Le Vietnam accélère ses efforts pour devenir une puissance technologique régionale, avec des investissements stratégiques dans intelligence artificielle et semi-conducteurs soulignant cette ambition. Les responsables gouvernementaux ont souligné que les technologies sont deux moteurs de l’innovation et de la compétitivité mondiale, visant à développer les talents et à construire des centres de fabrication intelligents.
Pour atteindre cet objectif, le pays a adopté un cadre fondé sur des principes dans le cadre de la loi sur l’industrie des technologies numériques à la mi-2025 et, en moins de trois mois, a accéléré un projet de loi sur l’intelligence artificielle pour remplacer ce cadre.
Adopté le 10 décembre 2025 et entré en vigueur le 1er mars 2026, le premier projet autonome du Vietnam Loi sur l’IA positionne le pays parmi les premiers adoptants de la région, en mettant l’accent sur une position pro-innovation qui équilibre la croissance avec des garanties. Manifestation claire de l’effet Bruxelles, la loi se concentre sur une gestion basée sur les risques avec une classification des risques et des concepts similaires à ceux de la loi européenne sur l’IA.
Il remplace notamment entièrement les nouvelles dispositions sur l’IA de la loi sur l’industrie des technologies numériques, entrée en vigueur le 1er janvier 2026, consolidant la surveillance dans un cadre unifié pour rationaliser la conformité.
Principes fondamentaux
Les principes fondamentaux de la loi sur l’IA, énoncés à l’article 4, donnent la priorité à une IA centrée sur l’humain qui protège les droits de l’homme, la vie privée, les intérêts nationaux et la sécurité tout en garantissant le respect de la Constitution et des lois du Vietnam.
Les principes clés incluent le maintien du contrôle humain sur les décisions en matière d’IA, la promotion de l’équité, de la transparence, de l’impartialité et de la responsabilité, ainsi que l’alignement sur les normes éthiques et les valeurs culturelles du pays. La loi encourage également le développement d’une IA verte, inclusive et durable, en mettant l’accent sur l’efficacité énergétique et la protection de l’environnement. Cette approche reflète l’accent mis par l’EU AI Act sur une IA digne de confiance, en particulier dans la conception et la transparence centrées sur l’humain.
Actes interdits
L’article 7 de la loi sur l’IA établit une liste d’activités illégales liées à l’IA, interdisant l’exploitation de l’IA à des fins illégales, notamment la violation de droits, la simulation de personnes ou d’événements réels pour tromper ou manipuler les perceptions, l’exploitation de groupes vulnérables ou la diffusion de faux matériels nuisibles qui menacent la sécurité nationale ou l’ordre public. Il interdit également le traitement illégal des données en violation des lois sur la protection des données, la propriété intellectuelle ou la cybersécurité, ainsi que l’obstruction de la surveillance humaine ou la dissimulation des divulgations obligatoires.
Ces interdictions servent de norme de base pour toutes les activités, quelle que soit l’étape du cycle de vie de l’IA ou la classification des risques du système.
À l’instar des interdictions de l’IA Act de l’UE sur l’IA manipulatrice ou la notation sociale, les interdictions du Vietnam ciblent les pratiques nuisibles inacceptables, mais manquent des catégories détaillées de l’UE comme le grattage non ciblé du visage. Cette ampleur intentionnelle des interdictions contenues dans les lois vietnamiennes confère aux autorités locales des pouvoirs d’application étendus, permettant une interprétation et une application flexibles sur toute la ligne.
Classification et gouvernance basées sur les risques
Les systèmes d’IA sont classés en : à haut risque – risque potentiel de préjudice important à la vie, à la santé, aux droits ou à la sécurité nationale ; risque moyen – risque de confusion des utilisateurs en raison d’interactions d’IA non divulguées ou de contenu généré ; et à faible risque – tous les autres.
Les critères de classification de l’article 9 incluent l’impact sur les droits et la sécurité, le champ d’application des utilisateurs, l’ampleur de l’influence et les domaines d’application, tels que les secteurs essentiels comme les soins de santé. Ces critères feront l’objet d’une élaboration plus approfondie par le gouvernement. Contrairement aux annexes exhaustives à haut risque de l’UE, le Vietnam confie les listes détaillées au Premier ministre, permettant potentiellement une adaptation plus rapide aux risques émergents.
Les fournisseurs doivent auto-classer leur système d’IA avant de le mettre en service et informer le ministère de la Science et de la Technologie pour les systèmes à risque moyen ou élevé via le portail national unique d’IA, et coordonner la reclassification si les modifications entraînent des risques nouveaux ou plus élevés. Le système vietnamien promeut une gouvernance proportionnée en autorisant les divulgations volontaires à faible risque.
Responsabilité axée sur les rôles
L’article 3 de la loi définit les rôles tout au long de la chaîne d’approvisionnement de l’IA : développeurs – conception et formation ; prestataires — placement sur le marché ; déployeurs — usage professionnel ; utilisateurs — interaction directe ; et les personnes affectées – les parties concernées.
Cette chaîne de responsabilité est parallèle aux distinctions fournisseur-déployeur de la loi européenne sur l’IA, mais s’écarte légèrement des normes internationales en isolant les rôles de recherche et de développement, exemptant ainsi les efforts non marchands visant à encourager l’innovation.
Dans l’ensemble de la loi, le fournisseur et le déployeur assument la plupart des obligations tandis que le développeur n’est soumis qu’à certaines exigences générales de réponse aux incidents.
Réponse aux incidents d’IA
En vertu de l’article 12, toutes les parties prenantes partagent la responsabilité du maintien de la sûreté, de la sécurité et de la fiabilité du système, y compris la détection proactive et la réparation des dommages potentiels aux individus, aux biens, aux données ou à l’ordre social.
En cas d’incident grave – défini comme un événement causant ou risquant de causer des dommages importants à la vie, à la santé, aux droits, à la propriété, à la cybersécurité ou aux systèmes critiques – les développeurs et les fournisseurs doivent mettre en œuvre de toute urgence des correctifs techniques, suspendre les opérations ou retirer le système tout en en informant les autorités de l’État. La loi reste toutefois muette sur les délais exacts, ce qui pourrait compliquer les protocoles de réponse rapide.
Les déployeurs et les utilisateurs, quant à eux, sont tenus de consigner les incidents, de les signaler rapidement et de collaborer aux efforts de remédiation.
Tous les processus de signalement et de résolution des incidents doivent passer par le portail centralisé d’IA, un mécanisme destiné à l’efficacité mais dont les détails opérationnels, y compris les formats de soumission des données et les protocoles d’accès, attendent des éclaircissements supplémentaires via un décret directeur du gouvernement.
Responsabilités de transparence
Les fournisseurs et les déployeurs doivent respecter les obligations de transparence en vertu de l’article 11 tout au long du cycle de vie des systèmes, produits ou contenus d’IA fournis aux utilisateurs.
Pour les fournisseurs, les systèmes d’IA conçus pour une interaction humaine directe doivent permettre une reconnaissance claire de la nature artificielle, et le contenu audio, image ou vidéo généré nécessite des marquages lisibles par machine.
Pour les déployeurs, des notifications claires sont requises lorsqu’ils fournissent au public du texte, de l’audio, des images ou des vidéos créés ou édités par l’IA s’ils risquent d’induire en erreur sur des événements ou des personnages réels, et un étiquetage spécifique et facilement discernable doit être appliqué au contenu simulé imitant des personnes, des voix ou des événements réels. Ceux qui opèrent dans les industries du divertissement ou de la création doivent veiller à ce que l’étiquetage des œuvres cinématographiques, artistiques ou créatives soit approprié pour ne pas entraver la visualisation ou la jouissance.
Le gouvernement précisera des formats détaillés pour les notifications et les étiquettes afin de normaliser ces mesures de transparence dans toutes les applications.
Gestion des systèmes d’IA à haut risque
Des audits périodiques et une surveillance post-commercialisation s’appliquent aux systèmes à haut risque, avec une surveillance accrue dans les secteurs critiques comme les soins de santé et l’éducation.
Les systèmes à haut risque nécessitent des mesures de conformité rigoureuses, notamment des évaluations des risques, une surveillance humaine, un enregistrement dans une base de données nationale et un reporting des incidents. S’inspirant des exigences préalables à la commercialisation de la loi européenne sur l’IA, la loi vietnamienne introduit une approche par étapes avec une certification de conformité obligatoire pour certains systèmes figurant sur une liste émise par le Premier ministre. Pour d’autres systèmes à haut risque, les prestataires peuvent opter pour l’auto-évaluation ou embaucher des organisations enregistrées, ce qui s’écarte de l’implication plus uniforme des tiers dans l’UE, allégeant potentiellement les charges administratives.
Notamment, les fournisseurs étrangers de systèmes d’IA à haut risque au Vietnam doivent établir un point de contact local, transmettant ceux qui nécessitent une certification de conformité avant utilisation à une présence commerciale ou à un représentant autorisé.
La loi renvoie encore une fois les exigences et les précisions supplémentaires sur le point de contact local et la présence commerciale au décret directeur du gouvernement.
Gestion des systèmes à risque moyen et faible
Les systèmes à risque moyen sont supervisés au moyen de rapports, d’audits par sondage ou d’évaluations effectués par des organismes indépendants, tandis que les systèmes à faible risque sont surveillés et audités en cas d’incidents, de plaintes ou lorsque cela est nécessaire pour garantir la sécurité, sans imposer d’obligations indues.
Les fournisseurs d’IA à risque moyen assument des obligations de responsabilité, détaillant les objectifs du système, les principes opérationnels, les entrées clés et les mesures de sécurité à la demande de l’agence lors d’audits ou de signaux de risque d’incident, mais la disposition protège explicitement le code source, les algorithmes et les secrets commerciaux de toute divulgation.
Les déployeurs sont confrontés à une responsabilité similaire pour les opérations, les contrôles des risques et les réponses aux incidents dans des scénarios de risque moyen, déclenchés par des inspections ou des dommages, mais la formulation vague de la loi sur la « protection des droits légitimes » risque d’être appliquée de manière incohérente sans seuils définis.
Les systèmes à faible risque sont soumis à des obligations minimales, avec un encouragement aux normes volontaires, à l’autoréglementation et aux divulgations de base pour instaurer la confiance.
Traitement des violations et responsabilité pour réparer les dommages
L’article 29 de la loi sur l’IA établit un fondement général pour la responsabilité et l’application des règles en cas de non-conformité, y compris des sanctions administratives, une responsabilité pénale potentielle et des dommages-intérêts civils.
Contrairement à la loi vietnamienne sur la protection des données personnelles, qui fixe des plafonds d’amendes spécifiques, la loi sur l’IA ne prévoit aucun cadre pour les sanctions administratives, s’en remettant entièrement à un décret gouvernemental pour les détails.
Contrairement aux amendes prévues par la loi européenne sur l’IA, qui peuvent atteindre 6 % du chiffre d’affaires mondial, le cadre vietnamien se concentre sur la proportionnalité sans plafond, ce qui pourrait conduire à des risques financiers plus faibles mais à des recours civils plus larges. Il met l’accent sur l’attribution basée sur la faute, contrastant avec les éléments sans faute plus stricts de l’UE dans certaines propositions de responsabilité.
En particulier, pour les systèmes à haut risque, les déployeurs doivent d’abord indemniser la victime et peuvent demander un remboursement au développeur et/ou au fournisseur conformément aux accords. Des exemptions s’appliquent en cas de faute de la victime ou de force majeure. Les intrusions de tiers ou le détournement du système entraîneront une responsabilité solidaire si les fournisseurs/déployeurs sont en faute.
Politiques incitatives
Pour stimuler l’innovation, la loi offre un soutien tel que le Fonds national de développement de l’IA pour les subventions de recherche et de développement, des bacs à sable réglementaires avec des procédures et des exemptions simplifiées, et des clusters d’IA dans les parcs de haute technologie avec des allégements fiscaux et des avantages en matière d’infrastructure. Les entreprises partageant des données ou des modèles reçoivent également des préférences.
Contrairement à l’harmonisation axée sur les règles et sans financement direct de la loi européenne sur l’IA, les incitations de la loi démontrent clairement l’objectif principal du pays qui est d’attirer les investissements dans un contexte de concurrence mondiale en matière d’IA.
Délais de grâce pour les systèmes d’IA préexistants
Des dispositions transitoires accordent des délais de grâce pour les systèmes d’IA mis sur le marché avant la date d’entrée en vigueur de la loi le 1er mars : 18 mois, jusqu’au 1er septembre 2027, pour ceux des secteurs de la santé, de l’éducation et de la finance ; et 12 mois, jusqu’au 1er mars 2027, pour les autres. Les systèmes peuvent fonctionner pendant cette période à moins qu’ils ne soient considérés comme présentant un risque de causer des dommages graves, auquel cas les autorités locales peuvent ordonner la suspension ou l’arrêt des opérations.
Ce déploiement progressif va au-delà des transitions de la loi européenne sur l’IA, où les interdictions s’appliquent à partir du 2 février 2025, l’IA à usage général et les sanctions à partir du 2 août 2025, et les systèmes à haut risque en général à partir du 2 août 2026, avec des modèles de pré-commercialisation devant être conformes d’ici le 2 août 2027.
Les délais coïncident en partie, la date d’entrée en vigueur du Vietnam faisant suite aux demandes initiales de l’UE, mais s’alignant sur la pleine conformité des systèmes existants vers la mi-2027, facilitant ainsi une éventuelle harmonisation entre juridictions.
Un paysage juridique élargi à l’horizon
Dans les mois à venir, les législateurs locaux publieront des versions préliminaires de plusieurs documents de mise en œuvre clés pour commentaires du public : les décrets d’orientation et de sanction du gouvernement, la liste des systèmes d’IA à haut risque établie par le Premier ministre et le cadre national d’éthique de l’IA du ministère des Sciences et de la Technologie. Celles-ci clarifieront les critères de risque, les procédures et les sanctions, façonnant ainsi leur application pratique.
Les parties prenantes doivent suivre de près l’évolution de ces réglementations directrices, proposer des commentaires et des recommandations et mener des évaluations de conformité préliminaires pour se préparer aux exigences à venir.
Thu Minh Le, CIPP/E est associé principal chez BMVN International, et Alex Do, CIPP/E, est directeur IPTech et coordinateur des brevets chez BMVN International, en alliance avec Baker McKenzie Vietnam.
