Qu’est-ce que la PDPA – Loi sur la protection des données personnelles de Singapour ?

Dans cet article, nous allons vous expliquer ce qu’est le PDPA, comment il fonctionne et qui il affecte ?

La loi sur la protection des données personnelles (PDPA) est une loi sur la protection des données promulguée par le Parlement de Singapour le 15 octobre 2012. La Loi est entrée en vigueur en juillet 2014 et a été mise à jour en novembre 2020.

Il régit la collecte, l’utilisation et la divulgation de données personnelles par une organisation privée concernant des citoyens singapouriens. Cependant, le règlement reconnaît également la nécessité pour les organisations d’utiliser et de collecter des données personnelles dans des circonstances appropriées.

Dans le cadre d’un examen récent, un régime de notification obligatoire des atteintes à la protection des données a été mis en place. Ici, les organisations qui subissent une violation de données sont tenues d’en informer les autorités singapouriennes et les personnes concernées, sauf exception.

La PDPA définit dix obligations de protection, notamment :

1. Limitation de l’objectif. N’utiliser ou ne divulguer les données personnelles qu’aux fins définies.
2. Notification. Informer les personnes sur les finalités de la collecte, de l’utilisation et de la divulgation de leurs données personnelles lors de la collecte.
3. Consentement. Assurez-vous que le consentement des personnes a été obtenu avant de recueillir, d’utiliser ou de divulguer leurs données personnelles.
4. Accès et correction. Sur demande, fournissez les données personnelles de la personne et des informations sur la manière dont les données personnelles de la personne ont été utilisées ou divulguées au cours de l’année écoulée. Corriger les données personnelles d’une personne sur demande.
5. Exactitude. S’assurer que les données personnelles sont exactes et complètes lors de la collecte ou de la prise d’une décision qui affectera la personne.
6. Protection. Protégez les données personnelles en votre possession contre tout accès, modification, divulgation, utilisation, copie, que ce soit sous forme papier ou électronique.
7. Limitation de la rétention. Conservez les données personnelles uniquement à des fins commerciales/juridiques et détruisez en toute sécurité les données personnelles lorsqu’elles ne sont plus nécessaires.
8. Limitation des transferts. Veiller à ce que les organisations externes à l’étranger offrent une norme de protection en vertu du PDPA de Singapour.
9. Ouverture. Désignez un délégué à la protection des données et publiez ses coordonnées professionnelles. Mettre à la disposition du public et des employés les politiques et les pratiques de protection des données personnelles, y compris le processus de plainte.
10. Ne pas appeler (DNC). N’envoyez pas de messages marketing aux personnes inscrites au registre national des DNC par la voix, par SMS ou par fax, à moins d’avoir obtenu leur consentement clair et sans ambiguïté ou d’avoir une relation continue (pour les SMS/fax).

Pour ceux qui connaissent déjà le RGPD, bon nombre de ces obligations vous sembleront familières. Cependant, la PDPA est antérieure au RGPD de plusieurs années.

La dixième obligation – Don-Not-Call – n’est pas toujours considérée comme une obligation, mais fait plutôt partie de la réglementation du télémarketing à Singapour par la PDPA. Au lieu de cela, une dixième (ou onzième) obligation est l’obligation d’informer les autorités et les personnes concernées à la suite d’une violation de données.

La Commission de protection des données personnelles (PDPC) a été créée en vertu de la PDPA en tant qu’autorité réglementaire chargée de régir la protection des données à Singapour. Le PDPC conseille le gouvernement sur les réglementations futures et publie régulièrement des directives consultatives sur la protection des données.

Le PDPC fait partie de l’organisme de réglementation convergent des télécommunications et des médias, l’Infocomm Media Development Authority (IMDA). Les deux autorités sont, à leur tour, sous la juridiction du ministère des Communications et de l’Information.

La création du PDPC s’inscrit dans le cadre d’une poussée vers une « culture de responsabilisation ». Par exemple, en 2019, le PDPC a mis en œuvre la certification Data Protection Trustmark. Il s’agit d’un programme de certification volontaire à l’échelle de l’entreprise créé pour qu’une organisation démontre ses pratiques responsables en matière de protection des données.

Le PDPC applique également la loi et poursuit de nombreuses organisations pour des violations de la PDPA, notamment SingHealth à la suite de la violation de données de SingHealth en 2018.

À l’instar d’autres législations sur la protection des données, telles que le RGPD du Royaume-Uni et de l’UE et la LGPD du Brésil, la PDPA contient des « effets extraterritoriaux ». Cela signifie que les organisations qui ne sont pas basées à Singapour peuvent se trouver obligées de se conformer au PDPA si une organisation collecte, utilise ou divulgue des données à Singapour.

Par exemple, si une entreprise non singapourienne – comme Facebook – collecte des données auprès de Singapouriens en ligne, elle est soumise à la PDPA. Il s’expose également à des sanctions s’il s’avère qu’il n’est pas conforme au règlement.

S’il s’avère qu’une organisation enfreint la PDPA, la PDPC se réserve le droit d’imposer plusieurs sanctions. Il s’agit notamment d’exiger de l’organisation qu’elle :

– Cesser de collecter, d’utiliser ou de divulguer des données personnelles en violation de la PDPA.
– Détruire les données personnelles collectées en violation de la PDPA.
– Fournir l’accès ou la correction des données personnelles.
– Payer une pénalité financière pouvant aller jusqu’à 1 million de SGD (environ 625 735 €).

Cette dernière amende est nettement inférieure aux sanctions appliquées en vertu du RGPD de l’UE, qui peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Cependant, avec la récente modification, le PDPC a maintenant le pouvoir d’imposer des sanctions financières plus élevées. Cela comprend un maximum de 10 % du chiffre d’affaires annuel de l’organisation à Singapour (si le chiffre d’affaires dépasse 10 millions de SGD (environ 6 257 210 €) ou jusqu’à 1 million de SGD (environ 625 735 €).

En outre, les entreprises pénalisées sont également susceptibles de souffrir d’une atteinte à leur réputation et de réactions négatives.

La PDPA est la loi singapourienne sur la protection des données. Il régit le traitement des données personnelles dans le secteur privé. Si vous faites affaire avec des transactions à Singapour, il est essentiel de vous familiariser avec le contenu de la facture.

Pour plus d’informations, veuillez consulter le site Web du PDPC.

Sources:

https://www.dataguidance.com/notes/singapore-data-protection-overview
https://www.pwc.com/sg/en/personal-data-protection.html
https://en.wikipedia.org/wiki/Personal_Data_Protection_Act_2012
https://sso.agc.gov.sg/Act/PDPA2012?ProvIds=P1IV-#P1IV-
https://www.pdpc.gov.sg/