La structure du PDPA en 2026

Le PDPA est la principale loi sur la protection des données en Thaïlande, et sa structure ressemble étroitement au GDPR. Les réglementations secondaires de 2024 et 2025 ont ajouté les détails opérationnels qui manquaient à la loi de base.

Ce qu'ont ajouté les réglementations secondaires

Tout au long de 2024 et 2025, le PDPC a émis des réglementations secondaires couvrant : les mécanismes de transfert de données transfrontaliers, la nomination et les fonctions des délégués à la protection des données, les procédures de notification de violation de données, les exigences de registre des traitements, les délais de traitement des droits des personnes concernées, et les normes de consentement spécifiques pour les données personnelles sensibles. Ces réglementations ont collectivement fait évoluer le PDPA d'un cadre général vers un régime opérationnel comparable au GDPR en termes de spécificité.

Qui est réglementé

Le PDPA s'applique à la plupart des responsables du traitement et des sous-traitants, avec une portée extraterritoriale pour les organisations étrangères qui traitent des données personnelles d'individus en Thaïlande dans le cadre d'une offre de biens ou de services ou d'une surveillance comportementale. Les éditeurs étrangers desservant des utilisateurs thaïlandais via des sites localisés ou des stocks programmatiques achetés contre des IP thaïlandaises sont généralement dans le périmètre, et le PDPC a invoqué la disposition extraterritoriale dans les premières lettres d'application.

Sanctions administratives et pénales

Le PDPA prévoit des amendes administratives allant jusqu'à THB 5 millions par infraction, ainsi que des sanctions pénales pour les infractions les plus graves, y compris l'emprisonnement des dirigeants dans des circonstances spécifiques. Le plafond de l'amende administrative est inférieur à celui du GDPR en termes absolus, mais la posture d'application croissante du PDPC et la disponibilité de la responsabilité pénale rendent le risque effectif significatif.

Ce qui compte comme données personnelles sous le PDPA

La définition des données personnelles du PDPA s'aligne étroitement sur celle du GDPR. Les données personnelles sont des informations relatives à une personne identifiée ou identifiable, et le PDPC a systématiquement traité les cookies, les identifiants publicitaires, les adresses IP, les empreintes digitales d'appareils et les profils comportementaux comme des données personnelles lorsqu'ils peuvent être liés à un individu directement ou par combinaison avec d'autres informations.

Données personnelles sensibles

Le PDPA désigne une vaste catégorie sensible comprenant : l'origine raciale ou ethnique, l'opinion politique, la conviction religieuse ou philosophique, le comportement sexuel, le casier judiciaire, les données de santé, le handicap, l'appartenance syndicale, les données génétiques et les données biométriques. Le traitement de données personnelles sensibles nécessite un consentement explicite et déclenche des obligations supplémentaires pour le responsable du traitement.

Pourquoi cela importe pour les cookies

Un cookie qui stocke un identifiant habituel est une donnée personnelle ordinaire. Un cookie qui alimente un segment d'audience touchant à la liste sensible du PDPA — intérêts de santé, appartenance religieuse, penchants politiques — est un traitement de données personnelles sensibles et nécessite un consentement explicite plutôt que le consentement publicitaire général. Le ciblage d'audience en langue thaïe qui chevauche la liste sensible devrait être spécifiquement audité par rapport à cette limite.

Le consentement aux cookies sous le PDPA en 2026

Le PDPA autorise plusieurs bases légales pour le traitement, mais pour les cookies et technologies similaires qui ne sont pas strictement nécessaires à la fourniture du service, les orientations du PDPC et la première application convergent sur le consentement comme référence pratique.

Les éléments d'un consentement valide

Le consentement sous le PDPA doit être :

• Librement donné — sans contrainte ni conditionnement à la fourniture de services essentiels
• Éclairé — la personne concernée comprend quelles données sont traitées, par qui, et à quelle fin
• Spécifique — lié à des finalités clairement identifiées plutôt qu'à un consentement général
• Non ambigu — exprimé par un acte affirmatif clair, non déduit de l'inactivité
• Explicite dans les cas impliquant des données personnelles sensibles, avec un consentement distinct et spécifique pour le traitement sensible

À quoi ressemble un CMP conforme

Un CMP configuré pour le trafic thaïlandais en 2026 devrait présenter :

• Une bannière visible avant qu'un cookie ou traceur non essentiel ne se déclenche, en thaï (ภาษาไทย) par défaut pour les utilisateurs thaïlandais
• Une égale importance visuelle pour ยอมรับ (Accepter), ปฏิเสธ (Refuser) et ตั้งค่า (Paramètres) — le PDPC a critiqué les conceptions de bannières où l'action de refus est visuellement dépréciée
• Des bascules granulaires par finalité : analytique, publicité, personnalisation, transfert transfrontalier et tout traitement de catégorie sensible
• Un parcours distinct, clairement étiqueté pour le traitement de données personnelles sensibles, conditionné par sa propre action
• Un mécanisme permanent et facilement accessible pour retirer le consentement après le choix initial
• Une politique de confidentialité en thaï avec divulgation complète du responsable du traitement, des sous-traitants, des finalités, des destinataires, de la conservation et des droits

Registres des consentements

Les responsables du traitement doivent conserver des preuves du consentement — qui a consenti, quand, pour quelle finalité et via quelle interface. Des registres de consentement inadéquats ont été cités dans plusieurs lettres d'application du PDPC en 2025, et des journaux horodatés exportables constituent l'exigence de base.

Les transferts transfrontaliers après les réglementations de 2025

Les réglementations de transfert de 2025 représentent le développement récent le plus conséquent pour les éditeurs étrangers, clarifiant les mécanismes disponibles pour les flux de données transfrontaliers.

Les mécanismes de transfert reconnus

Les réglementations de 2025 prévoient quatre voies principales :

• Désignation d'adéquation où le PDPC a évalué le pays de destination comme offrant une protection adéquate
• Garanties appropriées via des mécanismes contractuels incluant les clauses contractuelles types approuvées par le PDPC et les règles d'entreprise contraignantes
• Dérogations spécifiques incluant le consentement explicite de la personne concernée avec une divulgation adéquate, la nécessité contractuelle, les intérêts vitaux et l'intérêt public substantiel
• Schémas de certification reconnus par le PDPC pour des secteurs ou activités spécifiques

La liste d'adéquation

Le PDPC a émis des décisions d'adéquation pour quelques juridictions jusqu'au début de 2026. Les États-Unis ne figurent pas sur la liste, ce qui signifie que les transferts vers des fournisseurs américains d'ad-tech et d'analytique nécessitent des clauses contractuelles, une certification ou une dérogation basée sur le consentement.

L'approche pratique en 2026

Pour la plupart des éditeurs étrangers, l'approche opérationnelle consiste à exécuter les clauses contractuelles types approuvées par le PDPC avec les sous-traitants internationaux, à documenter le mécanisme de transfert dans la politique de confidentialité en thaï, et à compléter par une autorisation basée sur le consentement uniquement lorsque le mécanisme standard ne convient pas clairement.

Les droits des personnes concernées sous le PDPA

Le PDPA accorde un ensemble de droits s'alignant étroitement sur le GDPR :

• Droit d'accès aux données personnelles détenues par le responsable du traitement
• Droit de rectification des données inexactes ou incomplètes
• Droit à l'effacement
• Droit à la limitation du traitement
• Droit à la portabilité des données
• Droit d'opposition au traitement
• Droit de retirer son consentement
• Droit de ne pas faire l'objet d'une prise de décision automatisée produisant des effets significatifs
• Droit de déposer une réclamation auprès du PDPC

Délais de réponse

Les responsables du traitement doivent répondre aux demandes des personnes concernées dans un délai de 30 jours dans le cadre général, avec des fenêtres plus courtes pour certains types de demandes. La disponibilité opérationnelle pour cette fenêtre — avec des outils et des procédures en thaï — est un écart courant pour les éditeurs étrangers habitués à un cadence européen.

L'exigence de DPO

La réglementation secondaire de 2024 a clarifié les cas où un DPO est requis. Les responsables du traitement traitant de grands volumes de données personnelles, effectuant une surveillance systématique des personnes concernées ou traitant des données personnelles sensibles à grande échelle doivent désigner un DPO. Les responsables du traitement étrangers atteignant le seuil de volume via des utilisateurs thaïlandais sont dans le périmètre. Les coordonnées du DPO doivent être accessibles dans la politique de confidentialité en thaï.

Sanctions et posture d'application en 2026

L'activité d'application du PDPC a considérablement augmenté au cours de 2024 et 2025, et 2026 est sur une trajectoire similaire.

La structure de l'amende administrative

Les amendes administratives sont échelonnées selon le type d'infraction, avec des maximums de THB 5 millions par infraction pour les infractions les plus graves. Les infractions courantes — bannières de consentement inadéquates, politiques de confidentialité manquantes, non-réponse aux demandes des personnes concernées — attirent généralement des amendes dans la fourchette basse des centaines de milliers de THB mais peuvent escalader rapidement pour les infractions répétées ou aggravées.

Le filet de responsabilité pénale

Contrairement au GDPR, le PDPA prévoit une responsabilité pénale pour les infractions les plus graves, y compris l'emprisonnement des dirigeants dans des circonstances spécifiques. La réglementation secondaire de 2024 a clarifié la portée de la responsabilité pénale, et bien qu'elle n'ait pas été appliquée contre des éditeurs étrangers en 2026 à ce jour, la possibilité façonne l'analyse du risque pour toute organisation traitant des données thaïlandaises à grande échelle.

Thèmes d'application

Les actions du PDPC pour 2025 et le début de 2026 se regroupent autour de : bannières de consentement ambiguës ou absentes, absence de politiques de confidentialité en thaï, transferts transfrontaliers sans mécanisme valide dans le cadre des réglementations de 2025, non-réponse aux demandes des personnes concernées dans la fenêtre de 30 jours, et désignations de DPO manquantes pour les responsables du traitement dans le périmètre. Des éditeurs étrangers ont été cités dans les cinq catégories.

Liste de contrôle d'audit pour le trafic thaïlandais en 2026

• La bannière du CMP est servie en thaï avec ยอมรับ, ปฏิเสธ et ตั้งค่า à une importance visuelle égale
• Les finalités de consentement sont granulaires et le traitement de catégorie sensible est distinct derrière son propre parcours de consentement
• La politique de confidentialité est disponible en thaï avec divulgation complète du responsable du traitement, des sous-traitants, des finalités, de la conservation, des droits et des coordonnées du DPO
• Les transferts transfrontaliers reposent sur des clauses contractuelles types approuvées par le PDPC, une désignation d'adéquation, des BCRs, une certification ou une dérogation documentée
• Les journaux de consentement sont horodatés, exportables et conservés pendant la période applicable
• Le flux de traitement des demandes des personnes concernées peut répondre dans les 30 jours de bout en bout, en thaï
• Le DPO est désigné lorsque requis et les coordonnées sont publiées dans la politique de confidentialité
• La liste des fournisseurs a été examinée pour la nécessité, avec suppression des fournisseurs inutilisés ou redondants pour réduire la surface de transfert transfrontalier
• Les segments d'audience de catégorie sensible sont verrouillés derrière un consentement explicite et capturé séparément
• Le guide de notification de violation est réglé sur les délais de notification de violation du PDPA

Les perspectives pour 2026

Le régime de confidentialité de la Thaïlande a évolué d'une loi de base avec une spécificité opérationnelle limitée vers un régime doté des réglementations secondaires, de la capacité d'application et de la volonté politique pour être appliqué de manière significative. Les réglementations de transfert transfrontalier de 2025 ont comblé la lacune structurelle la plus conséquente, et la posture d'application précoce du PDPC est cohérente avec un régulateur sérieux en plein essor plutôt qu'un qui restera discret. Pour les éditeurs qui exploitent déjà une pile de consentement de niveau GDPR, l'écart vers la conformité PDPA est opérationnel plutôt qu'architectural : CMP et politique de confidentialité en thaï, mécanismes de transfert approuvés par le PDPC, la cadence de réponse de 30 jours, la désignation d'un DPO lorsque requis, et la vigilance concernant la liste plus large de données sensibles du PDPA. L'écart peut être comblé en quelques semaines si priorité lui est donnée — et la Thaïlande est un marché important d'Asie du Sud-Est, de sorte que la priorisation porte généralement ses fruits rapidement. Les éditeurs qui traitaient la Thaïlande comme un marché plus léger tout au long de 2024 constatent que 2026 est nettement plus exigeant, et la tendance est claire.