Loi thaïlandaise sur la protection des données personnelles
Conformez-vous aux principales dispositions de la loi PDPA.
Garantissez votre conformité à la loi thaïlandaise sur la protection des données personnelles.
Publiée dans le Journal officiel du 27 mai 2019, la loi thaïlandaise sur la protection des données personnelles Personal Data Protection Act ou PDPA (B.E. 2562 [2019]) régit la collecte, l’utilisation et la protection des données à caractère personnel et établit des mesures correctives pour les personnes concernées victimes d’une violation de leurs données à caractère personnel. La loi PDPA s’applique aux organisations situées en Thaïlande, qu’elles collectent et utilisent les données en Thaïlande ou non. Elle s’applique également aux organisations situées en dehors de la Thaïlande si elles offrent des biens et des services à des personnes concernées en Thaïlande, ou si elles effectuent un suivi du comportement des personnes concernées en Thaïlande.
La loi thaïlandaise sur la protection des données personnelles PDPA de la Thaïlande est basée sur le Règlement Général sur la Protection des Données (RGPD) de l’UE, mais elle n’y est pas semblable en tous points. Ainsi, être en conformité avec le RGPD ne garantit pas la conformité avec la loi PDPA. Les entreprises opérant en Thaïlande ou avec des résidents thaïlandais doivent examiner la loi PDPA pour assurer leur conformité.
Une des façons de garantir la conformité est de s’assurer que les données à caractère personnel que votre organisation détient sont protégées par des techniques de pseudonymisation cryptographiques, telles que la tokénisation, et que les clés cryptographiques sous-jacentes sont protégées en les stockant et en les gérant dans des modules matériels de sécurité (HSM) Entrust nShield® certifiés FIPS et Critères Communs.
Entrust peut vous aider à vous conformer à de nombreuses exigences spécifiques de la loi thaïlandaise sur la protection des données personnelles PDPA.
Règlement
Le responsable du traitement a les obligations suivantes :
- Fournir des mesures de sécurité appropriées pour empêcher la perte, l’accès, l’utilisation, la modification, la correction ou la divulgation non autorisés ou illégaux de données à caractère personnel...
- Dans le cas où les données à caractère personnel doivent être fournies à des personnes physiques ou morales autres que le responsable du traitement, le responsable du traitement doit prendre des mesures pour empêcher ces personnes d’utiliser ou de divulguer ces données à caractère personnel illégalement ou sans autorisation.
- Mettre en place le système d’examen pour l’effacement ou la destruction des données à caractère personnel à l’issue de la période de conservation, ou lorsque les données à caractère personnel ne sont pas pertinentes ou dépassent la finalité pour laquelle elles ont été collectées, ou lorsque la personne concernée en fait la demande, ou lorsque la personne concernée retire son consentement...
Le sous-traitant des données à caractère personnel a les obligations suivantes :
- Préparer et tenir des registres des activités de traitement des données à caractère personnel conformément aux règles et méthodes établies par le Comité.
Le délégué à la protection des données a les obligations suivantes :
- Maintenir la confidentialité des données à caractère personnel connues ou acquises dans le cadre de l’exercice de ses fonctions en vertu de la présente loi.
Conformité
L’équipe des Services professionnels d’Entrust a développé une solution personnalisée de tokénisation qui sécurise les renseignements personnels. La solution Entrust répond aux exigences suivantes de la loi PDPA :
- Sécurisation des données à caractère personnel. La solution convertit les données de texte brut en unités qui ne permettent pas de remonter aux données d’origine. Pour sécuriser davantage les données, l’accès à la solution est contrôlé par une authentification des utilisateurs basée sur la cryptographie, et les clés cryptographiques sous-jacentes sont stockées et gérées dans des modules matériels de sécurité (HSM) Entrust nShield certifiés FIPS et Critères Communs.
- Protection des données à caractère personnel légalement partagées contre la divulgation. La solution Entrust peut masquer partiellement les données avant de les envoyer à des entités tierces pour préserver leur confidentialité.
- Destruction des données à caractère personnel à l’issue des périodes de conservation. Une fois les délais de conservation des données écoulés, les clés d’unité peuvent être facilement supprimées des HSM Entrust nShield®, détruisant ainsi les données d’origine.
- Préparation et mise à jour des registres de traitement des données à caractère personnel. La solution Entrust fournit des journaux de tokénisation, de dé-tokénisation et d’appels de masquage servant de référence pour les audits.
Ressources
Fiche de conformité : Conformité à la loi thaïlandaise sur la protection des données à caractère personnel
La loi thaïlandaise PDPA (Personal Data Protection Act) régit la collecte, l’utilisation et la protection des données à caractère personnel, et établit des mesures correctives pour les personnes concernées victimes d’une violation de leurs données à caractère personnel. Découvrez comment Entrust peut aider votre organisation à se conformer à plusieurs dispositions de la loi PDPA thaïlandaise.
Conformez-vous à la loi thaïlandaise sur la protection des données à caractère personnel.
Brochures : Brochure de la famille des HSM Entrust nShield
Les HSM Entrust nShield offrent un environnement renforcé et inviolable pour le traitement cryptographique sécurisé, la génération de clés et leur protection, le chiffrement, etc. Disponibles selon trois facteurs de forme certifiés FIPS 140-2, les HSM Entrust nShield conviennent pour de nombreux scénarios de déploiement.