La structure du droit vietnamien de protection des données en 2026

Le régime vietnamien repose désormais sur une double couche : le PDPD de 2023 et le PDPL de 2026. Les deux sont en vigueur, et les éditeurs doivent comprendre quelle couche régit quelle obligation.

Le PDPD — décret 13/2023/ND-CP

Le décret a introduit la première définition complète des données personnelles au Vietnam, un catalogue des droits des personnes concernées, des exigences en matière de consentement, des règles sur les transferts transfrontaliers de données et l'obligation fondamentale d'analyse d'impact sur le traitement des données personnelles (DPIA). Il reste en vigueur et continue de régir les modalités opérationnelles.

Le PDPL — en vigueur depuis 2026

Le PDPL élève le cadre au rang de législation primaire, avec des sanctions plus élevées et un champ d'application plus large. Il renforce le modèle centré sur le consentement, consolide les droits des personnes concernées et étend les pouvoirs d'application du ministère de la Sécurité publique (MPS), qui reste le principal régulateur. Le PDPL introduit également des règles plus claires sur les données personnelles sensibles, la prise de décision automatisée et le traitement des données des mineurs.

Qui est concerné

La loi s'applique à tout traitement de données personnelles vietnamiennes, quel que soit le lieu d'établissement du responsable du traitement. Un éditeur établi aux États-Unis qui sert des utilisateurs vietnamiens via un site localisé, ou un acheteur programmatique enchérissant sur un inventaire vietnamien, est dans le champ d'application. Cette portée extraterritoriale reflète le schéma du GDPR et constitue l'un des éléments les plus ambitieux du cadre vietnamien.

Ce qui constitue des données personnelles

La définition vietnamienne des données personnelles est large et suit étroitement le standard international. Les données personnelles désignent toute information permettant d'identifier ou susceptible d'identifier une personne physique déterminée, et se divisent en deux catégories qui revêtent une importance particulière pour le consentement aux cookies.

Données personnelles ordinaires

Les données personnelles ordinaires comprennent le nom, la date de naissance, les numéros d'identification, les coordonnées, les identifiants d'appareils, les adresses IP et les données d'activité en ligne. La plupart des données collectées via des cookies entrent dans cette catégorie, notamment les identifiants publicitaires, les identifiants de session et les profils comportementaux établis à partir de l'historique de navigation.

Données personnelles sensibles

Les données personnelles sensibles comprennent les opinions politiques et religieuses, les données de santé, les données génétiques, les données biométriques, l'orientation sexuelle, les antécédents judiciaires, les données financières et — point crucial — les données de localisation susceptibles d'identifier un individu spécifique. Les données sensibles déclenchent les exigences de consentement les plus strictes, incluant un consentement spécifique, distinct et, dans certains cas, écrit ou vérifiable par voie électronique.

Pourquoi cela importe pour les cookies

Un cookie qui ne collecte qu'un simple identifiant de session constitue des données personnelles ordinaires. Un cookie alimentant une audience publicitaire géolocalisée — courant dans les campagnes de reciblage et de ciblage géographique — touche probablement des données personnelles sensibles dès lors que la localisation devient identifiante. La configuration du CMP doit distinguer ces finalités.

Le consentement aux cookies en droit vietnamien

Le Vietnam applique le modèle de consentement opt-in. Il n'existe pas de mécanisme de repli de type information-et-choix pour les cookies collectant des données personnelles, et le niveau requis pour un consentement valide est comparable au standard GDPR.

Les quatre conditions de validité du consentement

En droit vietnamien, le consentement doit être :

• Spécifique — rattaché à une finalité de traitement clairement identifiée, non à un consentement général fourre-tout
• Éclairé — la personne concernée comprend quelles données sont traitées, pourquoi, qui les reçoit et pendant combien de temps
• Libre — pas de cases pré-cochées, pas de murs du type « consentez ou partez » pour les traitements non essentiels
• Exprès et révocable — l'utilisateur peut donner et retirer son consentement par un mécanisme clair

À quoi ressemble un CMP conforme

Un CMP configuré pour le trafic vietnamien en 2026 doit présenter :

• Une bannière visible avant le déclenchement de tout cookie ou traceur non essentiel, en vietnamien (Tiếng Việt) par défaut pour les utilisateurs vietnamiens
• Des actions Accepter, Refuser et Personnaliser distinctes, avec une visibilité visuelle équivalente — sans recourir à des pratiques trompeuses
• Des contrôles granulaires couvrant au minimum les finalités suivantes : analytics, publicité, personnalisation, transfert transfrontalier et tout traitement de données sensibles tel que la localisation précise
• Un mécanisme permanent et facilement accessible pour modifier ou retirer le consentement après le choix initial
• Une politique de confidentialité en vietnamien indiquant clairement les sous-traitants, les catégories de données, les durées de conservation et les droits des utilisateurs

Les registres de consentements

Les responsables du traitement doivent tenir des registres des consentements — qui a consenti, quand, à quoi, par quelle interface. Des actions d'application au Vietnam ont déjà mentionné des journaux de consentement manquants ou invérifiables, et le PDPL formalise cette obligation. Un CMP qui ne produit pas de journaux de consentement exportables et horodatés n'est pas conforme.

Les transferts transfrontaliers de données — la partie la plus difficile

Le régime vietnamien des transferts transfrontaliers est l'un des plus exigeants de la région et constitue l'élément avec lequel la plupart des éditeurs étrangers ont le plus de difficultés.

L'analyse d'impact sur les transferts

Avant de transférer des données personnelles vietnamiennes à l'étranger — ce qui comprend l'envoi d'identifiants dérivés de cookies à une place de marché publicitaire ou à un fournisseur d'analytics étrangers —, le responsable du traitement doit établir une analyse d'impact sur les transferts. Cette analyse doit documenter la finalité, les catégories de données, le pays et le destinataire, les garanties techniques et organisationnelles ainsi que la base juridique du transfert.

La déclaration auprès du MPS

L'analyse doit être déposée auprès du ministère de la Sécurité publique dans les 60 jours suivant le début du traitement. Le MPS a le pouvoir de suspendre les transferts transfrontaliers si l'analyse est insuffisante ou si la juridiction de destination est jugée inadéquate.

Implications pratiques pour les éditeurs

Un ad stack programmatique classique route les données des utilisateurs via des dizaines de prestataires étrangers en quelques millisecondes. Chacun de ces flux constitue, au sens strict, un transfert transfrontalier de données personnelles vietnamiennes. La réalité de 2026 est que la plupart des éditeurs étrangers déposent soit des analyses consolidées couvrant l'ensemble de leur liste de prestataires, soit réduisent leur liste de prestataires pour limiter la charge d'analyse. Ni l'un ni l'autre n'est anodin, et le MPS a signalé qu'il intensifierait son application aux flux transfrontaliers en 2026.

Les droits des personnes concernées

Le PDPL consolide et renforce les droits reconnus par le décret. Les personnes concernées vietnamiennes ont le droit :

• D'être informées du traitement de leurs données
• D'accéder aux données traitées
• De rectifier des données inexactes
• D'effacer des données lorsque le traitement n'est plus justifié
• De limiter le traitement dans des circonstances définies
• De retirer leur consentement aussi facilement qu'il a été donné
• De s'opposer à une prise de décision automatisée produisant des effets significatifs
• D'introduire une réclamation auprès du ministère de la Sécurité publique

Les délais de réponse

Les responsables du traitement doivent répondre aux demandes des personnes concernées dans un délai de 72 heures dans la plupart des cas — une fenêtre sensiblement plus serrée que le délai de 30 jours du GDPR. La préparation opérationnelle à ce délai constitue l'une des lacunes de conformité les plus fréquentes pour les éditeurs étrangers et nécessite des outils et des procédures plus réactifs que ce qui est généralement en place dans d'autres régions.

Les règles spécifiques aux mineurs

Le PDPL introduit des protections dédiées au traitement des données personnelles des mineurs. Le consentement au traitement des données d'une personne de moins de 15 ans doit être donné par un parent ou un tuteur légal. Le traitement des données des personnes âgées de 15 à 18 ans requiert le consentement du mineur lui-même, mais avec des obligations renforcées de transparence et de prudence. Les interfaces de consentement aux cookies sur les sites attirant un public significativement composé de moins de 18 ans nécessitent des parcours adaptés à l'âge, que peu d'éditeurs étrangers ont mis en place par défaut.

Sanctions et application

Le PDPL relève significativement le plafond des amendes administratives. Les sanctions comprennent :

• Des amendes pouvant atteindre 5 % du chiffre d'affaires annuel mondial pour les violations graves impliquant des données personnelles sensibles ou des défaillances systémiques
• La suspension des activités de traitement
• L'arrêt obligatoire des transferts transfrontaliers
• La divulgation publique de la violation
• Une responsabilité pénale pour les cas les plus graves, notamment la vente illégale de données personnelles

Tendance en matière d'application

Le MPS s'est montré relativement discret en 2023 et au début 2024, le temps que le décret se mette en place, mais l'application s'est accélérée tout au long de 2025 et en 2026. Des éditeurs étrangers ont été mis en cause dans plusieurs procédures rendues publiques, presque toujours pour l'un des trois motifs suivants : consentement absent ou insuffisant, analyses de transferts transfrontaliers non déposées, ou incapacité à répondre aux demandes des personnes concernées dans la fenêtre de 72 heures.

Liste de contrôle pour le trafic vietnamien en 2026

• La bannière du CMP est diffusée en vietnamien pour les utilisateurs vietnamiens, avec Accepter, Refuser et Personnaliser à visibilité équivalente
• Les finalités de consentement sont granulaires et distinguent les traitements sensibles tels que la localisation précise
• Les journaux de consentement sont horodatés, exportables et conservés pendant la durée du traitement plus une marge vérifiable
• La politique de confidentialité est disponible en vietnamien avec une divulgation complète des sous-traitants, des durées de conservation et des droits
• L'analyse d'impact sur les transferts est déposée auprès du MPS pour chaque flux transfrontalier en cours
• Le processus de traitement des demandes des personnes concernées permet de répondre de bout en bout en 72 heures
• Un parcours de consentement adapté à l'âge est en place pour les audiences incluant des mineurs
• La liste des prestataires a été examinée au regard de la nécessité, les prestataires inutilisés ou redondants ayant été supprimés pour réduire la surface transfrontalière

Perspectives pour 2026

La trajectoire réglementaire du Vietnam est claire. Le PDPD a établi le cadre. Le PDPL le renforce. L'application s'étend. Pour les éditeurs et les annonceurs qui ont traité le Vietnam comme un marché moins exigeant, 2026 est l'année où cette approche devient coûteuse. La bonne nouvelle est qu'une pile de consentement GDPR moderne et robuste couvre l'essentiel des besoins — les lacunes sont généralement la fenêtre de réponse de 72 heures, les dépôts d'analyse d'impact sur les transferts et la localisation en vietnamien du CMP et de la politique de confidentialité. Ces lacunes sont opérationnelles, non architecturales, et peuvent être comblées en semaines plutôt qu'en trimestres. Les éditeurs qui les corrigent avant que le MPS ne se présente à leur porte ne remarqueront pas la transition. Ceux qui attendent, si.