La Banque d'État est en train de finaliser le projet de décret modifiant et complétant un certain nombre d'articles du décret n° 58/2021/ND-CP sur les activités de fourniture de services d'information sur le crédit.
L'un des contenus notables est que le projet ajoute une exigence pour les sociétés d'information sur le crédit d'avoir des réglementations internes sur la protection des données personnelles dans les activités de fourniture de services d'information sur le crédit.
Les informations de crédit peuvent être comprises comme des données relatives à l'historique des emprunts bancaires, à la capacité de remboursement, à l'état de crédit du client. Il s'agit d'un groupe de données importants dans le processus d'évaluation des dossiers de prêt par les établissements de crédit, d'examen de l'octroi de crédit ou de gestion des risques.
Selon le contenu du projet, les réglementations internes des sociétés d'information et de crédit doivent inclure au minimum les contenus relatifs à l'évaluation de l'impact du traitement des données personnelles, à la mise à jour des dossiers d'évaluation de l'impact du traitement des données personnelles et des dossiers d'évaluation de l'impact du transfert transfrontalier de données personnelles, le cas échéant. Les entreprises doivent également avoir des informations sur les notifications de violation des réglementations de protection des données personnelles.
Dans le rapport de synthèse des avis, le ministère des Affaires étrangères a demandé de clarifier les bases de cette réglementation. La Banque d'État explique que l'ajout de réglementations internes sur la protection des données personnelles vise à garantir le respect et la conformité avec la loi sur la protection des données personnelles, le décret n° 356/2025/ND-CP et les documents connexes.
Selon la Banque d'État, outre le contenu relatif à la demande de retrait du consentement du client emprunteur, la société d'information sur le crédit doit également se conformer à d'autres contenus liés aux données personnelles conformément aux dispositions légales sur la protection des données personnelles.
Outre les exigences relatives aux données personnelles, le ministère de la Sécurité publique a également suggéré d'ajuster les réglementations sur les plans de sécurité. Plus précisément, cet organisme a proposé de réglementer dans le sens où les sociétés d'information et de crédit doivent avoir des plans pour assurer la cybersécurité des systèmes d'information, des plans de réponse et de correction des incidents de cybersécurité et des plans de prévention des catastrophes.
L'organisme de rédaction a déclaré avoir pris en compte et modifié le contenu connexe du projet de décret.