Ce que couvre la UU PDP et qui est concerné

La UU PDP est la première loi globale de protection des données personnelles d'Indonésie. Avant son adoption, les règles de protection des données en Indonésie étaient éparpillées dans des réglementations sectorielles — banque, télécommunications, commerce électronique, systèmes électroniques. La UU PDP les consolide en un régime horizontal unique applicable à tout responsable de traitement ou sous-traitant traitant les données personnelles de personnes concernées indonésiennes, quel que soit le lieu d'établissement du responsable.

Cette portée extraterritoriale est le fait le plus important pour les éditeurs étrangers. Un éditeur basé aux États-Unis, dans l'UE ou à Singapour proposant du contenu à des utilisateurs physiquement situés en Indonésie est soumis à la UU PDP. Le critère de présence est fonctionnel, non formel : si le responsable de traitement cible des utilisateurs indonésiens — via un contenu en Bahasa Indonesia, des options de paiement indonésiennes ou de la publicité géociblée — la UU PDP s'applique intégralement.

Le standard de consentement en vertu de l'Article 22

L'Article 22 de la UU PDP définit le consentement et constitue la pierre angulaire de toute bannière de cookies ciblant le trafic indonésien. L'Article exige que le consentement soit :

• Explicite — le silence, les cases pré-cochées et la poursuite de l'utilisation du site ne constituent pas un consentement. L'utilisateur doit effectuer une action positive.
• Spécifique — le consentement doit être lié à une finalité de traitement définie. Un seul bouton Tout accepter couvrant dix finalités différentes est très vulnérable.
• Éclairé — la personne concernée doit recevoir, avant de consentir, l'identité du responsable, les catégories de données, les finalités, la durée de conservation, les destinataires et ses droits.
• Documenté par écrit ou enregistré électroniquement — l'Article 22(3) exige que le responsable soit en mesure de prouver le consentement. Un journal de consentement horodaté associé à un identifiant utilisateur haché satisfait cette exigence ; une affirmation vague que l'utilisateur a cliqué sur Accepter ne suffit pas.
• Révocable dans des conditions équivalentes — le retrait doit être aussi facile que l'octroi initial. Un parcours de refus nécessitant trois clics alors que l'acceptation n'en requiert qu'un n'est pas conforme.

Les praticiens reconnaîtront ces exigences : elles se recoupent presque une à une avec l'Article 7 du GDPR. Les différences portent sur la portée et l'application, non sur le concept.

Les bases juridiques au-delà du consentement

Comme le GDPR, la UU PDP reconnaît d'autres bases juridiques que le consentement pour certains traitements. L'Article 20 liste six bases légales : consentement, exécution du contrat, obligation légale, intérêt vital, mission d'intérêt public et intérêt légitime. Pour la plupart des activités de cookies et de suivi, cependant, seul le consentement est réalistement disponible, car l'exception de stricte nécessité pour les cookies indispensables à la fourniture d'un service demandé par l'utilisateur est étroite et ne s'étend pas à la publicité ou à l'analytics.

L'exception de stricte nécessité

Les cookies de session, les cookies de connexion, les cookies de préférence de langue et les cookies de panier d'achat relèvent de l'exécution du contrat ou de l'intérêt légitime avec un risque très faible. Ils ne requièrent pas de consentement explicite, bien que leurs catégories doivent encore être mentionnées dans la notice de confidentialité. Tout le reste — analytics, publicité, reciblage, pixels tiers, empreinte numérique — nécessite un consentement au titre de l'Article 22.

Données des mineurs

L'Article 25 exige le consentement parental pour tout traitement de données de personnes concernées de moins de 18 ans. C'est plus strict que l'âge de consentement numérique par défaut du GDPR, fixé à 16 ans (que les États membres peuvent abaisser à 13). Un éditeur diffusant du contenu destiné aux enfants en Bahasa Indonesia devrait fixer le seuil à 18 ans et configurer un processus de vérification parentale, et non une case à cocher d'auto-déclaration.

Transferts transfrontaliers de données

L'Article 56 régit le transfert de données personnelles hors d'Indonésie. Un responsable de traitement ne peut transférer des données vers un autre pays que si au moins l'une des trois conditions est remplie : le pays de destination offre un niveau adéquat de protection des données personnelles comparable à la UU PDP, des garanties appropriées sont en place, ou la personne concernée a donné son consentement explicite au transfert.

Le ministère indonésien de la Communication et de l'Informatique (Kominfo) n'a pas encore publié de liste d'adéquation. En pratique, les éditeurs transférant des données vers des juridictions GDPR, vers les États-Unis, Singapour ou l'Australie s'appuient sur des garanties appropriées — typiquement des clauses contractuelles types adaptées à la UU PDP, avec une clause contraignante imposant aux sous-traitants ultérieurs de respecter les droits prévus par la UU PDP. Pour les prestataires de technologie publicitaire opérant depuis plusieurs régions, votre accord de traitement des données doit préciser quelles régions traitent les données des utilisateurs indonésiens et quelles garanties s'appliquent à chaque étape.

Droits des personnes concernées et la fenêtre de 72 heures

La UU PDP accorde aux personnes concernées indonésiennes des droits proches de ceux du GDPR : accès, rectification, effacement, opposition au traitement, portabilité des données et droit de contester les décisions automatisées. Deux points méritent l'attention des éditeurs.

Premièrement, l'Article 30 impose au responsable de traitement de répondre à une demande d'exercice de droits dans un délai raisonnable, que la réglementation d'application a fixé à trois jours ouvrables pour l'accusé de réception et quatorze jours ouvrables au maximum pour une réponse de fond. C'est plus rapide que le délai par défaut d'un mois du GDPR.

Deuxièmement, l'Article 46 impose la notification d'une violation de données personnelles aux personnes concernées affectées et à l'Autorité de protection des données personnelles dans un délai de 3 x 24 hours — soit 72 heures à compter du moment où le responsable a eu connaissance de la violation. Le délai commence lorsque le responsable a confirmé la violation, non lorsqu'il aurait pu la détecter.

Sanctions et mesures d'application récentes

Le régime de sanctions de la UU PDP est plus sévère que beaucoup d'éditeurs ne l'avaient initialement reconnu. L'Article 57 prévoit des sanctions administratives pouvant aller jusqu'à 2 % du chiffre d'affaires annuel. Les Article 67 to 73 prévoient des sanctions pénales allant jusqu'à six ans d'emprisonnement et des amendes pouvant atteindre 6 milliards de rupiah pour les violations les plus graves, notamment la collecte illicite de données personnelles et la divulgation illicite.

Tout au long de 2025, l'application est restée dans une phase de lancement en douceur, Kominfo émettant des lettres d'avertissement et des injonctions correctives plutôt que des amendes. Cette phase a pris fin début 2026. La première sanction administrative majeure au titre de la UU PDP — infligée en mars 2026 à un opérateur d'e-commerce national pour notification insuffisante d'une violation et absence de consentement parental sur une gamme de produits ciblant les mineurs — a clairement signalé que l'application est désormais active.

À quoi ressemble une bannière d'éditeur conforme

Pour un éditeur servant du trafic indonésien en 2026, la configuration pratique est la suivante :

Localiser la bannière en Bahasa Indonesia

L'exigence de consentement éclairé de l'Article 22 n'est pas satisfaite par une bannière en anglais affichée à un utilisateur parlant le Bahasa. La CMP doit détecter les utilisateurs indonésiens — par géolocalisation, adresse IP ou en-tête Accept-Language — et servir la bannière, la notice de confidentialité et les contrôles granulaires en Bahasa Indonesia.

Traiter le consentement uniquement en opt-in

Aucun script de suivi, publicitaire ou analytique ne peut se déclencher avant que l'utilisateur n'ait explicitement accepté. Les catégories pré-cochées, le consentement implicite tiré de la navigation continue et les mentions "by using this site you agree" sont toutes non conformes.

Tenir des journaux de consentement documentés

L'Article 22(3) est explicite : le responsable doit être en mesure de produire des preuves. Un journal de consentement associant un identifiant utilisateur à un horodatage, à la version de la bannière affichée et aux choix effectués est le document que Kominfo sollicitera lors de tout audit ou enquête sur une plainte.

Rendre le retrait véritablement équivalent

Une icône de consentement flottante persistante, un refus en un clic sur la page de préférences de confidentialité, ou un désabonnement clair dans tout e-mail collectant des données — chacun constitue une mise en œuvre raisonnable. Un lien enfoui dans une politique de confidentialité de 4 000 mots ne l'est pas.

En synthèse

La UU PDP n'est pas un clone du GDPR, mais elle en est suffisamment proche pour que les éditeurs dotés de programmes de conformité européens matures puissent étendre leur infrastructure de consentement existante à l'Indonésie avec des ajustements ciblés : localisation en Bahasa, seuil d'âge de 18 ans pour le consentement parental, notification de violation sous 72 heures, et clauses contractuelles types couvrant explicitement la UU PDP. Les éditeurs dépourvus de cette infrastructure devraient considérer la UU PDP comme le signal pour la construire. L'application indonésienne est désormais active, et le coût de la remédiation après l'ouverture d'une enquête de Kominfo est invariablement plus élevé que celui de la mise en conformité de la bannière avant le lancement.