À l’instar du RGPD, l’application de cette loi a commencé le 1er juin
Il existe une nouvelle loi sur la protection de la vie privée dont les spécialistes du marketing et les propriétaires de sites Web doivent être au courant.
L’application de la loi thaïlandaise sur la protection des données personnelles a commencé le 1er juin après trois ans de retard. Promulguée à l’origine en mai 2019, cette loi reflète le Règlement général sur la protection des données de l’Union européenne et rejoint une longue liste de lois destinées à protéger les internautes et les informations personnelles.
Plus précisément, cette loi exige que les responsables du traitement et les sous-traitants aient l’autorisation de traiter des données personnelles – des informations permettant d’identifier une personne, directement ou indirectement. Il faut obtenir un consentement explicite pour recueillir, utiliser ou divulguer des données classées comme personnelles et sensibles, comme des renseignements sur la santé d’une personne, sa race et sa religion, son orientation sexuelle, son casier judiciaire et tout autre renseignement biométrique. Il existe une poignée d’exceptions, notamment pour l’intérêt public, les obligations contractuelles, le respect de la loi thaïlandaise ou tout ce qui est considéré comme d’intérêt vital.
Les amendes commencent à 500 000 bahts thaïlandais, soit environ 14 400 dollars, et peuvent atteindre 5 millions de bahts thaïlandais, soit plus de 144 000 dollars aux taux de change actuels. En plus de cela, les régulateurs peuvent appliquer des dommages-intérêts punitifs. Certaines violations, y compris celles qui impliquent des données sensibles et leur exposition illégale, peuvent même conduire les délinquants dans une prison thaïlandaise jusqu’à un an.
Parmi les principales mesures que les sites Web opérant dans le pays devront prendre, citons la mise à jour ou la publication d’une nouvelle politique de confidentialité, la fourniture aux visiteurs du site Web de formulaires de consentement si nécessaire, la tenue d’un registre de toutes les activités de traitement, la conclusion d’accords de traitement des données avec les tiers concernés et la mise en place de mesures de sécurité robustes qui permettraient d’éviter une violation de la sécurité en premier lieu. Certaines entités, telles que les grandes entreprises et de nombreux ministères, peuvent également avoir besoin de nommer un « délégué à la protection des données ».
De plus amples informations devraient être publiées dans les mois à venir, afin que les parties prenantes puissent s’assurer qu’elles mettent en œuvre les bonnes politiques et qu’elles peuvent ensuite les respecter.
La nouvelle loi thaïlandaise sur la protection des données reflète d’autres réglementations similaires
Les actions en Thaïlande reflètent des actions similaires qui ont eu lieu dans le monde entier ces dernières années.
La loi la plus notable sur la protection des données est le Règlement général sur la protection des données (RGPD) de l’Union européenne, qui est entré en vigueur le 25 mai 2018. Elle s’applique aux organisations au sein de l’Union européenne qui utilisent des données à caractère personnel, ainsi qu’à toute organisation internationale qui fournit des biens et des services à des personnes dans l’UE ou qui surveille leur comportement.
D’autres pays ont rapidement élaboré leurs propres réglementations. Le Brésil a approuvé la loi générale sur la confidentialité des données, et l’Argentine et l’Inde ont adopté leurs propres lois similaires. Aux États-Unis, la California Consumer Privacy Act a promulgué des réglementations similaires et a rapidement été rejointe par la California Privacy Rights Act, la Consumer Data Protection Act en Virginie et la Colorado Privacy Act.
Informations complémentaires dans la loi sur la protection des données personnelles
Bien que les caractéristiques les plus notables de la loi soient l’obligation pour les contrôleurs de données et les processeurs de données, publics et privés, d’obtenir le consentement des utilisateurs du site Web avant de traiter, de collecter ou de divulguer des informations personnelles, la loi comporte d’autres parties, note une publication régionale.
Les personnes dites « concernées » ont également le droit de demander l’accès à leurs données personnelles et même d’exiger que ces données soient effacées. De plus, ils peuvent s’opposer à la collecte, à l’utilisation ou à la divulgation de leurs renseignements.
Les données à caractère personnel sont définies par la loi comme « toute information relative à une personne qui permet de l’identifier, directement ou indirectement. Cela ne s’étend pas aux informations relatives aux personnes décédées en particulier.
La loi explique que des délégués à la protection des données doivent être nommés pour les organismes gouvernementaux et les organisations ayant de grandes activités de traitement de données. Ces agents sont chargés d’aider l’organisation à s’assurer que les informations personnelles des personnes concernées sont traitées conformément à la loi thaïlandaise et seront les personnes de contact pour tout problème survenant entre les personnes concernées et ceux qui collectent des données personnelles.
Les collecteurs de données thaïlandais tardent à répondre aux exigences de la nouvelle loi
Bien que la loi ait été adoptée en 2019 et que sa mise en œuvre ait été retardée de trois ans, la mise en conformité avec la nouvelle réglementation a été lente. Une enquête menée par le Conseil thaïlandais de commerce et la Chambre de commerce thaïlandaise a révélé que seulement 8 % des entreprises interrogées avaient pris des mesures pour s’assurer qu’elles étaient pleinement conformes à la loi, et que près d’un tiers des personnes interrogées, soit 31 %, n’avaient rien fait pour être en conformité.
L’un des adhérents notables est Alibaba Cloud, le service informatique chinois qui fait partie d’Alibaba, le géant régional du commerce électronique. Alibaba Cloud a récemment ouvert un centre de données en Thaïlande, et le centre est conforme aux nouvelles réglementations nationales.
L’application de la loi sera laxiste pendant la première année, note le Bangkok Post, à mesure que les régulateurs et les entités comprendront la loi et la manière dont elle s’applique à leurs opérations. Il est probable que seuls des avertissements seront émis au cours des 12 premiers mois, car le gouvernement exhortera les contrevenants à se conformer aux directives.
Recueillez-vous des renseignements personnels ?
La première étape pour comprendre comment la nouvelle loi thaïlandaise s’applique à vous est de savoir si vos sites Web collectent des cookies, quelles informations sont collectées, ce qui en est fait et qui d’autre y a accès.
C’est là qu’une plateforme de gestion du consentement comme celle proposée par CookieHub peut entrer en jeu. CookieHub dispose d’outils et de solutions pour s’assurer que votre site web est conforme aux lois telles que le RGPD et d’autres.
Pour en savoir plus, contactez CookieHub dès aujourd’hui.