Le projet de loi indonésienne sur la protection des données personnelles a enfin été approuvé par le Parlement indonésien (Dewan Perwakilan Rakyat Republik Indonesia) le 20 septembre 2022. Cette approbation représente la fin du processus d’un texte de loi ambitieux, qui a nécessité plusieurs années pour être approuvé.
Jusqu’à aujourd’hui, l’Indonésie s’est contentée de s’appuyer sur diverses réglementations contenant des dispositions relatives à la protection de la vie privée, sans disposer d’une loi-cadre complète sur la protection des données personnelles.
Ainsi, il aura fallu huit ans pour que la loi indonésienne sur la protection des données voie le jour, avec un débat controversé sur l’organe gouvernemental chargé de superviser la nouvelle réglementation et sur l’ampleur exacte des sanctions.
En effet, une récente vague de cyberattaques et de violations de données dans le pays semble avoir incité à l’action législative. Le pays a subi 11,8 millions de cyberattaques au premier trimestre 2022, soit une augmentation de 22 % par rapport à l’année précédente, le pays devenant la principale cible des attaques par ransomware en Asie du Sud-Est.
Cela inclut des violations de données de divers organismes gouvernementaux, dont l’une a exposé les carnets de vaccination du président Joko Widodo. Les statistiques de SurfShark indiquent que l’Indonésie a désormais le troisième taux le plus élevé de violations de données au monde.
La surveillance de la réglementation a été confiée au pouvoir exécutif, le président devant former un organe de surveillance chargé de déterminer et d’administrer les amendes.
À l’instar du règlement général sur la protection des données (RGPD) de l’Union européenne, dont la loi indonésienne sur la protection des données s’est largement inspirée, les infractions sont passibles d’une amende maximale de 2 % du chiffre d’affaires annuell. La loi indonésienne sur la protection des données prévoit également la possibilité de saisir des actifs, ces ressources étant envoyées aux enchères pour couvrir les montants des amendes.
En effet, la loi indonésienne sur la protection des données prévoit certaines des sanctions les plus sévères jamais envisagées dans une réglementation nationale sur la confidentialité des données, autorisant des peines de prison pour l’obtention illégale ou la falsification de données, ainsi que de fortes amendes et la possibilité de confiscation des biens. Les résidents d’Indonésie se verront également accorder un droit à l’indemnisation en cas de violation des données.
Cependant et malgré ces dispositions, certains analystes de la vie privée ne sont pas convaincus de l’efficacité de la loi. Le problème central est qu’il existe des clauses de protection de la vie privée disséminées dans un certain nombre d’autres lois qui pourraient entrer en conflit avec le nouveau projet de loi. Affaire à suivre.
