Guide PDPA Thaïlande : vos droits selon la loi sur la protection des données personnelles

La loi thaïlandaise sur la protection des données personnelles (PDPA / พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) est pleinement entrée en vigueur en juin 2022, donnant aux résidents de Thaïlande un contrôle significatif sur leurs données personnelles. Malgré plusieurs années d'existence, beaucoup de personnes en Thaïlande ne connaissent toujours pas leurs droits ni comment les exercer.

Ce guide détaille ce que le PDPA signifie pour vous en tant que particulier et comment reprendre le contrôle de vos données personnelles.

Ce que couvre le PDPA

Le PDPA s'applique à toute organisation — thaïlandaise ou étrangère — qui collecte, utilise ou divulgue les données personnelles de personnes en Thaïlande. Cela inclut :

• Les banques et institutions financières
• Les opérateurs télécom (AIS, TRUE, DTAC)
• Les plateformes e-commerce (Shopee, Lazada)
• Les réseaux sociaux
• Les hôpitaux et prestataires de santé
• Les agences gouvernementales
• Les employeurs
• Tout site web ou application que vous utilisez

Ce qui constitue des données personnelles

Type de données	Exemples
Identification	Nom, numéro d'identité nationale, numéro de passeport, données ThaiD
Coordonnées	Numéro de téléphone, email, ID LINE, adresse
Données financières	Comptes bancaires, numéros de carte de crédit, ID PromptPay
Données biométriques	Empreintes digitales, reconnaissance faciale, empreintes vocales
Données de santé	Dossiers médicaux, ordonnances, assurance maladie
Données de localisation	GPS, historique d'enregistrement, historique de déplacements
Activité en ligne	Historique de navigation, historique de recherche, cookies
Données professionnelles	Salaire, parcours professionnel, évaluations

Vos droits selon le PDPA

1. Droit d'être informé

Avant de collecter vos données, les organisations doivent vous informer de :

• Quelles données sont collectées
• Pourquoi elles en ont besoin
• Combien de temps elles les conserveront
• Avec qui elles les partageront
• Vos droits concernant ces données

En pratique : C'est le formulaire de consentement ou l'avis de confidentialité que vous voyez lors de l'inscription. Lisez-le — c'est important.

2. Droit au consentement

Vous devez donner un consentement clair avant la collecte de vos données, sauf dans des cas limités (obligation légale, intérêt vital, intérêt public ou intérêt légitime). Vous avez également le droit de :

• Retirer votre consentement à tout moment
• Refuser le consentement sans que le service principal vous soit refusé

3. Droit d'accès

Vous pouvez demander une copie de toutes les données personnelles qu'une organisation détient sur vous. Elle doit répondre sous 30 jours.

4. Droit à la portabilité des données

Vous pouvez demander vos données dans un format couramment utilisé et lisible par machine, et les faire transférer à un autre prestataire.

5. Droit de rectification

Si vos données sont inexactes ou incomplètes, vous avez le droit de demander une correction.

6. Droit à l'effacement

Vous pouvez demander à une organisation de supprimer vos données personnelles quand :

• Les données ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées
• Vous retirez votre consentement
• Vous vous opposez au traitement sans motif légitime prépondérant
• Les données ont été collectées illégalement

7. Droit à la limitation du traitement

Vous pouvez demander à une organisation de cesser d'utiliser vos données pendant la résolution d'un litige.

8. Droit d'opposition

Vous pouvez vous opposer au traitement à des fins de marketing direct à tout moment, sans condition.

Tableau récapitulatif des droits PDPA

Droit	Quand l'utiliser	Délai de réponse
Accès	Savoir quelles données sont détenues	30 jours
Effacement	Demander la suppression de données	30 jours
Rectification	Données incorrectes	30 jours
Portabilité	Changement de prestataire	30 jours
Opposition	Arrêter le marketing, le profilage	Immédiat pour le marketing
Limitation	Suspendre le traitement pendant un litige	30 jours
Retrait du consentement	Changer d'avis sur l'utilisation des données	Variable

Comment exercer vos droits PDPA

Étape 1 : Trouvez le contact protection des données

La plupart des organisations doivent avoir un Délégué à la Protection des Données (DPO) ou un contact désigné. Cherchez :

• La page de politique de confidentialité sur leur site
• Le contact DPO dans leurs conditions d'utilisation
• Le service client (précisez que votre demande relève du PDPA)

Étape 2 : Soumettez une demande écrite

Envoyez une demande formelle par email ou courrier. Incluez :

• Votre nom complet et vos coordonnées
• Une preuve d'identité (copie de pièce d'identité avec données masquées)
• Le droit spécifique que vous exercez
• La description des données concernées
• Une référence aux articles 30-36 du PDPA

Étape 3 : Suivez la réponse

Les organisations doivent répondre sous 30 jours. En cas de refus, elles doivent expliquer pourquoi par écrit.

Étape 4 : Escalade si nécessaire

Si l'organisation ne se conforme pas, vous pouvez déposer une plainte auprès de :

• Le Comité de protection des données personnelles (PDPC) — pdpc.or.th
• Les tribunaux — Vous pouvez demander une indemnisation pour les dommages causés par des violations du PDPA

Protégez vos données proactivement

Minimisez votre empreinte numérique

• Ne fournissez que les données strictement nécessaires
• Utilisez des adresses email séparées pour différents services
• Refusez la collecte facultative de données quand c'est possible
• Vérifiez régulièrement les autorisations des applications

Sécurisez ce que vous partagez

Quand vous devez partager des informations sensibles — numéro d'identité, coordonnées bancaires, dossiers médicaux — ne les envoyez jamais par WhatsApp ou email. Utilisez LOCK.PUB pour créer des notes chiffrées et protégées par mot de passe qui expirent automatiquement. Le destinataire consulte l'information avec un mot de passe, et elle s'autodétruit à expiration. Aucune donnée ne persiste dans les conversations ou archives email.

Audits réguliers des données

• Vérifiez les paramètres de confidentialité des réseaux sociaux chaque trimestre
• Vérifiez quelles applications ont accès à votre compte LINE
• Passez en revue les applications connectées à vos comptes Google et Apple
• Supprimez les comptes de services que vous n'utilisez plus

Obligations des entreprises

Selon le PDPA, les organisations qui violent les règles de protection des données encourent :

Violation	Sanction maximale
Amende administrative	Jusqu'à 5 millions THB
Sanction pénale	Jusqu'à 1 an d'emprisonnement et/ou 1 million THB d'amende
Responsabilité civile	Dommages réels + dommages punitifs (jusqu'à 2x les dommages réels)

Les entreprises doivent également :

• Nommer un Délégué à la Protection des Données (pour le traitement à grande échelle)
• Tenir un registre des activités de traitement
• Mettre en oeuvre des mesures de sécurité appropriées
• Notifier le PDPC des violations de données sous 72 heures
• Obtenir le consentement pour les transferts transfrontaliers (avec exceptions)

Scénarios PDPA courants au quotidien

• Une boutique en ligne continue d'envoyer des messages marketing après votre désinscription — Déposez une plainte PDPA pour violation du droit d'opposition
• Un ancien employeur divulgue vos informations salariales — Demandez l'effacement et déposez une plainte
• Un hôpital partage vos dossiers médicaux sans consentement — Cela viole les protections des données sensibles du PDPA
• Un opérateur télécom vend vos données aux annonceurs — Demandez l'accès pour savoir qui a reçu vos données, puis exigez la suppression

En résumé

Le PDPA vous donne un pouvoir réel sur vos données personnelles. L'exercice de ces droits est gratuit, et les organisations doivent se conformer sous 30 jours. Commencez par vérifier quels services détiennent vos données et demandez la suppression à ceux que vous n'utilisez plus.

Pour partager des informations personnelles sensibles quand c'est nécessaire, rendez-vous sur LOCK.PUB pour créer des notes chiffrées gratuites qui s'autodétruisent — garantissant que vos données ne persistent pas plus longtemps que nécessaire.