Selon des études récentes, 162 pays ont adopté des lois sur la confidentialité des données. En Thaïlande, cette loi est la loi sur la protection des données personnelles(PDPA).
La PDPA thaïlandaise s'applique aux entreprises tant à l'intérieur qu'à l'extérieur du pays et donne aux individus des droits sur la manière dont leurs informations personnelles sont collectées et utilisées.
Dans ce guide, vous apprendrez tout ce qu'il faut savoir sur la loi thaïlandaise relative à la protection des données, notamment à qui elle s'applique, ce qu'elle exige et les sanctions encourues en cas de violation.
- Qu'est-ce que la loi thaïlandaise sur la protection des données personnelles (PDPA) ?
- Termes clés et définitions de la PDPA thaïlandaise
- Que couvre la loi thaïlandaise sur la protection des données personnelles ?
- Exigences de la loi thaïlandaise sur la protection des données personnelles
- La loi thaïlandaise sur la protection des données et les lois mondiales sur la protection de la vie privée : Similitudes et différences
- Quel est l'impact de la PDPA thaïlandaise sur les consommateurs ?
- Quel est l'impact de la PDPA thaïlandaise sur les entreprises ?
- Qui doit se conformer à la PDPA thaïlandaise ?
- Comment les entreprises peuvent-elles se conformer à la PDPA thaïlandaise ?
- Comment la PDPA thaïlandaise est-elle appliquée ?
- Amendes et sanctions prévues par la loi thaïlandaise sur la protection des données personnelles
- Comment le site Termly contribue-t-il à la mise en conformité de la Thaïlande avec la PDPA ?
- Existe-t-il d'autres lois relatives à la protection de la vie privée en Thaïlande ?
- Résumé
Qu'est-ce que la loi thaïlandaise sur la protection des données personnelles (PDPA) ?
La loi thaïlandaise sur la protection des données personnelles est la principale loi sur la protection des données des consommateurs qui protège les individus en Thaïlande.
Elle décrit les droits des individus sur leurs informations personnelles, décrit les lignes directrices spécifiques que les entités doivent suivre pour collecter et utiliser légalement les informations sur les consommateurs, et énumère les sanctions en cas de violation de ces exigences.
Quand la PDPA thaïlandaise est-elle entrée en vigueur ?
Signée en 2019, la loi thaïlandaise sur la protection des données personnelles est officiellement entrée en vigueur le 1er juin 2022.
Termes clés et définitions de la PDPA thaïlandaise
Pour vous aider à comprendre comment vous conformer à la PDPA thaïlandaise, nous avons inclus ci-dessous les définitions de certains termes clés tels qu'ils apparaissent dans la traduction anglaise de la loi :
Que couvre la loi thaïlandaise sur la protection des données personnelles ?
La loi thaïlandaise sur la protection des données personnelles couvre les informations personnelles des personnes physiques en Thaïlande.
Elle couvre également la collecte et le traitement de données à caractère personnel par des responsables du traitement ou des sous-traitants basés en Thaïlande, quelle que soit l'origine des données collectées.
Exigences de la loi thaïlandaise sur la protection des données personnelles
Les entreprises qui se conforment à la PDPA thaïlandaise doivent respecter plusieurs exigences.
Bases légales pour le traitement des données
En vertu de la loi thaïlandaise sur la protection des données à caractère personnel, les entités peuvent légalement traiter des données à caractère personnel pour les raisons suivantes :
Consentement
Selon la loi thaïlandaise sur la protection de la vie privée, le consentement doit être explicitement donné par écrit ou, si possible, par voie électronique.
Lorsqu'elle demande le consentement de l'utilisateur, une entité couverte doit fournir une notification ou une information sur le traitement des données.
L'utilisateur doit alors accepter librement le traitement de son propre chef et conserver le droit de retirer facilement son consentement à tout moment.
Désignation d'un délégué à la protection des données (DPD)
La loi thaïlandaise sur la protection des données exige des entités qu'elles désignent un délégué à la protection des données, qui est chargé de
- Donner aux entités des conseils pour se conformer à la PDPA thaïlandaise ;
- Vérifier si le responsable du traitement et/ou le sous-traitant respectent pleinement la loi ;
- la coordination avec les autorités réglementaires chargées de l'application de la loi, le cas échéant ; et
- Maintenir la confidentialité de toutes les données à caractère personnel acquises dans le cadre de son travail en tant que DPD.
Les responsables du traitement des données doivent également fournir aux utilisateurs les coordonnées de leur délégué à la protection des données.
Obligations de conservation des données
Les entités doivent informer les utilisateurs de la durée de conservation des données au moment de la collecte des données ou avant.
Si elle n'est pas en mesure de fournir une date, l'entité doit expliquer le processus utilisé pour déterminer la durée de conservation des données.
Traitement de catégories particulières de données à caractère personnel
Pour traiter des catégories particulières de données - comme les informations personnelles sensibles - l'entité doit obtenir le consentement explicite de la personne concernée.
Toutefois, les responsables du traitement peuvent collecter des informations relatives aux casiers judiciaires si une autorité officielle l'autorise.
Obligations contractuelles
Les responsables du traitement et les sous-traitants au sens de la PDPA thaïlandaise doivent conclure un accord contractuel qui oblige les deux parties à respecter toutes les exigences énoncées par la loi.
L'accord doit prévoir la tenue de registres de données personnelles et d'activités, ainsi que le respect des règles établies par le Comité de protection des données personnelles (CPDP).
La loi thaïlandaise sur la protection des données et les lois mondiales sur la protection de la vie privée : Similitudes et différences
Il existe plusieurs lois sur la confidentialité des données dans le monde, dont les suivantes :
- La loi californienne sur la protection de la vie privée des consommateurs(CCPA)
- Le règlement général européen sur la protection des données (RGPD)
- Loi argentine sur la protection des données personnelles(Argentina PDPA)
- Loi générale sur la protection des données(LGPD) du Brésil
- Loi canadienne sur la protection des renseignements personnels et les documents électroniques(LPRPDE)
- Loi sud-africaine sur la protection des informations personnelles(POPIA)
- Loi australienne de 1988 sur la protection de la vie privée(Privacy Act)
- Loi néo-zélandaise sur la protection de la vie privée 2020
Le tableau ci-dessous permet de comparer la PDPA thaïlandaise aux autres lois mondiales sur la protection de la vie privée.
| Loi sur la protection des données | Nécessité d'un consentement explicite* | Obligation de publier une politique de protection de la vie privée | Définit les obligations contractuelles à l'égard des tiers | Responsabilise les entreprises en matière de sécurité des données | Exigences spécifiques pour les transferts internationaux de données | Exige des lignes directrices supplémentaires pour les catégories d'informations sensibles (spéciales) |
| Thaïlande PDPA | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Argentine PDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CCPA | ✓ | ✓ | ✓ | ✓ | ||
| RGPD | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| LGPD | ✓ | ✓ | ✓ | ✓ | ✓ | |
| PIPEDA | ✓ | ✓ | ✓ | |||
| POPIA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Loi sur la protection de la vie privée de 1988 | ✓ | ✓ | ✓ | ✓ | ||
| Loi sur la protection de la vie privée 2020 | ✓ | ✓ | ✓ | ✓ | ✓ |
*Avec quelques exceptions pour certaines lois.
Quel est l'impact de la PDPA thaïlandaise sur les consommateurs ?
La PDPA thaïlandaise a un impact sur les consommateurs en leur accordant certains droits sur la manière dont leurs données personnelles sont collectées et utilisées, y compris le droit de.. :
- Accéder à leurs données personnelles
- Obtenir une copie portable de ses données
- Rectifier les données incomplètes les concernant
- Supprimer ou demander à un responsable du traitement de dépersonnaliser leurs informations
- refuser certaines activités de traitement des données, y compris le marketing direct
- Retirer son consentement à tout moment
- Déposer une plainte auprès d'une autorité compétente en matière de données
Les utilisateurs ont également le droit d'être informés des données collectées à leur sujet, de la raison de cette collecte et de la durée de conservation de ces données.
À qui s'applique la loi thaïlandaise sur la protection des données personnelles ?
La loi sur la protection des données personnelles s'applique aux données de toute personne physique vivante en Thaïlande.
Cependant, toute donnée collectée et utilisée dans un contexte domestique ou personnel est exemptée.
Quel est l'impact de la PDPA thaïlandaise sur les entreprises ?
La loi thaïlandaise sur la protection des données a des incidences sur les entreprises qui ne se limitent pas aux bases légales et aux exigences en matière de conservation des données mentionnées précédemment, mais qui concernent également la protection de la vie privée et les politiques en matière de cookies.
Quelle est l'incidence de la LPDP thaïlandaise sur ma politique de protection de la vie privée ?
Selon la loi thaïlandaise sur la protection des données, les entreprises doivent informer les individus des détails suivants avant ou au moment de la collecte des données :
- L'objectif de la collecte de données
- Le délai de conservation
- Les droits de l'individu sur ses informations
Un moyen simple de répondre à ces conseils est de présenter à vos utilisateurs une politique de protection de la vie privée qui réponde à ces exigences de notification.
Une fois que les personnes sont déjà informées de la collecte, il n'est pas nécessaire de leur présenter à nouveau un tel avis.
Quelle est l'incidence de la LPDP thaïlandaise sur mon site politique de cookies?
La loi thaïlandaise sur la protection des données à caractère personnel (PDPA) a une incidence sur votre vie privée. politique de cookies parce que les utilisateurs protégés par la loi ont le droit d'être informés de la collecte de données avant ou au moment de la collecte, et que les cookies Internet collectent des données personnelles auprès des utilisateurs.
Vous devez vous assurer que vos utilisateurs connaissent les cookies utilisés par votre site web, leur fonction et la raison pour laquelle vous les utilisez avant qu'ils ne soient placés sur leurs navigateurs.
Pour répondre à cette exigence, vous devez présenter à vos utilisateurs un site précis : politique de cookies.
Qui doit se conformer à la PDPA thaïlandaise ?
Toute entreprise thaïlandaise qui collecte et traite des données personnelles doit se conformer à la loi sur la protection des données personnelles.
Les entreprises situées en dehors de la Thaïlande qui proposent des biens ou des services à des particuliers dans le pays et qui surveillent leur comportement en ligne doivent également se conformer à la loi, qu'il s'agisse ou non d'une transaction financière.
Qui est exempté de la loi thaïlandaise sur la protection des données personnelles ?
Les entités suivantes sont exemptées de l'application de la loi thaïlandaise sur la protection des données et la promotion de la santé (PDPA)
Comment les entreprises peuvent-elles se conformer à la PDPA thaïlandaise ?
Pour se conformer à la PDPA thaïlandaise, les entreprises doivent mettre à jour leur politique de confidentialité et leur politique en matière de cookies afin de satisfaire à toutes les exigences en matière d'information des utilisateurs sur la collecte de données.
La mise en place d'une bannière de consentement plateforme de gestion du consentement avec une bannière de consentement correctement configurée vous permet de répondre aux exigences d'acceptation et de refus énoncées par la loi.
Enfin, pour faciliter la réception et la réponse aux demandes des utilisateurs qui souhaitent faire valoir leurs droits, mettez en place sur votre site un formulaire de demande d'accès de la personne concernée (DSAR ).
Comment la PDPA thaïlandaise est-elle appliquée ?
En Thaïlande, la PDPA est appliquée par le Comité de protection des données personnelles (PDPC).
Le PDPC rédige et publie également des sous-règlements et des lignes directrices pour la loi.
Ils peuvent déterminer comment les entités doivent interpréter la conformité à la PDPA, envoyer des notifications à ceux qui enfreignent la loi et établir des règles ou des lignes directrices pour l'avenir.
Amendes et sanctions prévues par la loi thaïlandaise sur la protection des données personnelles
La violation de la PDPA thaïlandaise peut entraîner des amendes allant jusqu'à 5 millions de THB (145 000 $) et des sanctions pénales.
Les entreprises pourraient également être contraintes de cesser toute activité de traitement des données.
Comment le site Termly contribue-t-il à la mise en conformité de la Thaïlande avec la PDPA ?
Termly propose un plateforme de gestion du consentement (CMP) que les entreprises peuvent configurer pour répondre aux exigences en matière de consentement d'entrée et de sortie requises par la PDPA thaïlandaise.
Notre équipe travaille également à la mise à jour de notre Générateur de politique de confidentialitéNotre équipe travaille également à la mise à jour de notre site web, afin qu'il contienne les informations nécessaires pour se conformer aux exigences de notification définies par la loi thaïlandaise sur la protection de la vie privée.
Contrôlé par notre équipe juridique et nos experts en protection des données, notre générateur pose des questions simples sur votre entreprise et vos activités de traitement des données et élabore une politique unique en fonction de vos réponses.
Consultez notre site pour savoir quand ces mises à jour seront disponibles.
Existe-t-il d'autres lois relatives à la protection de la vie privée en Thaïlande ?
Si la PDPA est la loi la plus importante en matière de protection de la vie privée en Thaïlande, il existe quelques autres textes législatifs, dont les suivants :
Résumé
La loi thaïlandaise sur la protection des données personnelles (Personal Data Protection Act) est une loi complète qui permet aux individus du pays de mieux contrôler la manière dont leurs données sont collectées, traitées et utilisées.
Si vous êtes soumis à la PDPA, mettez à jour votre politique de confidentialité pour répondre aux exigences de notification définies par la loi.
Grâce à des ressources telles que notre Générateur de politique de confidentialitéil n'a jamais été aussi facile de se conformer aux lois sur la confidentialité des données.
En savoir plus sur l'auteur
Écrit par Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy est une avocate spécialisée dans la protection de la vie privée qui a acquis une expérience dans le domaine de la protection de la vie privée et de la cybersécurité dans les secteurs public et privé. En tant qu'ancienne Westin Fellow à l'IAPP, elle a publié plusieurs articles, livres blancs et infographies, et a dirigé, coordonné et modéré des webinaires et des panels, tous concernant la protection de la vie privée aux États-Unis et les technologies de protection de la vie privée. Anokhy a obtenu une maîtrise à l'université Carnegie Mellon et un doctorat en droit à l'université de Pittsburgh. En savoir plus sur l'auteur
