Qu'est-ce que la PDPA ?

Après avoir été reportée depuis 2019, la loi sur la protection des données personnelles est entrée en vigueur en Thaïlande le 1er juin 2022, avec l'intention de garantir aux membres du public que leurs données personnelles sont protégées et ne font pas l'objet d'une utilisation abusive. Considérée comme l'adaptation thaïlandaise du GDPR, la réglementation sur la confidentialité des données de cette loi porte sur les mêmes points clés que les droits des données, le contrôle des données et les sanctions en cas de non-conformité.

‍

Bien que les idéaux fondamentaux de cette loi soient très similaires à ceux du GDPR, il est très important que les entreprises opérant en Thaïlande prennent l'initiative de rester informées et à jour sur les dispositions de la PDPA, les sanctions en cas de non-conformité, ainsi que les obligations et les libertés des responsables du traitement des données.  

‍

Introduction

Définitions clés de la LPDP

• Données à caractère personnel : Toute information se rapportant à une personne déterminée et permettant de l'identifier, directement ou indirectement, à l'exclusion des informations relatives aux personnes décédées.
• Personne : Une personne physique.
• Responsable du traitement des données : Personne ou personne morale ayant le pouvoir et les devoirs de prendre des décisions concernant la collecte, l'utilisation ou la divulgation des données à caractère personnel.

Comment la PDPA est-elle appliquée ?

La PDPA établit des règles concernant la collecte et l'utilisation des données à caractère personnel. Elle s'applique à toutes les entreprises situées en Thaïlande, que les données aient été collectées ou diffusées en dehors du pays ou non. La PDPA s'applique également aux entreprises situées en dehors du royaume, si certaines conditions sont remplies :

• Lorsque des biens ou des services sont proposés aux personnes concernées ou aux citoyens en Thaïlande, qu'il y ait ou non paiement.
• Lors de la surveillance des personnes concernées ou du comportement des citoyens en Thaïlande.

Quelles sont les bases légales de la PDPA ?
‍

Il existe six bases légales qui doivent être respectées dans chaque acte de collecte ou d'utilisation de données afin de rester conforme à la LPDP. Tous les autres cas que ces bases légales ne couvrent pas nécessitent le consentement de la personne concernée pour la collecte, l'utilisation et la divulgation des données à caractère personnel. Les finalités légitimes sont les suivantes :

1. pour la préparation de documents historiques ou d'archives dans l'intérêt public, ou relatifs à la recherche ou aux statistiques, dans lesquels des mesures appropriées pour sauvegarder les droits et libertés de la personne concernée sont mises en place et conformément à toute notification prescrite par l'Office ;
2. pour prévenir ou supprimer un danger pour la vie, le corps ou la santé d'une personne ;
3. lorsque cela est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie, ou pour prendre des mesures à la demande de la personne concernée avant de conclure un contrat ;
4. lorsque cela est nécessaire à l'exécution d'une mission d'intérêt public par le responsable du traitement des données ou à l'exercice de l'autorité publique dont est investi le responsable du traitement des données ;
5. pour les intérêts légitimes du responsable du traitement ou de toute autre personne, sauf si les droits fondamentaux des personnes concernées à l'égard de leurs données à caractère personnel l'emportent sur ces intérêts ; ou
6. lorsque cela est nécessaire pour se conformer à toute loi à laquelle le responsable du traitement des données est soumis.

Consentement
‍

Certains critères doivent être remplis pour que le consentement de la personne concernée soit considéré comme valide :

• le consentement doit être explicitement donné par écrit ou par voie électronique ;
• la personne concernée doit être informée de la finalité de la collecte, de l'utilisation ou de la divulgation des données à caractère personnel ;
• la demande de consentement doit se distinguer clairement des autres contenus fournis à la personne concernée ;
• la forme de la demande de consentement doit être facilement accessible et intelligible ;
• la demande de consentement doit être formulée dans un langage clair et simple ; et
• la demande de consentement ne doit pas être trompeuse ou induire en erreur la personne concernée quant à ses objectifs.

Avis de confidentialité
‍

L'avis de confidentialité a pour but de tenir les personnes concernées informées du moment où leurs données sont collectées et de l'usage qui en est fait. Le responsable du traitement des données doit fournir à la personne concernée un avis de confidentialité avant ou au moment de la collecte des données à caractère personnel. L'avis doit contenir les informations suivantes :

• les données à caractère personnel à collecter ;
• la finalité de la collecte, de l'utilisation ou de la divulgation des données à caractère personnel, y compris la base juridique invoquée ;
• si la personne concernée doit fournir ses données à caractère personnel, y compris les conséquences si la personne concernée ne fournit pas les données à caractère personnel ;
• la durée de conservation des données à caractère personnel et, s'il n'est pas possible de spécifier une durée de conservation, la durée de conservation des données prévue conformément à la norme de conservation des données ;
• les catégories de personnes ou d'entités auxquelles les données à caractère personnel peuvent être communiquées ;
• les coordonnées du responsable du traitement et, le cas échéant, les coordonnées du représentant du responsable du traitement ou du délégué à la protection des données ; et
• les droits de la personne concernée, qui comprennent le droit de retirer son consentement, le droit d'accéder aux données à caractère personnel et d'en obtenir une copie, le droit de demander le transfert des données à caractère personnel dans des formats lisibles par machine à d'autres responsables du traitement, le droit de s'opposer à la collecte, à l'utilisation et à la divulgation des données à caractère personnel, le droit de demander l'effacement, le droit de demander la suspension de l'utilisation, le droit d'obtenir que les données à caractère personnel soient conservées avec exactitude et le droit de déposer une plainte.

Notification des violations
‍

Le responsable du traitement des données est tenu de notifier à l'Office toute violation de données affectant des données à caractère personnel dans un délai de 72 heures après en avoir pris connaissance. Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés de la personne concernée, cette dernière doit également être notifiée sans délai.
‍

Obligations de sécurité
‍

Le responsable du traitement des données a l'obligation d'assurer la sécurité des données à caractère personnel, notamment en ce qui concerne les points suivants :

• veiller à ce que des mesures de sécurité appropriées soient mises en place pour empêcher la perte, l'accès, l'utilisation, l'altération, la correction ou la divulgation non autorisés ou illégaux des données à caractère personnel ;
• empêcher le destinataire des données à caractère personnel (par exemple un sous-traitant) d'utiliser ou de divulguer ces données à caractère personnel de manière illégale ou sans autorisation ; et
• s'assurer qu'il existe un système permettant de détruire les données à caractère personnel à l'expiration de la période de conservation.

Transfert transfrontalier de données
‍

Si un responsable du traitement envoie ou transfère des données à caractère personnel vers un pays étranger, le pays de destination qui reçoit ces données doit disposer de normes adéquates de protection des données, à moins qu'une dérogation ne soit prévue (par exemple, le consentement de la personne concernée est obtenu pour le transfert des données à caractère personnel vers un pays dont les normes de protection des données ne sont pas adéquates, ou le transfert est effectué pour se conformer à la loi). La ligne directrice sur le niveau adéquat de protection des données n'a pas encore été publiée.
‍

Pénalités
‍

Une violation de la LPDP peut entraîner une responsabilité civile, une responsabilité pénale et des amendes administratives. Par exemple, un responsable du traitement des données qui collecte, utilise ou divulgue des données à caractère personnel sans le consentement de la personne concernée (lorsque ce consentement est requis) sera tenu responsable.
‍

‍

Liens

• Lien vers le texte officiel (langue thaïlandaise)
• Lien vers la version anglaise (traduction non officielle)

Comment Manatal vous aide à rester conforme

‍

La confidentialité des données personnelles, les vôtres comme celles de vos candidats, étant de la plus haute importance pour nous, notre plateforme a été conçue pour simplifier et faciliter la conformité aux réglementations de la PDPA. À cette fin, nous avons inclus des fonctionnalités qui aident les utilisateurs de Manatal à répondre aux exigences spécifiques fixées par la LPDP. Notre objectif est de vous fournir les outils nécessaires pour respecter les lois et réglementations en matière de protection des données et rester informé des différents droits qui vous sont accordés, à vous et à vos candidats, lorsque vous recrutez.

Manatal soutient votre conformité à la PDPA en vous permettant de :

• Automatiser le traitement des données en recueillant le consentement des candidats par courrier électronique
• Consigner le consentement des personnes concernées
• Publier la politique de confidentialité de votre organisation et les conditions de conformité à la PDPA
• Supprimer définitivement les informations relatives aux candidats
• Nous soutenons également d'autres droits de la personne concernée, tels que le droit à l'information :
• Droit d'accès
• Droit de rectification
• Droit d'opposition
• Rapports de conformité

‍