Le monde est entré dans une nouvelle ère de vulnérabilité numérique, une ère où les fuites de données commencent souvent bien avant que quiconque ne se rende compte qu’une attaque est en cours. Selon le Fortinet Global Threat Landscape Report 2025, le nombre d’identifiants volés échangés sur le dark web a augmenté de 42 % en seulement un an. Cette tendance montre comment les cybercriminels ont évolué : au lieu de tenter de franchir des pare-feu robustes, ils exploitent des configurations faibles et des erreurs humaines l’équivalent numérique d’une porte laissée ouverte.
À mesure que les cyberattaques deviennent plus adaptatives et difficiles à détecter, les régulateurs mondiaux réagissent avec des exigences plus strictes. Parmi elles, le Règlement général sur la protection des données (RGPD), créé par l’Union européenne, continue de représenter la référence en matière de confidentialité et de responsabilité. Il a transformé la manière dont les organisations du monde entier collectent, stockent et protègent les données personnelles.
Aujourd’hui, le Vietnam franchit une étape majeure dans la même direction avec sa Loi sur la protection des données personnelles (PDPL), entrée en vigueur le 1er janvier 2026. Cela marque un tournant pour toutes les entreprises opérant au Vietnam ou traitant des données provenant du pays.
Pour les entreprises, la conformité ne consiste plus seulement à éviter les amendes elle devient une preuve de crédibilité. Elle exige une vigilance constante, une réponse rapide aux incidents et la capacité de démontrer un contrôle total sur chaque donnée personnelle.
Comprendre le RGPD et son importance
Entré en vigueur en mai 2018, le RGPD vise principalement à protéger les données personnelles des citoyens européens. Il a profondément transformé la manière dont les entreprises abordent la cybersécurité. Concrètement, il impose aux organisations d’adopter des outils et des processus adéquats pour protéger les données personnelles et d’assurer une amélioration continue de leurs dispositifs de sécurité.
Respecter le RGPD n’est pas un exercice ponctuel : c’est un engagement permanent. Les entreprises doivent évaluer régulièrement leurs risques, surveiller leurs systèmes et renforcer leurs contrôles au fil du temps. Une autre dimension clé du RGPD réside dans la gestion des incidents. Les organisations doivent non seulement protéger les données de manière proactive, mais également disposer de mécanismes efficaces pour réagir en cas de violation.
Les principes fondamentaux du RGPD
-
- Licéité : toute activité de traitement doit reposer sur une base légale claire (consentement, contrat, obligation légale ou intérêt légitime).
- Loyauté : les données doivent être traitées de manière équitable, sans tromper ni nuire à la personne concernée.
- Transparence : les individus doivent être informés de la finalité du traitement, de la durée de conservation et de leurs droits.
Les données ne peuvent être collectées que pour des objectifs précis et légitimes, et leur utilisation doit rester conforme à ces finalités.
Les données doivent être conservées uniquement le temps nécessaire à la réalisation de leur finalité.
Les données doivent être exactes et mises à jour ; toute donnée erronée doit être corrigée ou supprimée sans délai.
Les données doivent être protégées contre tout accès, perte ou altération non autorisés, selon le principe de « sécurité dès la conception ».
Le responsable du traitement des données est tenu de respecter les six principes mentionnés ci-dessus et doit être en mesure de démontrer cette conformité. Cela inclut :
-
- La documentation des activités de traitement des données
- La mise en œuvre de politiques de protection des données
- La formation du personnel à la confidentialité des données
- Évaluations des risques : Évaluer régulièrement les risques liés aux données personnelles et mettre en place des mesures pour les atténuer.
Mesures de sécurité recommandées par le RGPD
Pour assurer la conformité, les entreprises doivent mettre en œuvre des mesures techniques et organisationnelles appropriées :
-
- Chiffrement des données personnelles.
- Contrôles d’accès basés sur les rôles et responsabilités.
- Masquage des données sensibles pour limiter l’exposition.
- Audits réguliers pour vérifier la conformité.
- Notification des violations dans les 72 heures aux autorités et aux personnes concernées.
Les conséquences réelles de la non-conformité
Des géants de la technologie aux petites entreprises, les sanctions imposées par le RGPD ont atteint des niveaux records.
Le message est clair : la négligence en matière de données ne détruit pas seulement les finances elle détruit la confiance, la réputation et la crédibilité à long terme.
Cadre juridique pour la loi sur la protection des données personnelles au Vietnam
À partir du 1er janvier 2026, le Vietnam appliquera officiellement la Loi sur la protection des données personnelles (Loi n° 91/2025/QH15), remplaçant le Décret n° 13/2023/NĐ-CP. Il s’agit du premier texte juridique complet du pays consacré à la protection des données personnelles.
Ce qui est particulièrement notable, c’est que, contrairement à l’approche neutre en matière de technologie adoptée par le RGPD et d’autres cadres internationaux, la PDPL introduit des dispositions spécifiques à certains secteurs – probablement pour faciliter la conformité dans les industries fortement consommatrices de données. Cette approche est logique dans le contexte vietnamien, où la protection de la vie privée reste un concept relativement nouveau et où de nombreux secteurs ont exprimé leurs préoccupations quant aux difficultés d’application du Décret 13 à leurs pratiques opérationnelles spécifiques.
La nouvelle loi représente une avancée majeure pour la protection des droits à la vie privée des individus et s’aligne étroitement sur les normes internationales. Elle introduit des définitions plus claires, des mécanismes d’application renforcés et une portée élargie, incluant les entités étrangères qui traitent les données des citoyens vietnamiens.
Un développement clé est l’introduction d’exemptions pour les PME, reflétant un changement plus pragmatique par rapport à l’application uniforme et large du Décret 13. L’obligation de notification en cas de violation de données a également été restreinte aux cas impliquant des dommages graves. Il est important de noter que la loi exempte les entités déjà soumises à l’évaluation d’impact sur le traitement des données personnelles et à l’évaluation d’impact sur le transfert transfrontalier de données en vertu de la PDPL des obligations redondantes prévues par la Loi sur les données une autre réglementation supervisée par le Ministère de la Sécurité Publique. Cette exemption démontre la réactivité du gouvernement aux retours des entreprises et son effort pour réduire les charges administratives.
Malgré ces flexibilités, la PDPL adopte une posture globalement plus stricte.
Éléments clés :
-
- Le consentement reste la base légale principale pour le traitement et est mis en avant dans les activités sectorielles et à haut risque.
- Le traitement fondé sur d’autres bases légales doit être soumis à des mécanismes de contrôle.
- Le traitement basé sur « l’intérêt légitime » n’est pas autorisé dans le cadre actuel.
- La vente de données personnelles est strictement interdite, avec des sanctions pouvant atteindre 10 fois le revenu généré par cette activité.
- Règles sectorielles : couvrent des domaines tels que l’emploi, l’intelligence artificielle (IA) et les données biométriques.
- Exemptions pour les PME : les petites et moyennes entreprises peuvent bénéficier d’un délai de grâce allant jusqu’à 5 ans pour des exigences telles que les analyses d’impact et la nomination d’un DPO (Data Protection Officer).
- Notification au MPS dans les 72 heures lorsque la violation cause un préjudice réel ou un risque élevé pour les droits des individus ou la sécurité nationale.
- Application axée sur la sécurité : la loi est appliquée par le Ministère de la Sécurité Publique (MPS), avec une forte priorité sur la sécurité nationale plutôt que sur la simple confidentialité.
- Portée extraterritoriale : s’applique aux entités étrangères traitant les données de citoyens vietnamiens ou de personnes d’origine vietnamienne, quel que soit le lieu du traitement.
- Analyses d’impact obligatoires : requises pour toutes les activités de traitement et les transferts transfrontaliers de données, et doivent être soumises au MPS dans les 60 jours.
- Sanctions : les amendes peuvent atteindre 5 % du chiffre d’affaires de l’année précédente pour les violations transfrontalières, ou 3 milliards VND (~120 000 USD) pour la non-conformité générale.
- Le RGPD met l’accent sur la responsabilité et la transparence dans un cadre réglementaire structuré à travers l’UE.
- La PDPL se concentre davantage sur la souveraineté des données nationales et la sécurité, avec un pouvoir d’application renforcé par le Ministère de la Sécurité Publique.
Mesures de cybersécurité essentielles pour la conformité
-
- Identifier les types de données personnelles que l’entreprise collecte, stocke et traite.
- Classer les données en fonction de leur niveau de sensibilité et déterminer leur finalité d’utilisation.
-
- Mettre en place et appliquer des politiques de confidentialité claires et transparentes afin de garantir la protection de la vie privée des utilisateurs.
- Veiller à ce que les employés comprennent et respectent ces politiques.
- Organiser des formations sur le RGPD et la PDPL pour renforcer la sensibilisation et la compréhension du traitement des données personnelles.
-
- Fournir des informations complètes et claires à l’utilisateur avant de collecter des données.
- Veiller à obtenir un consentement explicite et conserver la preuve de ce consentement.
Mettre en place un système de prévention des pertes de données (DLP) pour contrôler et bloquer automatiquement les actions risquées concernant les données sensibles, notamment :
-
- Bloquer la copie : Interdire la copie des informations clients, des dossiers RH et des données financières vers des clés USB, des e-mails personnels ou des plateformes non autorisées (uniquement les outils approuvés pour le travail).
- Bloquer le partage : Interdire l’envoi de fichiers contenant des données biométriques, des numéros d’identification ou des coordonnées bancaires via Zalo, Messenger ou des e-mails non chiffrés.
- Empêcher les fuites externes : Détecter et bloquer le téléchargement de données vers des sites inconnus, des clouds publics (Dropbox, WeTransfer) ou le vol par logiciel malveillant.
Chiffrement des données
-
- Chiffrement des données au repos : Disques durs, bases de données et fichiers stockés (ex. : numéros de téléphone des clients, numéros d’identification, informations bancaires doivent être illisibles sans clé de déchiffrement).
- Chiffrement des données en transit : Sécuriser les sites web, les e-mails et les API. Utiliser un VPN pour l’accès à distance des employés.
Contrôle d’accès
-
- Contrôle d’accès basé sur les rôles (RBAC) :
- Service RH → accès uniquement aux dossiers des employés.
- Service financier → accès uniquement aux données de paiement.
- Personne ne doit avoir un accès complet au système.
- Authentification multifacteur (MFA) : Mot de passe + OTP ou empreinte digitale pour les systèmes contenant des données sensibles.
- Principe du moindre privilège : Accorder uniquement les droits nécessaires pour le travail et les révoquer automatiquement lorsqu’ils ne sont plus requis.
- Contrôle d’accès basé sur les rôles (RBAC) :
Surveillance 24h/24 et 7j/7 de tous les appareils connectés au réseau de l’entreprise, avec les fonctionnalités suivantes :
-
- Détection instantanée : Identifier les comportements anormaux tels que :
- Ransomware chiffrant les données.
- Comptes compromis se connectant depuis l’étranger.
- Logiciels inconnus accédant à la base de données clients.
- Isolement automatique : Lorsqu’une menace est détectée, le système déconnecte immédiatement l’appareil du réseau, bloque l’accès aux données et envoie une alerte à l’équipe informatique.
- Prévention de la propagation : Éviter qu’un seul appareil piraté n’infecte l’ensemble du système et respecter l’exigence de réponse aux incidents sous 72 heures.
- Détection instantanée : Identifier les comportements anormaux tels que :
Élaborer un plan de réponse aux incidents avec des règles spécifiques concernant :
-
- Rôles et responsabilités : Qui détecte l’incident ? Qui prend les décisions ? Qui informe le MPS (Ministère de la Sécurité Publique) ou les clients ?
- Délais de traitement : Détection → isolement en 1 heure ; rapport interne en 4 heures ; notification au MPS sous 72 heures (en cas de dommages graves).
- Flux d’information transparent : Qui doit être informé ? Quels canaux utiliser (email interne, système de tickets, réunion d’urgence) ?
Garantir la prévention de la propagation des violations et le respect des exigences légales.
Mettre en place un système d’enregistrement et de surveillance des accès :
-
- Journalisation détaillée : Enregistrer qui (nom du compte), quelles données ont été consultées (fichiers clients, dossiers RH…), quand (heure exacte) et comment (depuis un appareil interne, VPN, cloud ?).
- Détection automatique des anomalies : Exemple : Un employé administratif télécharge 10 000 dossiers clients à 2h du matin → alerte immédiate.
- Prévenir la fuite avant qu’elle ne se produise : Verrouiller automatiquement le compte, isoler l’appareil ou bloquer le téléchargement.
→ Objectif : Respecter le principe de « sécurité » (PDPL Article 21, RGPD Article 32) et détecter rapidement les menaces internes/externes.
Autrefois, la conformité visait principalement à éviter les sanctions. Aujourd’hui, il s’agit de démontrer la crédibilité et le contrôle.
Les clients, partenaires et régulateurs s’attendent à ce que les entreprises prouvent leur capacité à protéger les données, à répondre aux incidents et à maintenir la transparence.
Le RGPD et la PDPL reposent sur les mêmes principes fondamentaux :
-
- Transparence – Les individus doivent savoir comment leurs données sont collectées et utilisées.
- Consentement – Les données personnelles ne peuvent être traitées sans autorisation claire.
- Responsabilité – Les entreprises doivent protéger, gérer et supprimer les données de manière responsable.
- Responsabilisation – Les organisations doivent prouver qu’elles disposent des systèmes et de la gouvernance nécessaires pour sécuriser les données.
En résumé, la conformité n’est plus un projet ponctuel — c’est un engagement continu qui doit être intégré à chaque couche de votre stratégie de cybersécurité.
Les entreprises qui démontrent une gouvernance solide des données obtiennent un avantage concurrentiel, attirent davantage de clients et renforcent leur résilience face aux risques cyber croissants.
Laissez-nous vous aider à protéger vos données et à rester conforme et sécurisé
Chez ITM, nous aidons les organisations à instaurer la confiance grâce à des pratiques robustes de protection des données et de cybersécurité. Nos programmes de conformité et de protection des données transforment des réglementations complexes comme le RGPD et la PDPL vietnamienne en stratégies claires et actionnables, adaptées à votre entreprise.
Nous vous aidons à :
-
- Identifier les risques tôt grâce à une surveillance en temps réel.
- Détecter et contenir les fuites de données avant qu’elles ne deviennent des violations réglementaires.
- Renforcer la gouvernance des données avec des processus transparents et prêts pour l’audit.
- Former vos équipes à gérer les informations sensibles en toute sécurité et avec confiance.
- Construire une résilience à long terme grâce à une sensibilisation continue et des mesures de sécurité proactives.
Protéger les données personnelles, ce n’est pas seulement respecter les règles – c’est protéger la confiance.
Collaborez avec ITM pour rendre votre organisation plus sûre, plus intelligente et prête pour l’avenir numérique.
