Introduction
Dans une ère où la confidentialité des données est primordiale, la Thaïlande a introduit des lois complètes pour garantir la protection des données. Il est désormais essentiel que les entreprises opérant en Thaïlande comprennent et appliquent les exigences établies par la loi sur la protection des données personnelles (Personal Data Protection Act – PDPA). En cas de non-respect, l’entreprise s’expose à de lourdes sanctions, notamment des poursuites pénales et des amendes pouvant aller jusqu’à 5 millions de THB. Ce guide complet est le compagnon indispensable pour une mise en conformité totale avec le PDPA.
La loi thaïlandaise sur la protection des données personnelles (PDPA) a apporté des changements significatifs au paysage législatif thaïlandais en matière de confidentialité des données. Depuis 2023, le PDPA a été entièrement mise en œuvre ; les organisations doivent se conformer aux exigences approfondies et complexes du PDPA.
Ce guide complet explore les principales dispositions et obligations de la Loi sur la protection des données thaïlandais et fournit aux organisations une feuille de route claire pour assurer leur conformité dans le domaine de la protection des données.
Points clés
- Le PDPA représente le premier cadre réglementaire complet et la première Loi sur la protection des données en Thaïlande, visant à sauvegarder les données personnelles sensibles.
- Le non-respect de cette loi expose l’entreprise à des sanctions sévères, notamment des poursuites pénales et des amendes pouvant atteindre 5 millions de THB.
- Les entreprises doivent disposer d’une base juridique claire pour la collecte et le traitement des données personnelles.
- Il est essentiel que les entreprises établissent une politique de gestion des données personnelles et mettent en place des garanties raisonnables pour les protéger.
- Les entreprises doivent informer les personnes concernées, à travers une Déclaration de protection des données, de l’objectif et de la base juridique de la collecte, de l’utilisation, de la divulgation ou du transfert de leurs données personnelles.
- Les entreprises doivent désigner un agent de protection des données (Data Protection Officer – DPO) chargé de veiller au respect du PDPA.
Qu’est-ce que la PDPA en Thaïlande ?
La PDPA en Thaïlande est la première loi consolidée du pays sur la protection des données personnelles. Elle est influencée par le règlement général sur la protection des données (RGPD) de l’UE.Les principes fondamentaux du Règlement général sur la protection des données et de la PDPA présentent des similitudes, mais la loi thaïlandaise intègre des perspectives nationales uniques. La PDPA vise à permettre aux individus de contrôler la collecte, l’utilisation et la divulgation de leurs données personnelles sensibles par les contrôleurs de données. Il s’applique à toutes les organisations qui collectent, utilisent ou divulguent des données personnelles en Thaïlande ou relatives à des résidents thaïlandais, quel que soit leur statut juridique ou leur présence dans le pays.
Quelles sont les notions clés du PDPA ?
Pour mieux comprendre la Loi sur la protection des données, commençons par quelques définitions importantes :
- Personne concernée : Une personne qui peut être identifiée par les informations collectées. L’identification peut être directe ou indirecte.
- Données à caractère personnel : Toute information permettant d’identifier une personne, directement ou indirectement, à l’exclusion des données relatives aux personnes décédées.
- Contrôleur de données : Personne ou entité chargée de prendre des décisions concernant la collecte, l’utilisation ou la divulgation de données à caractère personnel.
- Responsable du traitement des données : Une personne ou une entité qui collecte, utilise ou divulgue des données à caractère personnel pour le compte d’un contrôleur de données.
Ces définitions constituent le fondement de la compréhension des rôles et des responsabilités des organisations en vertu du PDPA.
Quel est le champ d’application du PDPA ?
Le PDPA a un champ d’application à la fois territorial et extraterritorial. Il s’applique à la collecte, à l’utilisation et à la divulgation de données à caractère personnel par les contrôleurs de données ou les responsables du traitement des données en Thaïlande, quel que soit le lieu du traitement effectif. De plus, les organisations situées en dehors de la Thaïlande qui collectent, utilisent ou divulguent des données à caractère personnel de personnes se trouvant en Thaïlande peuvent également être soumises à la PDPA si elles offrent des biens ou des services à des personnes thaïlandaises ou si elles surveillent leur comportement en Thaïlande.
Quels sont les consentements et les fondements juridiques pour la collecte de données en vertu du PDPA ?
Conformément au PDPA, les organisations doivent obtenir le consentement des personnes concernées avant de collecter, d’utiliser ou de divulguer leurs données personnelles sensibles, à moins qu’il n’y ait une justification légale pour le traitement.
Les justifications légales comprennent :
- L’exécution d’un contrat.
- Le respect d’obligations légales.
- La protection des intérêts vitaux, l’intérêt public.
- Les intérêts légitimes du contrôleur de données.
Les données personnelles sensibles nécessitent un consentement explicite, sauf dans des circonstances spécifiques telles que la protection de la vie ou de la santé d’une personne.
La demande de consentement doit être explicite, écrite ou électronique, et séparée des autres messages. Les organisations doivent s’assurer que le consentement est donné librement et qu’il n’est pas subordonné à la conclusion d’un contrat. Les personnes concernées peuvent refuser ou retirer leur consentement à tout moment.
Quelles sont les obligations des contrôleurs de données ?
En vertu de la PDPA, les responsables du traitement des données ont plusieurs obligations en matière de protection des données à caractère personnel. La plupart de ces obligations ont été inspirées par le Règlement général sur la protection des données (RGPD). Ces obligations comprennent :
- Notification : Les contrôleurs de données doivent informer les personnes concernées de la collecte, de l’utilisation et de la divulgation de leurs données à caractère personnel. La Déclaration de protection des données doit inclure l’objectif de la collecte, la durée de conservation des données, les catégories de destinataires, les coordonnées du responsable du traitement, ainsi que les droits de la personne concernée.
- Minimisation des données : Les contrôleurs de données doivent collecter uniquement les données à caractère personnel nécessaires à la réalisation de l’objectif visé. Ils doivent également veiller à ce que ces données soient exactes, complètes et mises à jour.
- Mesures de sécurité : Les contrôleurs de données doivent mettre en œuvre des mesures de sécurité appropriées pour protéger les données à caractère personnel contre la perte, l’accès non autorisé, l’altération ou la divulgation.
- Registres de traitement des données : Les contrôleurs de données doivent tenir des registres de leurs activités de traitement des données, comprenant les finalités du traitement, les catégories de données à caractère personnel, les destinataires des données et les périodes de conservation des données.
- Analyse d’impact de la protection des données (Data Protection Impact Assessment – DPIA) : Bien que cela ne soit pas explicitement requis, les contrôleurs de données doivent évaluer le niveau de risque associé à leurs activités de traitement des données et mettre en œuvre des mesures de sécurité appropriées.
Combien de temps une entreprise peut-elle conserver des données personnelles sensibles ?
La Loi sur la protection des données ne précise pas la durée exacte de conservation. Néanmoins, dans la pratique, l’entreprise peut conserver les données à caractère personnel aussi longtemps que nécessaire pour atteindre l’objectif de collecte, d’utilisation, de divulgation ou de transfert des données à caractère personnel, conformément aux exigences ou autorisations des lois applicables. De plus, une Déclaration de protection des données clarifiant les objectifs de la conservation doit être effectuée pour les personnes concernées.
Transferts de données et transferts transfrontaliers
Le PDPA impose des restrictions sur le transfert de données à caractère personnel en dehors de la Thaïlande. Les organisations doivent s’assurer que le pays ou l’organisation internationale destinataire dispose de normes adéquates en matière de protection des données. Le PDPA en, s’inspirant du Règlement général sur la protection des données, exigent des garanties appropriées pour assurer la protection des données lorsqu’elles sont transférées en dehors de la juridiction d’origine.Le transfert sans protection adéquate n’est autorisé que dans des circonstances spécifiques, par exemple avec le consentement de la personne concernée ou pour l’exécution d’un contrat. Les sociétés du groupe peuvent être exemptées de certaines exigences en matière de transfert si elles ont approuvé des politiques de protection des données personnelles.
Quels sont les droits des personnes concernées ?
Tout comme le Règlement général sur la protection des données de l’UE (RGPD), le PDPA accorde aux personnes concernées plusieurs droits de contrôle sur leurs données personnelles. Ces droits sont les suivants :
- Le droit d’accès : Les personnes concernées peuvent demander l’accès à leurs données personnelles et en obtenir une copie.
- Droit de rectification : Les personnes concernées peuvent demander la correction de données personnelles inexactes ou incomplètes.
- Droit à l’effacement : Les personnes concernées peuvent demander la suppression ou l’anonymisation de leurs données personnelles dans certaines circonstances.
- Droit à la limitation du traitement : Les personnes concernées peuvent demander la suspension du traitement de leurs données personnelles.
- Droit à la portabilité des données : Les personnes concernées peuvent recevoir leurs données à caractère personnel dans un format lisible par machine et demander leur transfert à un autre contrôleur de données.
- Droit d’opposition : Les personnes concernées peuvent s’opposer au traitement de leurs données personnelles dans des situations spécifiques.
- Droit de retirer son consentement : Les personnes concernées ont le droit de retirer leur consentement au traitement de leurs données à caractère personnel.
Que doit faire une entreprise en cas de notification d’une violation de données à caractère personnel ?
En cas de violation de données à caractère personnel, les contrôleurs de données doivent signaler la violation au PDPC (Personal Data Protection Committee) dans les meilleurs délais et, si possible, dans les 72 heures suivant le moment où ils en ont pris connaissance. Ils doivent également notifier les personnes concernées si la violation est susceptible d’entraîner des risques élevés pour leurs droits et libertés. Le PDPC a publié des règlements précisant les procédures et les exigences en matière de notification des violations de données à caractère personnel.
Les violations de données à caractère personnel peuvent inclure :
- L’accès par un tiers non autorisé.
- Une action (ou inaction) délibérée ou accidentelle de la part d’un contrôleur de données ou d’un responsable du traitement de la donnée.
- L’envoi de données à caractère personnel à un destinataire incorrect.
- La perte ou le vol de dispositifs informatiques contenant des données à caractère personnel.
- La modification de données à caractère personnel sans autorisation.
- La perte de disponibilité des données à caractère personnel.
Comment puis-je me conformer au PDPA ?
Pour être pleinement conforme au PDPA, les entreprises doivent prendre les mesures suivantes :
Examiner la collecte des données et les niveaux de protection des données dans votre entreprise
Il est possible que vous deviez effectuer une analyse des données pour déterminer quelles données vous possédez sur les clients, les utilisateurs, les employés et d’autres personnes.
Les points importants à prendre en compte sont les suivants :
- Quel type d’informations est collecté ?
- Quel est l’objectif de la collecte, de l’utilisation et de la divulgation des données personnelles ?
- De qui les données sont-elles collectées ? Des utilisateurs, des clients, des fournisseurs, des contacts professionnels ou d’autres personnes ?
- Votre entreprise dispose-t-elle de politiques internes concernant les pratiques en matière de violation des données ou d’un cadre/politique de protection de la vie privée ?
- Demandez-vous ou sollicitez-vous le consentement de la personne concernée ?
- Où stockez-vous les données ? Comment sont-elles protégées ?
- Avec qui les partagez-vous ? Existe-t-il un contrat ?
Améliorer vos formulaires de consentement, votre politique de confidentialité et vos mesures internes pour vous conformer au PDPA
Le contrôleur de données et le responsable du traitement des données doivent veiller à respecter pleinement le PDPA et à mettre en place des mesures de sécurité appropriées pour empêcher l’accès non autorisé aux données à caractère personnel.
Assurez-vous de disposer de dossiers appropriés pour le l’organisme de réglementation du PDPA
Lorsque la Loi sur la protection des données est pleinement appliqué, le contrôleur de données et le responsable du traitement des données doivent tenir des registres permettant à la personne concernée et au Bureau du Comité de protection des données personnelles de procéder à des vérifications.
Formez vos employés
Pour garantir la conformité, vous devez veiller à ce que tous les employés soient parfaitement formés et familiarisés avec le PDPA. Par conséquent, il est fortement recommandé de communiquer à l’ensemble de votre organisation toute information relative à vos politiques internes, aux détails de la Loi sur la protection des données et aux sanctions en cas de violation de celle-ci.
Si vous n’avez pas mis en place l’une de ces mesures de protection ou si vous souhaitez que vos pratiques soient examinées afin de garantir leur conformité, nos experts juridiques sont prêts à vous aider.
Nos juristes et experts expérimentés pourront vous fournir les services suivants afin d’assurer une conformité totale avec le PDPA :
Rédaction ou révision des éléments suivants :
- Consentement au PDPA (consentement général et consentement au marketing direct)
- Politique de confidentialité ou déclaration de collecte de données personnelles et limitation des finalités en anglais ou en thaï (une seule langue – la traduction peut être fournie moyennant des frais supplémentaires).
Révision de vos conditions générales afin d’atténuer les risques prévisibles (par exemple, l’âge des utilisateurs/clients pour la validité du consentement à la protection de la vie privée et les litiges pouvant résulter de vos caractéristiques en relation avec le PDPA ou d’autres lois).
Une analyse préliminaire de vos procédures internes pour vérifier si elles sont conformes au PDPA.
La rédaction ou la révision d’une politique de protection de la vie privée pour les employés et les candidats inclut le consentement approprié et fournit des clauses contractuelles à ajouter à tout contrat de travail.
Quelles sont les sanctions en cas de non-respect du PDPA ?
Le non-respect des dispositions de la PDPA doit être pris au sérieux, car il entraîne des amendes et sanctions sévères, notamment des amendes administratives pouvant atteindre 5 millions de THB, des sanctions pénales pouvant atteindre 1 million de THB et/ou une peine d’emprisonnement d’un an. En outre, cela peut sérieusement compromettre la confiance que vos clients actuels et potentiels ont envers vous.
Les sanctions peuvent revêtir plusieurs formes :
Sanctions civiles :
Des sanctions civiles peuvent être imposées à une partie fautive lorsque le contrôleur de données ou le responsable du traitement des données ne se conforme pas intentionnellement ou par négligence aux exigences du PDPA. Dans une telle situation, la personne concernée peut demander une indemnisation réelle au contrôleur de données ou au responsable du traitement des données. Les exemples d’indemnisation réelle incluent les dépenses réellement engagées par la personne concernée pour prévenir ou éviter un tel dommage.
En cas de condamnation du contrôleur de données ou du responsable du traitement des données pour violation du PDPA, le tribunal peut également ordonner le versement de dommages-intérêts punitifs à la personne concernée, en plus de l’indemnisation réelle. Toutefois, ces dommages-intérêts punitifs sont limités et ne doivent pas dépasser le double du montant de l’indemnisation réelle.
Le délai de prescription pour demander une compensation en cas de violation du PDPA est de trois ans à partir du moment où la personne concernée reconnaît la violation et identifie les auteurs, ou de dix ans à partir de l’acte illicite du contrôleur de données ou du responsable du traitement des données.
Sanctions pénales
Les infractions Loi sur la protection des données peuvent donner lieu à des sanctions pénales dans les cas suivants :
Scénario 1 :
Si le responsable du traitement des données :
- Utilise ou divulgue des données à caractère personnel sans le consentement légalement requis de la personne concernée.
- Reçoit des données à caractère personnel d’un autre contrôleur de données et les utilise ou les divulgue à des fins autres que celles qui ont été préalablement communiquées au contrôleur de données qui les a divulguées.
- Envoie ou transfère des données à caractère personnel sensibles vers un pays étranger qui ne dispose pas de normes adéquates en matière de protection des données, sans autres exceptions légales.
Si le scénario ci-dessus est avéré et que ces actes sont susceptibles de causer un préjudice à la personne concernée, de nuire à sa réputation ou de l’exposer au mépris, à la haine ou à l’humiliation, le responsable du traitement des données est passible d’une peine d’emprisonnement pouvant aller jusqu’à six mois, d’une amende pouvant atteindre 500 000 bahts, ou des deux.
Si le responsable du traitement des données commet l’un de ces actes dans le but d’obtenir des avantages illégaux (pour lui-même ou pour d’autres), il risque une peine d’emprisonnement pouvant aller jusqu’à un an, une amende pouvant atteindre un million de bahts, ou les deux à la fois.
Scénario 2 :
Si une personne, dans l’exercice de ses fonctions en vertu du PDPA, obtient des données personnelles d’une personne concernée et les divulgue par la suite à toute personne non autorisée, elle peut être condamnée à une peine d’emprisonnement pouvant aller jusqu’à six mois, à une amende maximale de 500 000 bahts, ou à une combinaison des deux sanctions.
Toutefois, dans certaines circonstances, ces actions sont autorisées. Par exemple, lorsque la divulgation des informations est dans l’intérêt d’une procédure d’enquête ou d’une procédure judiciaire, ou lorsque la personne concernée a donné son consentement écrit.
Sanctions administratives
Des sanctions administratives peuvent s’appliquer au contrôleur des données, au responsable du traitement des données ou à toute personne qui enfreint les dispositions du PDPA.
Les sanctions administratives consistent en une amende pouvant aller jusqu’à cinq millions de bahts.
Le Comité de protection des données personnelles (PDPC) a le pouvoir d’infliger des amendes administratives en tenant compte des éléments suivants :
Le niveau de gravité de la non-conformité.
L’activité du contrôleur de données ou du responsable du traitement des données.
Ou d’autres circonstances pertinentes jugées appropriées par le PDPC.
Des sanctions administratives peuvent être appliquées pour les violations suivantes du PDPA :
Une amende administrative pouvant aller jusqu’à un million de bahts peut être infligée dans les cas suivants :
- Le contrôleur de données n’informe pas la personne concernée, avant ou au moment de la collecte, des exigences suivantes : finalité de la collecte, durée de conservation et catégories de personnes auxquelles les données à caractère personnel collectées peuvent être divulguées.
- Le contrôleur de données ne consigne pas les informations dans le registre des activités de traitement (record of processing activities – ROPA) ; ou
- Le contrôleur de données ou le responsable du traitement ne désigne pas de délégué à la protection des données (data protection officer – DPD) lorsque le PDPA l’exige.
Une amende administrative pouvant aller jusqu’à trois millions de bahts peut être infligée pour les violations suivantes :
- Le contrôleur traite des données à caractère personnel à d’autres fins que celles indiquées à la personne concernée.
- Le contrôleur collecte, utilise et/ou divulgue des données à caractère personnel sans le consentement de la personne concernée.
- Le responsable du traitement n’informe pas le PDPC de toute violation dans les 72 heures suivant la prise de connaissance de l’incident.
- Le contrôleur de données n’informe pas le responsable du traitement des données de toute violation connue.
Une amende administrative d’un montant maximal de cinq millions de bahts peut être infligée pour les violations suivantes :
- Le contrôleur de données collecte, utilise et/ou divulgue des données à caractère personnel sensibles sans le consentement explicite de la personne concernée ou sans autre base juridique applicable ; ou
- Le contrôleur de données ou le responsable du traitement des données envoie ou transfère les données personnelles sensibles vers un pays étranger disposant de normes adéquates en matière de protection des données, et ce, sans le consentement légalement requis de la personne concernée.
Nos réflexions
La loi thaïlandaise sur la protection des données personnelles apporte des changements significatifs au paysage de la protection des données dans le pays, qui doivent être respectés. Les organisations doivent désormais faire face à des exigences complexes pour protéger les données personnelles et se conformer à la loi sur la protection des données personnelles. En comprenant les principales dispositions et obligations du PDPA, les organisations peuvent prendre des mesures proactives pour protéger les données personnelles, gagner la confiance de leurs clients et éviter des sanctions potentielles. Notre équipe d’experts juridiques est prête et disponible pour vérifier la conformité de votre entreprise avec le PDPA et vous aider à effectuer les ajustements nécessaires.