concernées (y compris les enfants) sur la manière dont leurs informations personnelles sont utilisées et par qui.
Principe 5 : Garantir des dispositifs de sécurités particuliers en cas de collecte d'informations directement auprès d'enfants.
Principe 6 : Ne traiter que des informations personnelles pertinentes et adéquates. Exactes et, si nécessaire, tenues à jour ; toutes les mesures justes doivent être prises pour que les données à caractère personnel inexactes, au regard de la finalité pour laquelle elles sont traitées, soient effacées ou rectifiées sans délai (exactitude).
Principe 7 : Maintenir un inventaire de documentation des catégories d'informations personnelles traitées par FPT Software.
Principe 8 : Conserver les informations personnelles seulement aussi longtemps que nécessaire pour des raisons légales ou réglementaires ou à des fins organisationnelles légitimes et assurer une élimination rapide et appropriée (limitation de stockage).
Principe 9 : Respecter le droit de la personne concernée par rapport à ses informations personnelles.
Principe 10 : Traiter des données personnelles d'une manière qui assure une sécurité appropriée, y compris la protection contre le traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels, en utilisant des mesures techniques ou organisationnelles appropriées. (Intégrité et confidentialité)
Principe 11 : Le RGPD et d'autres lois nationales et internationales limitent le transfert de données personnelles vers des pays, par exemple en dehors de l'EEE ou des pays concernés. Ces restrictions s'appliquent à tous les transferts, quelle que soit la taille du transfert ou la fréquence à laquelle vous les effectuez, à moins que les droits des personnes en question ne soient protégés d'une autre manière. Transférer des données personnelles uniquement si elles sont soumises à des « garanties appropriées », qui sont répertoriées dans le RGPD ou d'autres lois nationales et internationales.
Principe 12: Utiliser des dispositifs de sécurité appropriés sont les Clauses standards de protection des données adoptées par la Comité. Les clauses contiennent des obligations contractuelles pour l'exportateur et l'importateur de données, ainsi que des droits pour les détenteurs des données personnelles transférées. Les individus peuvent directement faire valoir ces droits contre l'importateur et l'exportateur de données. Les SCC doivent être utilisés dans leur intégralité et sans modification.
Principe 13 : Élaborer et implémenter un PIMS pour permettre l’implémentation de la politique PIMS.
Principe 14 : Identification des personnes/collaborateurs ayant une responsabilité et une obligation spécifiques pour le PIMS. Mise en place d'une gouvernance forte incluant un Responsable global de la protection des données.
Principe 15 : Sauvegarder des registres du traitement des informations personnelles.
Les collaborateurs de FPT Software qui ne respectent pas ces principes sont comdanés d'une amende sur la base des réglementations du contrat de travail.
2.2. Données clients et fournisseurs
2.2.1 Traitement des données pour une relation contractuelle
Les données personnelles des clients et des fournisseurs (tiers) peuvent être traitées afin d'établir, d'exécuter et de résilier un contrat. Avant un contrat - pendant la phase précontractuelle - les données personnelles peuvent être traitées pour préparer des offres ou des bons de commande ou pour répondre à d'autres demandes liées à la conclusion du contrat. Les clients ou les fournisseurs peuvent être contactés pendant le processus de préparation du contrat en utilisant les informations qu'ils ont fournies. Toutes les restrictions demandées par les clients ou les fournisseurs doivent être respectées.
Le public – c’est-à-dire les clients, fournisseurs, ou toutes personnes concernées – doit avoir accès aux informations sur « Les principes et les activités de protection des données personnelles » de FPT Software (voir chapitre 4) et doit pouvoir communiquer facilement avec le Responsable global de la protection des données de FPT Software:
Michael Hering | Responsable global de la protection des données, directeur | FPT SOFTWARE
F-Town Bâtiment, Saigon Hi-Tech Park, Lot T2, rue D1, quartier Tan Phu, arrondissement Thu Duc, Hô-Chi-Minh ville, Vietnam
Cell: +84 90 2606236 | Tel: +84 (8) 3 736 2323 | Fax: +84 (8) 3 736 3333
URL: www.fptsoftware.com
La Politique de Protection des Données Personnelles doit être publiée sur www.fptsoftware.com. Les coordonnées du Responsable global de la protection sont disponible publiquement sur www.fptsoftware.com.
2.2.2 Consentement au traitement des données
Les données peuvent être traitées après consentement de la personne concernée. Avant de donner son consentement, la personne concernée doit être informée conformément à la présente politique de protection des données. La déclaration de consentement doit être obtenue par écrit ou par voie électronique à des fins de documentation. Dans certaines circonstances, comme les conversations téléphoniques, le consentement peut être donné verbalement. L'octroi du consentement doit être documenté.
2.2.3 Traitement des données conformément à l'autorisation légale
Le traitement des données personnelles est également autorisé si la législation nationale le demande, l'exige ou l'autorise. Le type et l'étendue du traitement des données doivent être légalement autorisée et conformes aux dispositions légales et statuaires.
2.2.4 Traitement des données conformément à l'intérêt légitime
Les données personnelles peuvent également être traitées si cela est nécessaire pour un intérêt légitime de FPT Software. Les intérêts légitimes sont généralement de nature juridique (par exemple, le recouvrement des créances impayées) ou commercial (par exemple, éviter les ruptures de contrat). Les données personnelles ne peuvent pas être traitées aux fins d'un intérêt légitime si, dans des cas individuels, il existe des preuves que les intérêts de la personne concernée méritent d'être protégés, et que cela a priorité. Avant le traitement des données, il est nécessaire de déterminer s'il existe des intérêts qui méritent d'être protégés.
2.2.5 Données utilisateur et internet
Si des données personnelles sont collectées, traitées et utilisées sur des sites Web ou dans des applications, les personnes concernées doivent en être informées dans une déclaration de confidentialité et, le cas échéant, des informations sur les cookies. La déclaration de confidentialité et toute information sur les cookies doivent être intégrées de manière facilement identifiables, directement accessibles et constamment disponibles pour les sujets des données ultérieurs.
Si des profils (suivi) sont créés pour évaluer l'utilisation de sites Web et d'applications, les personnes concernées doivent toujours être informées en conséquence dans la déclaration de confidentialité.
Si des sites Web ou des applications peuvent accéder à des données personnelles dans une zone réservée aux utilisateurs enregistrés, l'identification et l'authentification de la personne concernée doivent offrir une protection suffisante lors de l'accès.
Toutes les mesures techniques actuellement prises, voir chapitre 4, Mesures techniques.
2.3. Données de nos collaborateurs
2.3.1 Traitement des données pour la relation de travail
Dans les relations de travail, les données personnelles peuvent être traitées si nécessaire pour préparer, exécuter et résilier le contrat de travail. Lors de l'initiation d'une relation de travail, les données personnelles des candidats peuvent être traitées. Si le candidat n’est pas retenu, ses données doivent être supprimées dans le respect de la période de conservation requise, sauf son choix de conserver ses données dans la base pour un futur processus. Le consentement est également nécessaire pour utiliser les données pour d'autres processus de candidature ou avant de partager la candidature avec d'autres entités juridiques de FPT Software.
Dans la relation de travail existante, le traitement des données doit toujours servir au contrat de travail si aucune des circonstances suivantes pour le traitement autorisé des données ne s'applique.
Le respect des lois nationales correspondantes doit être assuré s’il est nécessaire de recueillir des informations sur un candidat auprès d'un tiers au cours de la procédure de candidature. En cas de doute, le consentement doit être obtenu auprès de la personne concernée.
Il faut une autorisation légale pour traiter des données personnelles liées à la relation de travail mais qui ne faisaient pas initialement partie de l'exécution du contrat. Cela comprend les exigences légales, les règlements collectifs avec les représentants des collaborateurs, le consentement du collaborateur ou l'intérêt légitime de l'entreprise.
2.3.2 Traitement des données conformément à l'autorisation légale
Le traitement des données personnelles des collaborateurs est également autorisé si la législation nationale le demande, l'exige ou l'autorise. Le type et l'étendue du traitement des données doivent être légalement autorisée et conformes aux dispositions légales et statuaires. S'il existe une certaine flexibilité juridique, les intérêts du collaborateurs qui méritent d'être protégés doivent être pris en considération.
2.3.3 Accords collectifs sur le traitement des données
Si une activité de traitement de données dépasse les objectifs d'exécution d'un contrat, son autorisation peut se reconsidérer par une convention collective. Les conventions collectives sont des accords sur l’échelle salariale ou entre les employeurs et les représentants des salariés, dans le cadre autorisé par le droit du travail en vigueur. Les accords doivent couvrir l'objectif précis de l'activité de traitement de données envisagée et doivent être rédigés dans le cadre des paramètres de la législation nationale sur la protection des données.
2.3.4 Consentement au traitement des données
Les données des collaborateurs peuvent être traitées avec le consentement de la personne concernée. Les déclarations de consentement doivent être soumises volontairement. Tout le consentement involontaire est nul. La déclaration de consentement doit être obtenue par écrit ou par voie électronique à des fins de documentation. Dans certaines circonstances, le consentement peut être donné verbalement, dans ce cas il doit être dûment documenté. En cas de fourniture volontaire et éclairée de données par la partie concernée, le consentement peut être présumé si les lois nationales n'exigent pas un consentement exprès. Avant de donner son consentement, la personne concernée doit être informée conformément à la présente politique de protection des données.
2.3.5 Traitement des données conformément à l'intérêt légitime
Les données personnelles peuvent également être traitées si cela est nécessaire pour faire valoir un intérêt légitime de FPT Software. Les intérêts légitimes sont généralement de nature juridique (par exemple, dépôt, exécution ou défense contre des actions en justice) ou financière (par exemple, évaluation d'entreprises).
Les données personnelles ne peuvent pas être traitées sur la base d'un intérêt légitime si, dans des cas individuels, il existe des preuves que les intérêts de l'employé méritent d'être protégés. Avant le traitement des données, il convient de déterminer s'il existe des intérêts qui méritent d'être protégés.
Les mesures de contrôle qui nécessitent le traitement des données des collaborateurs peuvent être prises seulement quand il existe une obligation légale de le faire ou il existe un motif légitime. Même ayant un motif légitime, la proportionnalité de la mesure de contrôle doit également être examinée. Les intérêts justifiés de l'entreprise dans l'exécution de la mesure de contrôle (par exemple, le respect des dispositions légales et des règles internes de l'entreprise) doivent être mis en balance avec les intérêts méritant protection que le collaborateur concerné par la mesure, peut avoir dans son exclusion et ne peut être exécuté que de manière appropriée. L'intérêt légitime de l'entreprise et tout intérêt du collaborateur méritant d'être protégé doivent être identifiés et documentés avant de prendre des measures. En outre, toute exigence supplémentaire prévue par la législation nationale (par exemple, les droits de cogestion pour les représentants des salariés et les droits d'information des personnes concernées) doit être prise en compte.
2.3.6 Télécommunications et Internet
L'équipement téléphonique, les adresses e-mail, l'intranet et l'internet ainsi que les réseaux sociaux internes sont fournis par l'entreprise principalement pour des missions liées au travail. Ce sont des outils et des ressources de l'entreprise. Ils peuvent être utilisés dans le cadre des réglementations légales applicables et des politiques internes de l'entreprise. En cas d'utilisation autorisée à des fins privées, les lois sur le secret des télécommunications et les lois nationales pertinentes doivent être respectées, le cas échéant.
Il n'y aura pas de contrôle général des communications téléphoniques et e-mail ou de l'utilisation de l'intranet/internet. Pour se défendre contre les attaques contre l'infrastructure informatique ou contre les utilisateurs individuels, des mesures de protection peuvent être mises en place pour les connexions au réseau FPT Software qui bloquent les contenus techniquement nuisibles ou qui analysent les schémas d'attaque. Pour des raisons de sécurité, l'utilisation des équipements téléphoniques, des adresses e-mail, de l'intranet/internet et des réseaux sociaux internes doit être enregistrée temporairement. Les évaluations de ces données d'une personne spécifique ne peuvent être effectuées que dans un cas concret et justifié de violation présumée des lois ou des politiques de FPT Software. Les évaluations ne peuvent être conduites que par les services enquêteurs en veillant au respect du principe de proportionnalité. Les lois nationales en vigueur doivent être respectées. Les évaluations de ces données auprès d'une personne spécifique ne peuvent être effectuées que dans un cas concret et justifié de violation présumée des lois ou des politiques de FPT Software. Les évaluations peuvent être conduites par les services d’enquête en respectant le principe de proportionnalité. Les lois nationales en vigueur doivent être respectées.
2.4. Demande d'accès d'un État/gouvernement ou d'une agence fédérale ou d'un autre organisme de réglementation
Les demandes d'accès aux données personnelles d'un État/gouvernement ou d'une agence fédérale ou d'un autre organisme de réglementation sont traitées de la même manière et dans les mêmes conditions que le transfert international de données en suivant strictement les exigences de la loi nationale du pays concerné. Toutes les demandes d'accès sont enregistrées dans le registre des demandes d'accès. Toutes les demandes sont gérées par le GDPO et sont soumises à l'accord du membre du conseil d'administration de FPT Software responsable de la protection des données (CFO). Le GDPO est responsable de la communication avec l’État/le gouvernement ou une agence fédérale ou un autre organisme de réglementation. Le GDPO est responsable du registre des demandes d’accès.
2.5.Révision et évaluation des politique
Cette politique doit être revue et évaluée deux fois par an pour actualiser l'état le plus récent des normes internationales, des réglementations juridiques, des technologies et des entreprises, et pour garantir l'actualité des pratiques de gestion des données personnelles (voir Guideline_Personal Data Protection Policy Development_v2.4)
2.6. Annoncer et publier
Cette politique est basée sur un processus d'annonce qui permettra au collaborateur de comprendre et suivre les principes et dispositions pertinents de la Politique de Gestion de la Protection des Données personnelles.
Cette politique doit être révisée et examinée par le groupe de travail sur la protection des données personnelles, approuvée par le Responsable global de la protection des données et le membre responsable du conseil d'administration de FPT Software (CFO). Le Responsable global de la protection des données est responsable de l’implémentation et des audits internes.
3. Contrôle de la protection des données
Le respect de la politique de protection des données et des lois applicables en matière de protection des données est vérifié chaque année par des audits et d'autres contrôles. La réalisation de ces contrôles relève de la responsabilité des délégués à la protection des données. Les résultats des contrôles de protection des données doivent être communiqués au Responsable global de la protection des données et au membre responsable du conseil d'administration de FPT Software (CFO). Sur demande, les résultats des contrôles de protection des données seront mis à la disposition de l'autorité responsable de la protection des données. L'autorité responsable de la protection des données peut effectuer ses propres contrôles de conformité aux réglementations de la présente politique, comme le permet la législation nationale.
4. Mesures techniques et organisationnelles
En tant que société privée traitant des données personnelles dans le cadre d'un accord de traitement autorisé de données, FPT Software doit prendre des mesures techniques et organisationnelles pour assurer la conformité avec le règlement européen sur la protection des données et d'autres lois internationales sur ce sujet. En plus de cette procédure, la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et des composants doivent être garanties par FPT Software.
Les groupes de mesures suivants abordent tous les aspects du niveau de sécurité minimum actuel. Elles visent à évaluer le niveau de protection des données de FPT Software lors du traitement de données personnelles au nom du Contrôleur. Si FPT Software se connecte aux systèmes du Contrôleur, FPT Software doit remplir au moins la partie confidentialité, où FPT Software devra avoir les contrôles d'accès, d'autorisation d'accès et de séparation des tâches complétés (sections b) c) d) ci-dessous).
Ci-dessous les mesures techniques et organisationnelles actuellement prises au sein de FPT Software. Une démarche d'amélioration continue est mise en place:
4.1. Confidentialité
a) Contrôle des accès / Sécurité des bâtiments
L'objectif du contrôle d'accès est d'empêcher l'utilisation non autorisée des systèmes de traitement des données employés pour le traitement et l'utilisation des données personnelles.
Les données et le code d'identification individuel de chaque collaborateur sont enregistrés dans le répertoire de contacts. L'accès aux systèmes de traitement des données n'est possible qu'après identification et authentification à l'aide du code d'identification et du mot de passe du système concerné.
☒ Système d'alarme
☒ Protection des gaines de bâtiment
☒ Système de contrôle d'accès automatique
☒ Contrôle d'accès par transporteur de carte à puce
☒ Système de verrouillage avec serrure à code
☒ Système de verrouillage manuel
☐ Contrôle d'accès biométrique
☒ Surveillance vidéo des entrées
☐ Barrières lumineuses / détecteurs de mouvement
☒ Cadenas & serrures de securités
☒ Réglementation du transfert de clés (remise des clés, etc.)
☒ Contrôle d'identité par concierge/réception
☒ Enregistrement des visiteurs
☒ Engagement du personnel de nettoyage spécialement séléctionné
☒ Engagement du personnel de sécurité spécialement séléctionné
☒ Engagement à porter la carte d'autorisation personnel
b) Contrôle d'accès physique / Protection du système
L'objectif du contrôle d'accès physique est d'empêcher les personnes non autorisées d'accéder physiquement aux équipements qui traitent ou utilisent des données personnelles.
En raison de leurs exigences de sécurité, les locaux commerciaux et les installations sont répartis en différentes zones de sécurité avec autorisations d'accès particuliers. Ils sont surveillés par le personnel de sécurité.
L'accès aux zones de sécurité spéciales telles que le centre de service pour la maintenance à distance ou l'ODC est en outre protégé par une zone d'accès séparée. Les normes de sécurité de construction et de substantifs sont conformes aux exigences de sécurité des centres de données.
☒ Contrôle d'accès interne
☒ Contrôle d'isolement (autorisation pour les droits d'utilisateur)
☒ Mot de passe fort
☐ Authentification biométrique
☒ Authentification d'un nom d'utilisateur / mot de passe
☒ Affectation des profils utilisateurs aux systèmes informatiques
☒ Verrouillage des chassis des serveurs / ordinateurs
☒ Utilisation de la technologie VPN (accès à distance)
☒ Verrouillage des interfaces externes (USB etc.)
☒ Chiffrement des données médias mobiles
☒ Système de détection d'intrusion
☐ Administration centrale du smartphone (par exemple, suppression à distance)
☐ Chiffrement du contenu du smartphone
☐ Mots de passe sécurisés pour smartphones
☒ Chiffrement des données médias sur les ordinateurs portables
☒ Attribution de noms d'utilisateur individuels
☐ Sinon, veuillez préciser:
c) Contrôle d'accès électronique / Autorisation d'accès sécurisée
Les mesures concernant le contrôle d'accès électronique doivent être ciblées sur le fait que: seules les données pour lesquelles une autorisation d'accès existe sont accessibles; les données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées de manière non autorisée lors du traitement, de l'utilisation et de la après la sauvegarde de ces données.
L'accès aux données nécessaires à l'exécution d’une tâche particulière est assuré au sein des systèmes et des applications par un concept de rôle et d'autorisation correspondant.
☒ Attribution des droits
☒ Gestion des droits par l'administrateur système
☒ Nombre d'administrateurs système « réduit au minimum »
☒ Enregistrement des suppressions
☒ Journalisation des événements d'accès au système, en particulier les entrées, les modifications et les suppressions de données
☒ Application de la protection antivirus
☒ Effacement physique des supports avant réutilisation
☒ Mise en place de logiciel pare-feu
☒ Stockage sécurisé des supports de données
☒ Politiques sur la complexité des mots de passe (longueur, changements réguliers)
☒ Chiffrement des supports de données
☒ Utilisation de broyeurs appropriés resp. prestataires de services spécialisés
☒ Mise en place d’équipements pare-feu
☒ Destruction correcte des supports de données
☐ Sinon, veuillez préciser:
☒ Accès aux journaux
d) Contrôle de séparation / Mesures pour s’assurer des finalités suite à la collecte de données personnelles
L'objectif du contrôle de séparation est de garantir que les données qui ont été collectées à des fins différentes puissent être traitées séparément.
Les données personnelles sont utilisées par le sous-traitant à des fins internes uniquement. Un transfert à un tiers comme sous-traitant est uniquement effectué en tenant compte des dispositions contractuelles et du Règlement européen sur la protection des données.
Les salariés du sous-traitant sont chargés de collecter, traiter et utiliser les données personnelles uniquement dans le cadre et aux fins de leurs fonctions (par exemple, la prestation de services). Au niveau technique, la capacité multi-clients, la séparation des fonctions ainsi que la séparation des systèmes de test et de production sont utilisées à cette fin.
☒ Stockage des données sur différents types de supports
☒ Définition d'un concept d'autorisation
☒ Séparation des environnements (production, test)
☒ Chiffrement des enregistrements de données, traités dans le même but
☒ Aucune donnée de production sur les environnements de test
☒ Isolation logique des clients (basée sur le logiciel)
☐ Sinon, veuillez préciser:
e) Pseudonymisation
Le traitement des données personnelles doit être effectué de manière à ce qu'il ne soit pas possible de les relier à une personne spécifique sans l'utilisation d'informations supplémentaires. Ces informations supplémentaires doivent être stockées séparément et être protégées par des mesures techniques et organisationnelles appropriées. Voir Guideline_Pseudonymisation Minimisation and Encryption_v1.2
☒ Traitement pseudonyme (ou anonyme) des données
☒ Séparation du dossier de mission et stockage dans un système informatique séparé et sécurisé
4.2. Intégrité
a) Contrôle du transfert de données / Sécurité du transfert de données
L'objectif du contrôle du transfert de données est de s'assurer que les données personnelles ne peuvent être ni lues, ni copiées, ni modifiées, ni supprimées sans autorisation pendant leur transfert. De plus, il vise à permettre le contrôle et la détermination des destinataires auxquels les données personnelles sont transférées.
FPT Software ne transfère les données personnelles à un tiers (comme des clients, des sous-traitants ou des prestataires de services) que s'il existe un contrat approprié et uniquement dans un but spécifique. Si des données personnelles sont transférées à des entreprises situées en dehors de l'UE/EEE ou du pays d'origine, FPT Software garantit qu'un niveau de protection adéquat des données est en place à l'endroit ou à l'organisation destinataire, conformément au Règlement européen sur la protection des données. Cela peut être réalisé en utilisant, par exemple, des contrats basés sur les clauses contractuelles types de l'UE.
☒ Mise en place de lignes dédiées resp. VPN-tunnel
☒ Chiffrement des e-mails
☒ Enregistrement des destinataires des données ainsi que des périodes de transmission programmée resp. périodes d’effacement convenues
☒ Transport physique : sélection du personnel de transport spécial et du transporteur
☐ Sinon, veuillez préciser:
☒ Transfert de données de manière anonyme ou pseudonyme
☒ Création d'un aperçu des demandes de données régulières ainsi que du transfert de données
☒ Transport physique : Utilisation de conteneurs / emballages de transport sécurisés
☒ Utilisation de périphériques externes cryptés lors du transfert de données (CD, USB, clé, etc.)
b) Contrôle d’entrée
L'objectif du contrôle d'entrée est de permettre l'examen et le contrôle rétrospectif des circonstances de l'entrée des données, en utilisant des mesures appropriées.
Les entrées du système sont enregistrées sous forme de fichiers journaux, ce qui permet de vérifier ultérieurement si des données personnelles ont été saisies, modifiées ou supprimées, ainsi que l'identité de la personne responsable de ces actions.
☒ Création d'un aperçu prouvant quelle application autorise à saisir, modifier ou supprimer quelles données
☒ Paramètres d'autorisation pour autoriser la saisie, la modification et la suppression de données conformément à un concept d'attribution de droits
☒ Enregistrement continu des entrées, modification et suppression des données
☒ Utilisation de noms d'utilisateur attribués individuellement pour assurer le contrôle d'accès ou la saisie, la modification ou la suppression de données
☒ Conservation d'un système de classement pour évaluer l'origine des données transmises aux données traitées automatiquement
☒ Journaux d'activité
☐ Ou sinon, veuillez préciser:
4.3. Disponibilité et Résilience
a) Contrôle et protection de la disponibilité pour empêcher la destruction ou la perte accidentelle ou intentionnelle
L'objectif du contrôle de disponibilité est de s'assurer que les données personnelles sont protégées contre la destruction et la perte accidentelles.
Lorsque les données personnelles ne sont plus nécessaires aux fins pour lesquelles elles ont été traitées, elles sont supprimées sans délai. Cependant, il convient de noter qu'à chaque suppression, les données personnelles sont d'abord verrouillées temporairement avant d'être définitivement supprimées après un certain délai. Cette mesure est prise pour éviter les suppressions accidentelles ou les éventuels dommages intentionnels.
☒ Salles des serveurs équipées de climatisation
☒ Salles des serveurs équipées de prises de protection
☒ Salles des serveurs équipées d'extincteurs
☒ Sauvegardes stockées séparément dans un endroit sûr
☒ Plan d'urgence
☒ Plan de continuité d'activité
☒ Pas de salles des serveurs sous les sanitaires
☒ Sauvegardes régulières des fichiers de données
☒ Supervision du plan d'urgence
☐ Sinon, veuillez préciser:
b) Récupération rapide
☒ Compte de récupération, concept de sauvegarde et de récupération
☒ Test de récupération
☒ Supervision du plan d'urgence
4.4. Procédures pour réviser, estimer et évaluer régulièrement
a) Gestion de la protection des données
☒ Les principes relatifs au traitement des données personnelles (collecte, traitement ou utilisation) font l'objet d'une politique interne à l'entreprise
☒ Le Responsable global de la protection des données a été désigné par écrit
☒ Les collaborateurs s'engagent à respecter la confidentialité des données / le traitement des données personnelles
☒ Les collaborateurs s'engagent à respecter Employees are committed to comply with the regulations regardingthe secrecy of telecommunications
☒ Une liste interne des traitements est disponible. Voir Directive_Gestion de l'inventaire des données personnelles_v3.2
☒ Le Responsable global de la protection des données est impliqué dans l'analyse d'impact sur la protection des données
☒ Le Responsable global de la protection des données est membre de l'organigramme
☒ Formations des collaborateurs. Voir Policy_Personal Data Protection Training_v1.2
☒ Implémentation d'un système de contrôle destiné à détecter les accès non autorisés aux données personnelles
☐ Sinon, veuillez préciser:
b) Gestion de la réponse aux incidents
Il correspond à la gestion des incidents en cas d'incidents de sécurité détectés ou suspectés resp. défaillance liée aux secteurs informatiques.
☒ Schéma de traitement pour la gestion des incidents
☒ Pratique en équipe des exercices réalistes
☒ Nomination et formation de l’équipe de sécurité
☐ Sinon, veuillez préciser:
c) Protection des données par la mise en place de mesures techniques appropriées et de paramètres de confidentialité par défaut (conformément au Règlement de l'UE)
☒ Respect de la confidentialité dès la conception / protection des données par des technologies appropriées
☒ Sélection de technologies améliorant la confidentialité pour les besoins ultérieurs
☒ Respect de la confidentialité par défaut / protection des données par des paramètres appropriés
☐ Sinon, veuillez préciser:
d) Supervision / Engagement de sous-traitants
Aucun traitement de données ne peut être effectué sans une autorisation spécifique préalable de la part du responsable du traitement. Cela peut inclure des exigences contractuelles claires, une gestion formalisée des commandes, une sélection rigoureuse des prestataires, une obligation de vérification préalable et un suivi régulier par le biais d'inspections.
☒ Sélection de (sous-)traitants soumis à diligence professionnelle (notamment en matière de sécurité des données)
☒ Directives établies pour le gestionnaire des données documentées par écrit (par exemple par un accord de traitement de données)
☒ Gestionnaire des données désigné responsable de la sécurité des données (si nécessaire)
☒ Accord effectif sur les droits de surveillance du contrôleur
☒ Avant engagement, vérification des mesures de sécurité enregistrées par le sous-traitant
☒ Les salariés du sous-traitant s'engagent à signer un accord de secret / confidentialité
☒ Assurer l'effacement ou la destruction des données après la résiliation du contrat
☒ Examen continu du sous-traitant et de ses activités
☐ Sinon, veuillez préciser:
5. Formation concernant la protection des données personnelles
Chaque nouvel arrivant doit suivre la formation sur la protection des données personnelles la première journée.
Chaque collaborateur qui traite des données personnelles est tenu de suivre la formation concernant la protection des données personnelles sur la plateforme de formation e-campus de FPT Software. Cette formation doit être réussie avant de commencer à traiter des données personnelles. De plus, une formation de remise à niveau annuelle est obligatoire pour tous les collaborateurs.
Pour chaque PM, DM, SDM, chef d'équipe impliqué dans le traitement des données personnelles, il est obligatoire de suivre la formation étendue concernant la protection des données personnelles sur la plateforme de formation e-campus de FPT Software. Cette formation doit être réussie avant de commencer à traiter des données personnelles. De plus, une formation de remise à niveau annuelle est obligatoire pour tous les collaborateurs. (voir Policy_Personal Data Protection Training_v1.4).
FPT Software VN fournira une version téléchargeable de tout le matériel de formation à chaque entité juridique et filiale de FPT Software.
6. Responsable global de la protection des données
Le Responsable global à la protection des données, étant indépendant en interne des ordres professionnels, œuvre au respect des réglementations nationales et internationales en matière de protection des données. Il est responsable de la politique de protection des données et veille à son respect. Le Responsable global à la protection des données est nommé par le comité de FPT Software.
Les délégués à la protection des données doivent informer rapidement le Responsable global de la protection des données de tout risque lié à la protection des données.
Toute personne concernée a le droit de contacter à tout moment le Responsable global de la protection des données ou le délégué compétent en matière de protection des données afin de faire part de ses préoccupations, poser des questions, obtenir des informations ou déposer des réclamations concernant des problèmes liés à la protection ou à la sécurité des données. Toutes les préoccupations et plaintes seront traitées de manière confidentielle sur demande.
Si le délégué à la protection des données n'est pas en mesure de résoudre une plainte ou de remédier à une violation de la politique de protection des données, il est impératif de consulter immédiatement le Responsable global de la protection des données. Les décisions prises par ce dernier pour remédier aux violations de la protection des données doivent être confirmées par la direction de l'entreprise concernée. De plus, toutes les demandes émanant des autorités de contrôle doivent être signalées au Responsable global de la protection des données (voir Template_DPO Job Description_v1.3).
Article 28 of PDPD VN requires a data controller and/or a data processor to appoint a department to protect personal data and to appoint a data protection officer (DPO) if there is sensitive personal data involved. The information of such DPO must be notified to the Cybersecurity Department.
Les coordonnées du Responsable global de la protection des données et de son personnel sont les suivantes:
FPT Software Company, Ltd.
Directeur global de la protection des données, directeur, Michel Hering
F-Town Bâtiment, Saigon Hi-Tech Park, Lot T2, rue D1, quartier Tan Phu, arrondissement Thu Duc,
Hô-Chi-Minh ville, Vietnam
Cell: +84 90 2606236
Courriel: [email protected]
7. Responsabilités et mesures disciplinaires
Les organes exécutifs de FPT Software, ainsi que ses filiales et entités juridiques, ont la responsabilité du traitement des données dans leurs domaines respectifs. En conséquence, ils doivent veiller au respect des exigences légales et de la politique de protection des données (notamment en ce qui concerne les obligations nationales de rapports). Les responsables de la FSU, les chefs de BO et les directeurs généraux d'une entité juridique sont chargés de mettre en place des mesures organisationnelles, techniques et de ressources humaines pour garantir que tout traitement de données se fasse en conformité avec les règles de protection des données.
Il est important que tous les employés concernés assument leur responsabilité dans le respect de ces exigences. En cas de contrôles externes sur la protection des données, le délégué mondiale à la protection des données doit être informé immédiatement.
Les responsables de la FSU, les chefs des OB ou les directeurs généraux d'une entité juridique ont l'obligation de désigner un représentant chargé de la protection des données et d'en informer le délégué à la protection des données. Ces représentants de la protection des données sont les personnes de contact au sein de chaque entité pour toutes les questions liées à la protection des données. Leur rôle consiste à effectuer des contrôles internes pour garantir la conformité avec les politiques de protection des données et à sensibiliser les employés à ces politiques. La direction concernée est tenue de soutenir le délégué à la protection des données et les représentants de la protection des données dans l'exécution de leurs missions. Il est également essentiel que les FSU, les OB ou les entités juridiques tiennent informés en temps utile les représentants de la protection des données de tout nouveau traitement de données à caractère personnel. Dans le cas de projets de traitement de données susceptibles de présenter des risques pour les droits individuels des personnes concernées, le délégué à la protection des données doit être prévenu avant le début du traitement. Cette exigence est particulièrement importante lorsqu'il s'agit de données personnelles extrêmement sensibles.De plus, il incombe aux responsables de veiller à ce que leurs employés reçoivent une formation adéquate en matière de protection des données. Une formation annuelle de sensibilisation assortie d'un examen doit être dispensée, et des formations approfondies doivent être fournies aux personnes occupant des postes clés tels que les PM, les DM et les responsables de BU.
Le traitement inapproprié de données à caractère personnel ou d'autres violations des lois sur la protection des données peuvent faire l'objet de poursuites pénales dans de nombreux pays et donner lieu à des demandes de dommages-intérêts. Les violations dont les employés sont responsables peuvent donner lieu à des sanctions en vertu du droit du travail.
Si vous ne comprenez pas les implications de cette politique ou la manière dont elle peut s'appliquer à vous, demandez conseil au GDPO par téléphone ou par courriel (Michael Hering, téléphone : +84902606236, courriel : [email protected]).
8. Directives supplémentaires et Documents
PDP livret V3.3 Politiques
Politiques:
Lignes directives:
- Guideline Personal Data Retention V3.4
- Guideline Policy Development V2.4
- Guideline Personal Data Protection Organization V3.4
- Guideline Personal Data Protection Management Audit V2.4
- Guideline Complaints and Appeals Handling V3.4
- Guideline Data Breach Incident V3.4
- Guideline Personal Data Inventory Management V3.4
- Guideline Data Flow Mapping V2.4
- Guideline Risk Management DPIA V2.4
- Guideline_Pseudonymisation Minimisation and Encryption_v1.4
- Guideline PII Classification and Rating V3.4
Modèles:
- Template_DS Consent Withdrawal Form_v1.3
- Template_retention schedule_V1.3
- Template_audit checklist short_V1.3
- Template_internal competence matrix_V1.3
- Template_privacy notice register_V1.3
- Template_DP Job Description and Responsibilities_v1.3
- Template_DPO Job Description_v1.3
- Template_DS request_incident_compliant_appeal_register-DP_V1.4
- Template_Rationale DPO_v1.3
- Template_Parental Consent Withdrawal Form_v1.3
- Template_Data Subject Right Request Form_v2.4
- Template_Parental Consent Form_v1.3
- Template_Data Subject Consent Form_v2.4
- Template Personal Data Processing Inventory V2.6
- Template Standard Contractual Clauses V2.4
- Template Personal Data Protection Exhibit V1.6
- Template risk management DPIA V3.4
- Checklist Before Engagement V3.4
- Template Data Processing Agreement V1.3
- Template_Non Conformance Report_v1.2
- Template_Internal Audit Report_v1.2
- Template_Internal Audit Schedule_v1.2
Procédures:
- Procedure_privacy_V1.3
- Procedure_ds_access request_V1.3
- Procedure_complaints_V1.3
- Procedure_consent withdrawal_V1.3
- Procedure_consent_V1.3
- Procedure_Data Protection Impact Assessment_V1.3
- Procedure_Personal Data Breach Notification_V1.3
- Procedure_communication_V1.3
- Procedure_personal data transfer_V1.3
- Procedure_data portability_V1.3
- Procedure_third party service contracts_V1.3
- Procedure_sub contracted processing_V1.3
- Procedure_competence_V1.3
- Procedure_DP management review_V1.3
- Procedure_Retention of Records_V1.3
- Procedure_Continual Improvement_v1.2
- Procedure_Internal Audit_v1.2
Dossiers:
- Record_DP contacts_V1.2
- Record_internal contracts_V1.2
- Record_authorities_Key-Supplier_V1.2
Tous les employées de FPT Software peuvent trouver ces lignes directives et modèles sur la platerforme QMS.
9. Exceptions
Toute exception doit être examinée et approuvée par le Délégué Mondial à la Protection des Données (GDPO) et également validée par le membre responsable du conseil d'administration de FPT Software (CFO) / Directeur Général d'une filiale / Entité juridique.
10. Annexe
10.1. Définition
Abbréviations
Description
PII, Informations personnelles identifiables, Données personnelles
Faisant référence aux données personnelles définies par le RGPD de l'UE (Article 4 (1)), "données personnelles" désigne toute information se rapportant à une personne physique identifiée ou identifiable (« sujet de données ») ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.
Sujet des Données
Le RGPD de l'UE (Article 4 - 1) définit le terme « sujet de données » comme toute personne physique qui peut être identifiée, directement ou indirectement.
Contrôleur de données
Le RGPD de l'UE (Article 4 - 7) définit le terme « Contrôleur de données » ("Data Controller" en anglais) comme étant la personne physique ou morale, l'autorité publique, l'organisme ou toute autre entité qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel. Lorsque les finalités et les moyens d'un tel traitement sont déterminés par le droit de l'Union ou des États membres, le responsable du traitement peut être désigné ou les critères spécifiques de sa désignation peuvent être fixés par le droit de l'Union ou des États.
Processeur de données
Le RGPD de l'UE (Article 4 - 8) définit le terme « Processeur de données » ("Data Processor" en anglais) comme étant la personne physique ou morale, l'autorité publique, l'organisme ou toute autre entité qui traite des données pour le compte du responsable du traitement.
Destinataire de données
Le RGPD de l'UE (Article 4 - 9) définit le terme « Destinataire de données » comme étant la personne physique ou morale, l'autorité publique, l'organisme ou toute autre entité à laquelle les données à caractère personnel sont communiquées, qu'il s'agisse ou non d'un tiers.
Tier
Le RGPD de l'UE (Article 4 - 10) définit le terme « Tier » ("third party" en anglais) comme étant toute personne physique ou morale, autorité publique, organisme ou toute autre entité autre que le sujet de données, le responsable du traitement, le sous-traitant et les personnes qui, sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter des données à caractère personnel.
DPO/GDPO
Responsable de la protection des données/Responsable global de la protection des données
EIPD
Évaluation de l'Impact sur la Protection des Données
SGIP
Système de Gestion des Informations Personnelles
UE
Union Européenne
10.2. Documents Connexes
No
Code
Nom des documents
1
RGPD de l'UE
Règlement européen sur la protection des données
2
Directive 95/46/EC de l'UE
Directive de l'UE sur la Protection des Données 95/46/EC
3
Protection de la vie privée
Cadres de l'UE-États-Unis et Suisse-États-Unis créés par le Département du Commerce des États-Unis, la Commission européenne et l'Administration suisse pour fournir aux entreprises des deux côtés de l'Atlantique un mécanisme de conformité aux exigences de protection des données lors du transfert de données personnelles de l'Union européenne et de la Suisse vers les États-Unis, afin de soutenir le commerce transatlantique.
4
APPI
Loi sur la Protection des Informations Personnelles au Japon. Elle est entrée en vigueur le 30 mai 2017.
5
PDPA
Loi de 2012 sur la Protection des Données Personnelles à Singapour
6
PDPO
Ordonnance sur la Protection des Données Personnelles (Vie privée) de Hong Kong de 2012
7
PIPA
La loi sud-coréenne de protection des informations personnelles substantielle a été promulguée le 30 septembre 2011
8
PIPEDA
Loi de 2018 sur la Protection des Renseignements Personnels et les Documents Électroniques du Canada
9
Privacy Act, APPs, CDR
Loi sur la vie privée en Australie, comprenant les Principes Australiens de Confidentialité et le Droit des Consommateurs
10
HITRUST
Alliance de Confiance des Informations de Santé (CSF, Cadre Commun de Sécurité)
11
HIPAA
Loi sur la Portabilité et la Responsabilité de l'Assurance Maladie de 1996 (HIPAA) aux États-Unis
12
PCI DSS
Norme de Sécurité des Données de l'Industrie des Cartes de Paiement, mai 2018
13
CCPA
Loi californienne de 2018 sur la Protection de la Vie Privée des Consommateurs, sections 1798.100 et suivantes du Code Civil de Californie.
14
PDPL, UAR
Décret-loi No. 45 de 2021
15
DPA Philippines
Loi de la République 10173, Loi de 2012 sur la confidentialité des données aux Philippines
16
PIPL
Loi de la République Populaire de Chine sur la Protection des Informations Personnelles et les lois et règlements connexes
17
PDPA Malaysia
Loi de 2010 sur la Protection des Données Personnelles en Malaisie
18
TISAX
Échange d'Évaluation de Sécurité de l'Information de Confiance
19
BS10012: 2017
Norme Britannique pour le Système de Gestion des Informations Personnelles
20
Lois vietnamiennes sur la confidentialité:
– Article 21 de la Constitution de 2013
– Article 38 du Code Civil de 2015
– Article 125 du Code Pénal
– Décrets du gouvernement vietnamien : Nghị Định Quy Định Về Bảo Vệ Dữ Liệu Cá Nhân (pas encore en vigueur)
21
Manuel de Protection des Données Personnelles de FPT Software
DP_ Handbook_Version_V3.3
10.3. Aperçu des lois sur la protection des données au Vietnam
Il n'existe pas de loi unique sur la protection des données au Vietnam. Les réglementations sur la protection des données et la vie privée se trouvent dans divers instruments juridiques. Le droit à la vie privée et le droit à la réputation, à la dignité et à l'honneur, ainsi que les principes fondamentaux de ces droits, sont actuellement protégés par la Constitution de 2013 et le Code Civil de 2015 en tant qu'inviolables et protégés par la loi.
Concernant les données personnelles, les principes directeurs sur la collecte, le stockage, l'utilisation, le traitement, la divulgation ou le transfert d'informations personnelles sont spécifiés dans les principales lois et documents suivants:
- Loi N°100/2015/QH13, adoptée par l'Assemblée nationale le 27 novembre 2015. Code Pénal
- Loi N°24/2018/QH14 sur la Cybersécurité, adoptée par l'Assemblée nationale le 12 juin 2018 (“Loi sur la Cybersécurité”);
- Loi N°86/2015/QH13 sur la Sécurité des Informations Réseau, adoptée par l'Assemblée nationale le 19 novembre 2015, modifiée par la Loi N°35/2018/QH14 datée du 20 novembre 2018, concernant les amendements à certains articles relatifs à la planification de 37 lois (“Loi sur la Sécurité des Informations Réseau”);
- Loi N°59/2010/QH12 sur la Protection des Droits des Consommateurs, adoptée par l'Assemblée nationale le 17 novembre 2010, modifiée par la Loi N°35/2018/QH14 datée du 20 novembre 2018, concernant les amendements à certains articles relatifs à la planification de 37 lois (“CRPL”);
- Loi N°67/2006/QH11 sur la Technologie de l'Information, adoptée par l'Assemblée nationale le 29 juin 2006, modifiée par la Loi N°21/2017/QH14 datée du 14 novembre 2017, concernant la planification (“Loi sur la Technologie de l'Information”);
- Loi N°51/2005/QH11 sur les Transactions Électroniques, adoptée par l'Assemblée nationale le 29 novembre 2005 (“Loi sur les Transactions Électroniques”);
- Décret N°85/2016/ND-CP daté du 1er juillet 2016, sur la sécurité des systèmes d'information par classification (“Décret 85”);
- Décret N°72/2013/ND-CP daté du 15 juillet 2013 du gouvernement, sur la gestion, la fourniture et l'utilisation des services Internet et des informations en ligne, modifié par le Décret N°27/2018/ND-CP daté du 1er mars 2018 et le Décret N°150/2018/ND-CP daté du 7 novembre 2018 (“Décret 72”);
- Décret N°52/2013/ND-CP daté du 16 mai 2013 du gouvernement, modifié par le Décret N°08/2018/ND-CP daté du 15 janvier 2018, sur les amendements à certains décrets relatifs aux conditions d'exploitation sous la gestion de l'État du ministère de l'Industrie et du Commerce et le Décret N°85/2021/ND-CP daté du 25 septembre 2021 (“Décret 52”);
- Décret No. 15/2020/ND-CP du gouvernement daté du 3 février 2020 sur les sanctions administratives en cas de violation des règlements sur les services postaux, les télécommunications, les fréquences radio, les technologies de l'information et les transactions électroniques (“Décret 15”);
- Circulaire N°03/2017/TT-BTTTT du Ministère de l'Information et des Communications datée du 24 avril 2017, fournissant des directives pour le Décret 85 (“Circulaire 03”);
- Circulaire N°20/2017/TT-BTTTT datée du 12 septembre 2017 du Ministère de l'Information et des Communications, prévoyant des réglementations sur la coordination et la réponse aux incidents de sécurité de l'information à l'échelle nationale (“Circulaire 20”);
- irculaire N°38/2016/TT-BTTTT datée du 26 décembre 2016 du Ministère de l'Information et des Communications, détaillant la fourniture transfrontalière d'informations publiques (“Circulaire 38”);
- Circulaire N°24/2015/TT-BTTTT datée du 18 août 2015 du Ministère de l'Information et des Communications, portant sur la gestion et l'utilisation des ressources Internet, modifiée par la Circulaire N°06/2019/TT-BTTTT datée du 19 juillet 2019 (“Circulaire 25”); et
- Décision N°05/2017/QD-TTg du Premier Ministre datée du 16 mars 2017 sur les plans d'intervention d'urgence visant à assurer la sécurité nationale de l'information cybernétique (“Décision 05” ).
L'applicabilité des documents juridiques dépendra du contexte factuel de chaque cas, par exemple, les entreprises des secteurs bancaire et financier, de l'éducation, de la santé peuvent être soumises à des réglementations spécialisées sur la protection des données, sans oublier les réglementations concernant les informations personnelles des employés telles que stipulées dans le Code du Travail 2019 (“Projet de Décret sur la Cybersécurité”).
Les documents juridiques vietnamiens les plus importants régissant la protection des données sont la Loi sur la Cybersécurité et la Loi sur la Sécurité des Informations Réseau. Comme les lois sur la cybersécurité dans d'autres juridictions qui ont été inspirées par le RGPD de l'UE, la Loi sur la Cybersécurité du Vietnam présente des similitudes avec la Loi sur la Cybersécurité de la Chine promulguée en 2017. La loi vise à donner au gouvernement la capacité de contrôler le flux d'informations. La Loi sur la Sécurité des Informations Réseau protège les droits de confidentialité des sujets de données individuelles.
Un projet de décret détaillant plusieurs articles de la Loi sur la Cybersécurité (“Projet de Décret sur la Cybersécurité”), ainsi qu'un projet de décret détaillant l'ordre et les procédures d'application de certaines mesures d'assurance de cybersécurité et un projet de décision du Premier Ministre promulguant une liste des systèmes d'information importants pour la sécurité nationale, sont en cours de préparation par le Ministère de la Sécurité Publique (MPS) en coordination avec d'autres ministères, agences ministérielles et organismes compétents.
Le MPS a rédigé un décret sur la protection des données personnelles (“DraftPDPD”), qui vise à consolider toutes les lois et réglementations sur la protection des données en une seule loi complète sur la protection des données, ainsi qu'à apporter des ajouts et des améliorations significatifs aux réglementations existantes. Le projet de loi sur la protection des données personnelles a été publié pour recueillir des commentaires publics en février 2021 et devait initialement entrer en vigueur en décembre 2021. Le processus de finalisation a pris beaucoup plus de temps que prévu par le MPS. Le projet de loi sur la protection des données personnelles pourrait être finalisé et entrer en vigueur fin 2022.
