Loi indonésienne sur la protection des données personnelles (PDP)

Garantir l'exactitude du traitement des données, protéger les données contre les abus, les pertes ou les dommages et démontrer la conformité.

PLANIFIEZ UNE DÉMONSTRATION DEMANDEZ UN DEVIS

Qu'est-ce que la loi PDP &? Quand entre-t-elle en vigueur ?

La loi indonésienne sur la protection des données personnelles (PDP) régit les activités de traitement des données personnelles pour tous les types d'entreprises et d'industries, qu'elles soient privées ou publiques. Largement inspirée du règlement général sur la protection des données de l'Union européenne ("GDPR") et devant entrer en vigueur en octobre 2024, la loi (loi n° 27 de 2022) réglemente la collecte, l'utilisation, la divulgation et le traitement des données à caractère personnel.

Première réglementation complète en matière de protection des données dans le pays, la loi a été créée en réponse à des violations de données qui ont révélé des lacunes dans les lois existantes, à l'utilisation et à la collecte accrues de données personnelles et à la tendance mondiale, au fil des ans, à l'adoption de réglementations plus strictes et plus rigoureuses en matière de protection de la vie privée.

Promulguée en 2022, la nouvelle réglementation indonésienne en matière de protection de la vie privée est la suivante Loi n° 27 de 2022 sur la protection des données personnelles (loi PDP) - est actuellement dans sa période transitoire de deux ans. Les organisations doivent mettre en conformité leurs activités de traitement des données lorsqu'elles traitent des données appartenant à des personnes résidant en Indonésie et même en dehors de l'Indonésie si leurs actions ont des conséquences juridiques dans le pays.

À qui s'applique la loi PDP ?

La loi est conçue pour régir la protection des données personnelles dans tous les secteurs. Elle s'applique aux entreprises basées à l'intérieur du pays. et en dehors de l'Indonésie ; chaque fois qu'une personne, une entreprise, une entité ou une organisation internationale traite des données personnelles ou des données sensibles appartenant à un citoyen indonésien ou si cela peut avoir des répercussions juridiques sur le territoire indonésien, la loi PDP s'applique.

Il existe des exemptions partielles, notamment dans les domaines de la sécurité et de la défense nationales, de l'application de la loi et de certains services financiers.

Qu'est-ce qu'une donnée personnelle au sens de la loi PDP ?

La loi PDP définit deux catégories principales de données à caractère personnel, à savoir les données à caractère général et les données à caractère spécifique ou sensible. Les données générales à caractère personnel désignent les données relatives à des personnes identifiées ou identifiables, séparément ou en combinaison avec d'autres informations, directement ou indirectement, par le biais d'un système électronique ou non électronique. Il peut s'agir de données potentiellement moins risquées qui se trouvent sur des documents d'identité et d'autres registres généraux. Les données spécifiques ou sensibles sont généralement plus risquées si elles sont compromises.

Les exemples généraux les plus courants sont les suivants :

  • Nom complet de la personne
  • Genre
  • Nationalité
  • Religion
  • État civil

Exemples de données personnelles spécifiques ou sensibles :

  • Informations sur la santé et les soins médicaux
  • Données biométriques et génétiques
  • Casier judiciaire
  • Données sur les enfants
  • Données financières personnelles
  • Toute autre donnée jugée sensible par la loi

Quelles sont les exigences de la loi PDP ?

La loi PDP définit plusieurs responsabilités pour les organisations, notamment :

Les organisations doivent traiter les données à caractère personnel uniquement sur la base d'un fondement juridique : Les organisations doivent traiter les données à caractère personnel conformément à une série de principes de traitement énumérés, et notamment notifier aux personnes concernées les finalités pour lesquelles elles traitent les données à caractère personnel.

Les organisations doivent traiter les données à caractère personnel de manière limitée, spécifique, transparente et licite, et doivent protéger la sécurité des données à caractère personnel contre l'accès non autorisé, la divulgation non autorisée, l'altération non autorisée, l'utilisation abusive, la destruction et la perte.

Les organisations doivent être en mesure de déterminer le niveau de sécurité des données à caractère personnel et de s'assurer que des mécanismes de sécurité et de protection adéquats sont en place. Les responsables du traitement sont tenus de préserver la confidentialité des données à caractère personnel collectées tout en supervisant toutes les parties impliquées dans le traitement des données à caractère personnel sous leur commande, telles que les sous-traitants. 

Les organisations doivent prendre les mesures nécessaires pour empêcher l'accès illicite aux données à caractère personnel en utilisant un système de sécurité pour les données à caractère personnel traitées et/ou en traitant les données à caractère personnel à l'aide d'un système électronique d'une manière fiable, sûre et responsable.

Les entreprises qui transfèrent régulièrement des données à caractère personnel au niveau international doivent s'assurer que les normes de protection des données du pays destinataire sont équivalentes - ou mettre en œuvre des garanties juridiquement contraignantes pour protéger les données - à celles exigées par la loi PDP afin de se conformer également au règlement.

Les organisations sont tenues de désigner un délégué à la protection des données en vertu de la loi PDP si elles traitent des données à caractère personnel dans le cadre de leurs activités de base ou si elles traitent d'importants volumes de données à caractère personnel sensibles ou de données liées à des condamnations pénales et à des infractions. Les DPD s'occuperont de la plupart des aspects liés au respect de la loi sur les PDP.

Quelles sont les sanctions en cas de non-respect de la loi PDP ?

La loi PDP impose des sanctions strictes en cas de non-respect, soulignant l'importance d'adhérer aux normes de protection des données. Les sanctions peuvent être administratives ou pénales, en fonction de la gravité de l'infraction : 

Amendes administratives

Les organisations qui ne se conforment pas aux dispositions de la loi PDP s'exposent à des amendes administratives pouvant aller jusqu'à 2% de leurs revenus annuels. Cette amende peut s'appliquer à un large éventail de violations, y compris le fait de ne pas obtenir le consentement approprié, de ne pas notifier les violations de données ou de mal traiter les données à caractère personnel. 

Sanctions pénales

Les violations graves, telles que le traitement illégal de données à caractère personnel ou les violations intentionnelles de données, peuvent donner lieu à des sanctions pénales. Les personnes reconnues coupables de telles infractions sont passibles d'une peine d'emprisonnement pouvant aller jusqu'à six ans et d'une amende pouvant atteindre 6 milliards IDR (environ 400 000 USD). L'accès non autorisé à des données personnelles ou le transfert de données sans le consentement approprié peut entraîner une peine d'emprisonnement pouvant aller jusqu'à cinq ans et des amendes pouvant atteindre 5 milliards d'IDR (environ 330 000 dollars américains).

Indemnisation des dommages

Outre les amendes et les pénalités, les organisations peuvent également être tenues d'indemniser les personnes ayant subi des dommages à la suite d'une violation de données ou d'une utilisation abusive de leurs données à caractère personnel.

Que doivent faire les organisations pour se conformer à la loi PDP ?

Si elles ne l'ont pas encore fait, les organisations qui traitent des données personnelles en Indonésie doivent commencer à se préparer à se conformer à la loi PDP dès aujourd'hui. Voici quelques mesures que les organisations peuvent prendre :

Examiner les flux de données actuellement en place. Les données sont-elles classées au fur et à mesure de leur collecte et de leur traitement ?

Examiner les processus d'évaluation de l'impact de la protection des données. Votre entreprise dispose-t-elle d'un délégué à la protection des données (DPD) ?  Dans certains cas, l'absence de désignation d'un DPD peut entraîner des sanctions, des amendes potentielles ou des avertissements écrits, ainsi que la suspension du traitement des données.

Veiller à ce que des procédures soient mises en place pour répondre aux demandes des personnes concernées et aux notifications de violation des données.

mettre en œuvre des mesures de sécurité organisationnelles et techniques appropriées pour garantir la protection des données à caractère personnel.

Recueillez-vous, utilisez-vous ou vendez-vous des données à caractère personnel ? Votre organisation doit identifier une base légale pour traiter les données personnelles et, comme le prévoit le GDPR, obtenir le consentement de la personne concernée auprès de laquelle vous collectez des données.

Comment se conformer à la loi PDP ?

Pour garantir le respect de la loi PDP, les organisations doivent traiter les données d'une manière qui assure la sécurité, y compris la protection contre le traitement non autorisé ou illégal et contre la perte, la destruction ou l'endommagement accidentel. 

La mise en œuvre d'une solution de prévention des pertes de données (DLP) comme Digital Guardian peut aider les organisations à atteindre les meilleures pratiques en matière de protection des données personnelles, y compris un résultat souhaité de la loi PDP : Protéger les données traitées contre l'accès non autorisé ou illégal, la divulgation, l'altération, l'utilisation abusive, la perte ou les dommages.

Comme de nombreuses réglementations récentes sur la confidentialité des données, la loi indonésienne sur le PDP emprunte plusieurs éléments au règlement général sur la protection des données ou GDPR. Digital Guardian, qui peut aider à identifier automatiquement les données réglementées par le GDPR et à les protéger, en cours d'utilisation, en transit et au repos, peut également aider les organisations à démontrer leur conformité avec les obligations du PDP.

Les solutions de protection des données de Fortra

Les solutions de protection des données de Fortra aident à protéger les données personnelles en les identifiant et en les classant sur la base des normes de classification du PDP ou de l'organisation. Les métadonnées utilisées peuvent contribuer à automatiser leur traitement futur, qu'il s'agisse de les supprimer, d'y accéder ou de les modifier. En classant clairement les données personnelles, les organisations qui les traitent peuvent le faire de manière plus responsable et en toute confiance.
Fortra Data Classification Solutions

FortraLes solutions de Data Classification permettent de respecter le PDP en appliquant des étiquettes visuelles et des étiquettes aux métadonnées d'un fichier afin de protéger et de contrôler son utilisation. En ajoutant la classification, les utilisateurs peuvent mieux déterminer comment une donnée doit être traitée, manipulée, stockée et éventuellement supprimée. La classification ajoute une fonctionnalité rationalisée ainsi qu'une sécurité des données et une conformité renforcées.

La loi PDP stipule que les sous-traitants doivent veiller à ce que les données à caractère personnel ne soient pas utilisées à d'autres fins que les services auxquels elles sont destinées. Data Loss Prevention de Digital Guardian aide à la conformité PDP en permettant aux organisations de découvrir, surveiller et contrôler efficacement les données personnelles transmises sur le réseau, en cours d'utilisation sur les postes de travail, ou au repos dans les postes de travail, les serveurs de réseau et le stockage en nuage. Les données sont protégées de manière appropriée contre la transmission, la diffusion, l'utilisation et le stockage non autorisés, tandis que les fonctionnalités d'analyse et de reporting peuvent fournir une documentation essentielle pour démontrer la conformité du PDP.

Découvrez comment Fortra peut vous aider à vous mettre en conformité avec le PDP :

TÉLÉCHARGEZ LA FICHE TECHNIQUE

Avantages de l'utilisation des solutions Fortra pour aider le PDP

enhanced visibility icon

Trouver et protéger les données personnelles

La loi PDP classe les données en deux catégories : les données personnelles générales et les données personnelles spécifiques, dites sensibles. Selon la loi, il s'agit de tout ce qui nécessite une protection particulière, y compris les données et informations relatives à la santé, les données biométriques, les données génétiques, les casiers judiciaires, les données relatives aux mineurs, les données financières et d'autres données à caractère personnel. Digital Guardian peut découvrir, surveiller et contrôler efficacement des types de données spécifiques, en veillant à ce qu'elles restent exactes, complètes et cohérentes afin qu'elles puissent être manipulées en toute sécurité.

comprehensive protection icon

Efforts de sécurisation du traitement des données

L'article 35 de la nouvelle loi indonésienne sur la protection de la vie privée impose au responsable du traitement et au sous-traitant de protéger et d'assurer la sécurité des données personnelles traitées. Digital Guardian dispose de mesures techniques conçues pour protéger les données personnelles transmises sur le réseau, en cours d'utilisation sur les postes de travail ou au repos sur les postes de travail, les serveurs du réseau et stockées dans le nuage. 

cross-platform-icon

Faciliter les transferts de données en toute sécurité

En vertu de la loi PDP, les responsables du traitement des données personnelles doivent s'assurer que les pays hors de la juridiction de l'Indonésie qui reçoivent le transfert de données personnelles ont un niveau de protection des données égal ou supérieur à la loi PDP. Les entreprises qui cherchent à empêcher le transfert de données peuvent utiliser des politiques pour répondre aux exigences réglementaires en s'assurant que les données ne peuvent pas être déplacées vers des endroits non autorisés.

Ressources connexes

Découvrez les solutions Fortra en action

OBTENEZ UNE DÉMONSTRATION