Entrée en vigueur de la Loi Thaïlandaise sur la Protection des Données Personnelles

Le 1er juin 2022, la Loi thaïlandaise sur la protection des données personnelles (“PDPA”) est entrée en vigueur après trois ans de retards. Le PDPA, initialement promulgué en mai 2019, prévoit un délai de grâce d’un an, les principales dispositions opérationnelles de la loi devant initialement entrer en vigueur en 2020. En raison de la pandémie de COVID-19, cependant, le gouvernement thaïlandais a publié des décrets royaux pour prolonger la date limite de conformité au 1er juin 2022.

Le PDPA reflète à bien des égards le Règlement Général sur la Protection des Données de l’UE (”RGPD »). Plus précisément, il exige que les responsables du traitement et les sous-traitants disposent d’une base juridique valide pour le traitement des données à caractère personnel (i.e., données permettant d’identifier directement ou indirectement des personnes physiques vivantes). Si ces données personnelles sont des données personnelles sensibles (telles que des données de santé, des données biométriques, la race, la religion, la préférence sexuelle et le casier judiciaire), les responsables du traitement et les sous-traitants doivent s’assurer que les personnes concernées donnent leur consentement explicite pour toute collecte, utilisation ou divulgation de ces données. Des dérogations sont accordées pour intérêt public, obligations contractuelles, intérêt vital ou respect de la loi.

Le PDPA s’applique à la fois aux entités en Thaïlande et à l’étranger qui traitent des données personnelles pour la fourniture de produits ou de services en Thaïlande. Comme le RGPD, les personnes concernées se voient garantir des droits, notamment le droit d’être informées, d’accéder, de rectifier et de mettre à jour les données; restreindre et s’opposer au traitement; et le droit à l’effacement et à la portabilité des données. Les infractions peuvent entraîner des amendes comprises entre 500 000 bahts (14 432 dollars américains) et 5 millions de bahts,plus une indemnisation punitive. Certaines violations impliquant des données personnelles sensibles et la divulgation illégale sont également passibles de sanctions pénales, notamment une peine d’emprisonnement pouvant aller jusqu’à un an.