Courriel :
Tél. +66 94 218 4278

Loi sur la protection des données personnelles

Loi sur la protection des données personnelles (PDPA)

Cette loi s'applique à la collecte, à l'utilisation ou à la divulgation de données à caractère personnel dans le Royaume de Thaïlande par tout sous-traitant ou responsable du traitement des données, même si cette divulgation, cette utilisation ou cette collecte n'a pas lieu en Thaïlande. Si un responsable du traitement des données ou un contrôleur des données est situé en dehors de la Thaïlande, la loi s'appliquera toujours aux personnes concernées en Thaïlande.

On entend par "données à caractère personnel" toute information concernant une personne déterminée et permettant de l'identifier, directement ou indirectement, à l'exclusion des informations relatives aux personnes décédées ;
Le "responsable du traitement" est une personne physique ou morale qui a le pouvoir et le devoir de prendre des décisions concernant la collecte, l'utilisation ou la divulgation des données à caractère personnel ;
Le "responsable du traitement des données" est une personne physique ou morale qui opère dans le cadre de la collecte, de l'utilisation ou de la divulgation de données à caractère personnel conformément aux ordres donnés par un responsable du traitement des données ou en son nom, cette personne physique ou morale n'étant pas le responsable du traitement des données.

Contexte : Protection des données personnelles en Thaïlande

La loi sur la protection des données personnelles a été publiée pour la première fois en 2019, et une période d'un an a été prévue pour permettre aux entreprises et autres entités de se conformer à la loi en ce qui concerne les sanctions en cas de non-respect, les obligations d'un responsable du traitement des données et les droits d'une personne concernée.

Le Bureau du Comité de protection des données est la principale autorité de contrôle, et le ministère de l'économie et de la société numériques est le superviseur de la loi sur la protection des données personnelles.

Aperçu de la protection des données personnelles en Thaïlande



Application de la conformité à la PDPA

En général, la PDPA s'applique à toute divulgation, utilisation et collecte de données en Thaïlande ou concernant des citoyens thaïlandais. Dans certains cas, les sous-traitants et les responsables du traitement des données doivent se conformer à la PDPA même s'ils opèrent en dehors de la Thaïlande :

  • Lorsque les personnes concernées font l'objet d'un suivi en Thaïlande.
  • Lorsque les personnes concernées ont accès à des biens et services en Thaïlande.

Motifs juridiques de la collecte, de l'utilisation et de la divulgation de données à caractère personnel
Il n'existe que six autorisations légales pour cette pratique. Dans tous les autres cas, le consentement de la personne concernée est requis.

Les pratiques légalement autorisées sont les suivantes :

  • Tout cas où les contrôleurs de données sont soumis à des lois de conformité qui exigent la collecte de données.
  • Lorsque les droits fondamentaux des personnes concernées ne prévalent pas sur les intérêts légitimes d'un responsable du traitement ou d'autres personnes susceptibles de bénéficier de la collecte de données à caractère personnel.
  • Lorsque le responsable du traitement des données doit accomplir une tâche d'intérêt public qui implique la collecte de données à caractère personnel.
  • Lorsque la personne concernée est partie à un contrat qui l'exige, ou lorsque la personne concernée veut conclure un contrat qui exige que des mesures soient prises.
  • Dans le but de prévenir un danger pour la santé, le bien-être ou la vie d'une personne.
  • Dans les cas où des mesures satisfaisantes sont prises pour protéger les droits d'un sujet en termes de préparation de documents historiques dans un but d'intérêt public, ou en relation avec des statistiques ou des recherches, et en supposant que tout le soin prescrit est pris pour suivre les règlements.

Questions de consentement

Certains critères doivent être remplis pour que le consentement soit considéré comme valide :

  • La tromperie ou la désinformation ne sont pas autorisées dans la demande de consentement.
  • Un langage clair et simple doit être utilisé dans les demandes de consentement.
  • La demande dans laquelle se trouve le formulaire doit être facilement lisible et accessible.
  • Lorsque la personne concernée reçoit d'autres informations, la demande de consentement doit se distinguer facilement de toutes les autres informations.
  • La personne concernée doit savoir à quelles fins les données sont utilisées et comment elles peuvent être divulguées.
  • Le consentement est donné par écrit ou par des moyens de communication électroniques.

Avis de confidentialité

Un avis de confidentialité doit être remis à la personne concernée au moment où les données sont collectées. L'avis doit contenir les informations suivantes :

  • Les droits de la personne concernée, qui comprennent
    • Droit d'accès à une copie de ses données personnelles
    • Droit de demander le transfert des données à d'autres responsables du traitement des données
    • Droit de retirer son consentement
    • Droit de déposer une plainte
    • Droit à la protection des données personnelles
    • Droit de demander la suspension de l'utilisation des données
    • Droit de demander la suppression des données
    • Droit de s'opposer à la divulgation, à l'utilisation et à la collecte de données à caractère personnel
  • Les coordonnées du délégué à la protection des données, du responsable du traitement et, dans certaines circonstances, du représentant du responsable du traitement.
  • Identité des organisations ou des personnes auxquelles les données pourraient être divulguées
  • la durée de conservation de ces données, ou au moins une période de conservation prévue conforme à la norme de conservation des données
  • Information sur la nécessité ou non pour la personne concernée de fournir ses données personnelles
  • Quels sont les fondements juridiques de la divulgation, de l'utilisation ou de la collecte des données à caractère personnel ?
  • Les données à collecter :
    • Données sensibles
    • Données relatives à la santé
    • Autres données

Notification des violations

Lorsqu'un responsable du traitement des données prend connaissance d'une violation de données affectant la protection des données à caractère personnel, il dispose de 72 heures pour en informer le bureau. Si la violation de données a un impact significatif ou comporte un risque élevé pour la liberté et les droits de la personne concernée, cette dernière doit également être notifiée dans les meilleurs délais.

Obligations de sécurité en matière de protection des données

Le responsable du traitement des données a le devoir d'assurer la sécurité des données :

  • Une fois la période de conservation terminée, il doit y avoir un système approprié pour détruire les enregistrements une fois le traitement des données terminé.
  • Méthodes visant à empêcher le responsable du traitement des données de divulguer ou d'utiliser les données d'une manière qui n'a pas été autorisée ou qui est illégale.
  • Toutes les mesures raisonnables sont prises pour protéger la confidentialité des données et empêcher la correction, la divulgation, l'altération, l'utilisation, l'accès ou la perte illicites des données pendant leur stockage.

Transfert transfrontalier

Bien que les "normes de protection des données adéquates" n'aient pas encore été officiellement établies, on s'attend à ce que, lorsque des données personnelles sont transférées ailleurs dans le monde, le pays doit avoir des normes de protection adéquates car elles régissent la protection des données. La seule exception est lorsque les exemptions sont respectées.

Sanctions liées aux manquements à la protection des données

Selon la gravité des violations de la loi sur la protection des données personnelles, des amendes administratives, des amendes pénales, la responsabilité pénale ou la responsabilité civile peuvent s'appliquer.

Par exemple, lorsque le consentement est requis par la loi, mais qu'un responsable du traitement des données a collecté des données auprès d'une personne concernée sans son consentement, il recevra une amende pouvant aller jusqu'à 3 millions THB.

Se préparer à la loi sur la protection des données (PDPA)

Dispositions transitoires

Les données collectées avant le 27 mai 2020 peuvent encore être utilisées, à condition que le responsable du traitement prenne les mesures suivantes :

  • Les personnes concernées doivent avoir la possibilité de s'opposer à l'utilisation de leurs données personnelles. La façon la plus populaire de le faire est de publier une méthode de retrait du consentement.
  • Si la personne concernée ne s'y oppose pas, les données à caractère personnel ne doivent être utilisées que dans le but pour lequel elles ont été initialement collectées.

Se préparer à la conformité en matière de protection des données :

  • Vous devez d'abord déterminer si la LPDP s'applique aux activités que vous allez entreprendre.
  • Si vous découvrez que la PDPA s'applique à vos activités, vous devez prendre les mesures suivantes :
    • Faites une carte de votre flux de données.
    • Si vous reprenez des données personnelles existantes, assurez-vous que vos sujets ont la possibilité de s'y opposer, puis veillez à n'utiliser que les données personnelles pour lesquelles vous n'avez pas reçu d'objection. En outre, veillez à ce que ces données personnelles ne soient utilisées que conformément à leur finalité initiale.
    • Assurez-vous que le traitement des données est conforme à la norme nationale de protection des données et que vous avez mis en place des protocoles de consentement des données à jour.
    • Assurez-vous que vous disposez d'une base juridique pour la divulgation, l'utilisation et la collecte de ces données personnelles dont vous pourriez avoir besoin dans le cadre de votre activité. Il doit y avoir un avis de confidentialité et une demande de consentement explicite de toute partie auprès de laquelle vous souhaitez collecter des données personnelles, y compris les partenaires commerciaux.
    • Assurer le respect de toute autre obligation attendue d'un contrôleur de données.

Comment régir la protection des données dans les PME ?

Il peut être plus facile de garantir la conformité dans les petites entreprises, car il est plus difficile de dissimuler des éléments tels que l'exploitation indue. D'autres aspects clés sont plus faciles à suivre et une communication plus directe avec les personnes concernées est possible. Les propriétaires de données peuvent consacrer du temps et des efforts à la portabilité des données si nécessaire, ainsi qu'à l'obtention du consentement le cas échéant, et s'assurer que la loi consolidée est suivie de près par les responsables du traitement des données. La communication et la transparence avec la personne concernée avant la collecte des données sont également plus faciles à l'ère numérique, et les activités de traitement prennent moins de temps lorsque le pool de données est plus petit.

N'oubliez pas qu'en cas de transfert de données, vous devez vous assurer que le responsable du traitement des données envoie des notifications à ce sujet. Le gouvernement thaïlandais appliquera des dommages-intérêts punitifs et des sanctions pénales en cas de violation de la confidentialité et de non-respect des normes de propriété intellectuelle. L'ère numérique a fortement influencé la manière dont les données et les intérêts sont gérés dans le monde entier, et la Thaïlande n'est pas le seul pays à s'être doté d'une nouvelle loi sur la protection des données.

Les sanctions peuvent être aussi sévères qu'une forte amende ou une peine d'emprisonnement pouvant aller jusqu'à un an, en particulier dans le cas de violations de données très sensibles (par exemple, dans le domaine de la santé publique) ou de grande ampleur. N'oubliez pas que cette loi est un décret royal et qu'elle vise à préparer la Thaïlande à se conformer aux normes internationales.

Résumé

Si vous êtes victime d'une violation ou d'une fuite de données personnelles, n'hésitez pas à nous contacter. Juslaws & Consult est toujours là pour protéger vos intérêts.   

Les ressources suivantes pourraient vous intéresser :
Créez votre société thaïlandaise avec BOI Thailand
Parlez à un avocat spécialisé dans les licences d'entreprises étrangères
Tout ce que vous devez savoir sur - Company Registration Thailand
Affaires et commerce
'
Créer une entreprise de cannabis en Thaïlande
'
Bureau de représentation
'
Partenariats
'
TAFTA
'
JTEPA
'
Joint Venture
'
Centres de commerce international (CCI)
'
Siège international (IHQ)
'
Licence d'usine
'
Succursale
'
US Amity Treaty Company
'
Créer une entreprise de cannabis en Thaïlande
'
Bureau de représentation
'
Partenariats
'
TAFTA
'
JTEPA
'
Joint Venture
'
Centres de commerce international (CCI)
'
Siège international (IHQ)
'
Licence d'usine
'
Succursale
'
US Amity Treaty Company
'
Enregistrement d'une société en Thaïlande
'
Inscription au BOI
'
Licence d'entreprise étrangère
'
Douanes thaïlandaises et zone franche
'
Permis de travail en Thaïlande
'
Visa en Thaïlande
'
Diligence raisonnable des entreprises
'
Enregistrement d'une marque
'
Restructuration d'entreprise et règlement des dettes
Voir plus
Nous sommes là pour vous aider
Veuillez remplir le formulaire et nous vous contacterons dans les plus brefs délais.
Sélectionnez la branche
Enquête envoyée
Merci de nous avoir contactés
Nous vous contacterons dès que possible

. Veuillez nous laisser jusqu'à 24 heures
pour vous répondre. 
Équipe du service clientèle
Oups ! Un problème est survenu lors de la soumission du formulaire.
Navigation
'
Accueil
'
Contentieux civil
'
Contentieux pénal
'
Affaires et commerce
'
Propriété et investissement
'
ADR & Arbitrage
'
Fiscalité
'
Politique de confidentialité
'
Nous contacter
Prix et adhésions
Bureau de Bangkok
140 One Pacific Place, suite 1905-1907, 19e étage, Sukhumvit Road, Klong Toey district, Bangkok 10110, Thaïlande
+66 94 218 4278
+66 2 114 3232
+66 2 254 4117
inquiries@juslaws.com
+66 95 248 4292 - 24 Hrs
legal@juslaws.com
property@juslaws.com
Bureau de Phuket
The Royal Place 96/66 Moo 1, Kathu, Kathu, Phuket 83120, Thaïlande
+66 94 218 4278
+66 2 114 3233
+66 7 630 4353
inquiries@juslaws.com
+66 95 248 4292 - 24 Hrs
legal@juslaws.com
property@juslaws.com
© 2024, Juslaws & Consult Co, Ltd. Tous droits réservés.
Site web de Upmedio