Les cadres légaux de protection des données et de la vie privée se sont de plus en plus développés à l’échelle mondiale. C’est particulièrement le cas en Asie : au cours des deux dernières années, plusieurs juridictions clés, dont la Chine, l’Inde, l’Indonésie et le Vietnam, ont soit introduit leurs premières réglementations sur la protection des données, soit mis à jour et réformé leurs réglementations existantes.
Ces réglementations ont été de manière générale très influencées par le Règlement général sur la protection des données de l’UE (RGPD), lui empruntant certains concepts, et fixant une norme de conformité élevée pour les organisations qui traitent des données à caractère personnel.
Vous trouverez ci-dessous un aperçu de l’approche de l’Inde en matière de protection de la vie privée.
Vous pourrez découvrir les approches nationales de la Chine, de l’Indonésie, de Singapour et du Viêt Nam en suivant les liens ci-dessous.
- Chine – Personal Information Protection Law (PIPL)
- Inde – Digital Personal Data Protection Act (DPDPA)
- Singapour – Personal Data Protection Act (PDPC)
- Viêt Nam – Personal Data Protection (DPDP)
Notre Asia Data Privacy Taskforce : Chez DS Avocats, nous avons développé une forte expertise sur les questions de protection des données en Asie, nous permettant d’assister nos clients dans le développement de leurs opérations tout en tenant compte de leurs obligations en matière de conformité des données. Notre connaissance du RGPD nous permet également de faire le lien entre les besoins des sièges européens et ceux des filiales locales en Chine, Inde, Indonésie, Singapour et au Viêt Nam.
La loi indonésienne sur la protection des données personnelles (loi n° 27 de l’année 2022) (« PDPL »), attendue depuis longtemps, est finalement entrée en vigueur le 17 octobre 2022. Avec sa couverture extraterritoriale, la PDPL s’applique tant aux activités de traitement en dehors du territoire indonésien qu’aux activités ayant un effet ou des conséquences juridiques en Indonésie et/ou envers des personnes indonésiennes se trouvant à l’étranger. Elle opère un classement des données personnelles en catégories spécifiques et générales. La PDPL vient réglementer diverses activités de traitement des données personnelles, en mettant l’accent sur des principes tels que la collecte limitée et transparente des données, le traitement exact et les mesures de sécurité. Des dispositions transitoires prévoient une période de mise en conformité de deux ans pour les entités impliquées dans le traitement des données personnelles.
PDPL et RGPD
Le PDPL est à la fois proche et différent du RGPD.
Les deux règlements adoptent en effet une définition large de la notion de « données à caractère personnel » et créent différentes catégories de données en fonction de leur sensibilité. Le PDPL a choisi d’adopter une approche extraterritoriale similaire à celle du RGPD, s’appliquant à toute entité qui traite des données personnelles de citoyens indonésiens, qu’ils se trouvent ou non en Indonésie, ainsi qu’aux entités ne relevant pas de la juridiction indonésienne mais ayant un impact en Indonésie.
En outre, elles visent toutes deux à sauvegarder les droits des personnes, en soulignant l’importance de la protection des données à caractère personnel en tant que droit de l’homme. Cette protection est obtenue en donnant la priorité à un traitement transparent et responsable des données personnelles, en veillant à ce que les personnes soient informées et les organisations responsables de leurs pratiques en matière de données personnelles.
La PDPL est toutefois très différente du RGPD en ce qui concerne les pouvoirs des organismes de réglementation. Alors que la loi indonésienne donne au gouvernement un rôle important dans la formulation des politiques, la supervision de la mise en œuvre et l’application des sanctions, le RGPD s’appuie sur des autorités indépendantes.
En outre, la PDPL met l’accent sur la promotion de la croissance de l’économie numérique et de l’industrie des technologies de l’information parallèlement à la protection des données personnelles, ce qui reflète une double orientation vers le développement et la protection de la vie privée, tandis que le RGPD promeut la protection des droits individuels.
Exigences en matière de transfert transfrontalier de données
En vertu de la PDPL, les responsables du traitement transférant des données à caractère personnel à l’étranger doivent s’assurer que le pays destinataire dispose d’un niveau de protection des données équivalent ou supérieur au leur. Cependant, alors que le RGPD met l’accent sur la mise en adéquation, la PDPL se concentre sur la garantie du niveau de protection de l’entité destinataire. En outre, la PDPL introduit la possibilité d’obtenir l’approbation de la personne concernée si une protection équivalente n’est pas assurée, une disposition qui n’est pas explicitement présente dans le RGPD.
La PDPL prévoit des sanctions administratives pour garantir le respect des règles. Ces sanctions sont conçues pour encourager les organisations à adhérer aux principes et à se conformer aux obligations énoncées dans la PDPL. La sévérité de la sanction dépend de la nature et de l’étendue de la violation, afin d’équilibrer l’application de la loi avec l’objectif de promouvoir un traitement responsable et licite des données à caractère personnel.
Présentation de la PDPL
| Mpo | Law No. 27 Year 2022, Personal Data Protection Law Régulation spécifique : Bancaire / Services financiers |
| Régulateur | Ministry of Communication and Informatics of the Republic of Indonesia |
| Champ d’application | Extraterritorial Toute entité traitant des données personnelles indonésiennes, qu’elle se trouve à l’intérieur ou à l’extérieur de l’Indonésie. |
| Définition de données personnelles | Personal data means any data related to identified or identifiable individuals, separately or in combination with other information, directly or indirectly, through an electronic or non-electronic system. Les données personnelles sensibles comprennent : 1. les données relatives à la santé et à l’information 2. les données biométriques 3. les données génétiques 4. les casiers judiciaires 5. les données relatives aux enfants 6. les données financières personnelles ; et/ou 7. d’autres données conformément aux dispositions législatives et réglementaires. |
| Parties prenantes au traitement des données | Contrôleur : toute personne ou société, institution publique et organisation internationale agissant individuellement ou conjointement qui détermine les finalités et contrôle les activités de traitement des données à caractère personnel. Sous-traitant : toute personne ou société, institution publique et organisation internationale agissant individuellement ou conjointement dans le traitement de données à caractère personnel pour le compte du contrôleur. |
| Principes compris dans le PIPL | 1. Traitement licite, équitable et transparent 2. Limitation des finalités 3. Minimisation des données 4. Précision des donnéess 5. Intégrité, sécurité et confidentialité 6. Conservation légale 7. Garantie des droits des personnes concernées 8. Responsabilité |
| Droits des personnes | 1. Droit d’obtenir des informations 2. Droit de compléter, de mettre à jour et/ou de rectifier des erreurs ou des inexactitudes 3. Droit d’accès aux données ou aux copies des données 4. Droit de mettre fin au traitement, à la suppression ou à l’élimination des données 5. Droit de retirer son consentement 6. Droit de s’opposer à la prise de décision automatisée 7. Droit de restreindre le traitement 8. Droit d’intenter une action en justice 9. Droit d’obtenir, d’utiliser ou de transférer ses données 10. Droit de déposer une plainte auprès de l’autorité ou des autorités compétentes en matière de protection des données |
| Sécurité | Le contrôleur et le sous-traitant sont tenus de protéger et d’assurer la sécurité des données à caractère personnel traitées. Pour ce faire, ils doivent a) en préparant et en mettant en œuvre des mesures techniques opérationnelles pour protéger les données à caractère personnel contre toute perturbation du traitement des données ; b) en déterminant le niveau de sécurité des données à caractère personnel en tenant compte de la nature et des risques des données à caractère personnel traitées ; et c) en utilisant un système de sécurité pour les données à caractère personnel traitées et/ou en traitant les données à caractère personnel à l’aide d’un système électronique d’une manière fiable, sûre et responsable. |
| Consentement | Les enfants : en vertu du PDP, le traitement des données personnelles des enfants nécessite le consentement de leurs parents ou de leur tuteur légal. Le PDPL renvoie à d’autres lois le soin de fixer l’âge du consentement. Selon la Law No. 23 of 2002 regarding Child Protection, as amended by Law No. 35 of 2014, un enfant est une personne qui n’a pas atteint l’âge de 18 ans. |
| Transfert de data transfrontalier | Le transfert transfrontalier de données peut être effectué si l’une des conditions suivantes est remplie : • le cédant doit s’assurer que le pays du destinataire dispose d’une norme de protection des données personnelles équivalente ou supérieure à la loi PDP ; • si la condition mentionnée à la lettre a n’est pas remplie, le cédant doit s’assurer de l’existence d’un instrument adéquat et contraignant (par exemple, une clause contractuelle type) ; ou • si les conditions mentionnées aux lettres a et b ne sont pas remplies, le cédant doit obtenir le consentement de la personne concernée. |
| Notification d’une violation | En cas de violation de données, le contrôleur est tenu de présenter une notification écrite aux personnes concernées et à l’autorité indonésienne de protection des données dans un délai de trois jours à compter de la violation. Dans certaines circonstances, la violation de données doit également être notifiée au public si elle perturbe les services publics et/ou a un impact important sur l’intérêt public. La notification doit contenir les éléments suivants • les données divulguées ; • le moment et la raison de la violation ; et • la mesure corrective prise par le responsable du traitement. |
| Sanctions / pénalités | (i) un avertissement écrit ; (ii) la suspension temporaire de l’activité de traitement des données ; (iii) l’effacement ou la destruction des données à caractère personnel ; et/ou (iv) une amende administrative d’un montant maximal de deux pour cent du revenu annuel ou de la recette annuelle de la variable d’infraction. |
