Singapore Personal Data Protection Act

Guide de conformite au PDPA de Singapour

Naviguez le cadre complet de protection des donnees de Singapour en toute confiance. Des 11 obligations de protection des donnees a la notification obligatoire de violation et la gouvernance IA, nous vous aidons a mettre en oeuvre les exigences du PDPA avec des processus clairs et des preuves prets pour l'audit.

Demarrer l'evaluation PDPAReserver une consultation conformite

Qu'est-ce que le PDPA de Singapour ?

Le Personal Data Protection Act 2012 (PDPA) est la loi complete de protection des donnees de Singapour qui regit la collecte, l'utilisation et la divulgation des donnees personnelles par les organisations du secteur prive. La loi etablit un standard de base de protection des donnees a travers les secteurs.

Pourquoi c'est important maintenant : Les amendements de 2020 (en vigueur le 1er fevrier 2021) ont considerablement renforce les pouvoirs d'application avec la notification obligatoire de violation sous 3 jours, des sanctions financieres jusqu'a 10 % du chiffre d'affaires annuel, et des exigences de responsabilite plus strictes. La Personal Data Protection Commission (PDPC) applique activement le PDPA avec des decisions d'application publiques.

11 obligations

Cadre de protection complet

Notification sous 3 jours

Signalement obligatoire des violations au PDPC

Applique par la Personal Data Protection Commission (PDPC) sous l'IMDA. Complete le RGPD pour une strategie mondiale de protection des donnees.

Qui a besoin de la conformite PDPA ?

Toutes les organisations du secteur prive

Toute organisation collectant, utilisant ou divulguant des donnees personnelles a Singapour

Intermediaires de donnees

Organisations traitant des donnees personnelles pour le compte d'autrui

Plateformes numeriques et e-commerce

Services en ligne collectant des donnees personnelles de clients

Services financiers

Banques, assureurs, processeurs de paiement traitant des donnees financieres sensibles

Prestataires de soins de sante

Cliniques, hopitaux et plateformes de technologies de sante

Deployers de systemes d'IA

Organisations utilisant l'IA pour des decisions automatisees affectant les individus

Comment VerifyWise soutient la conformite PDPA

VerifyWise fournit un preset de conformite Singapour fonctionnant en mode checklist, structure autour de la transparence, la tracabilite, la surveillance des resultats et les obligations d'audit regulier

Exigence Singapour
Couverture VerifyWise
Mesures de transparence
Element de checklist pour documenter la divulgation de l'utilisation de l'IA et les pratiques de transparence
Registres de tracabilite
Suivi structure par checklist avec metadonnees de date d'audit et de description du systeme
Surveillance des resultats
Element de checklist avec analyse quantitative optionnelle des impacts indesirables
Calendrier d'audit regulier
Element de checklist dedie pour documenter la frequence et la methodologie d'audit

Capacites de conformite supplementaires

Inventaire et cartographie des donnees personnelles

Maintenez un registre complet des activites de traitement des donnees personnelles dans votre organisation. La plateforme capture quelles donnees vous collectez, pourquoi vous les traitez, qui y a acces et ou elles sont stockees pour satisfaire les exigences de responsabilite du PDPC.

Couvre : Responsabilite, Transparence, Limitation de finalite

Gestion et suivi du consentement

Documentez les methodes de collecte du consentement, suivez les demandes de retrait du consentement et gerez les scenarios de consentement repute introduits par les amendements de 2020. La plateforme maintient des registres de consentement prets pour l'audit avec horodatages et preuves.

Couvre : Obligation de consentement, Notification, Responsabilite

Evaluations d'impact sur la protection des donnees

Realisez des evaluations d'impact structurees sur la vie privee pour les nouvelles activites de traitement des donnees. La plateforme vous guide a travers l'identification des risques, la selection des mesures de protection et la documentation demontrant des dispositifs de securite raisonnables.

Couvre : Obligation de protection, Responsabilite

Workflows de notification de violation de donnees

Gerez le delai de notification obligatoire de 3 jours avec des workflows d'incidents structures. La plateforme suit l'evaluation de la violation, la soumission de la notification au PDPC et les communications aux personnes concernees requises par les amendements de 2020.

Couvre : Obligation de notification de violation de donnees

Portail des droits des personnes concernees

Traitez les demandes d'acces et de correction avec des workflows qui appliquent les delais de reponse du PDPC. La plateforme suit les demandes, gere les calculs de frais raisonnables et maintient les registres des reponses a des fins d'audit.

Couvre : Obligation d'acces et de correction, Responsabilite

Evaluations des transferts transfrontaliers

Evaluez les transferts de donnees transfrontaliers avec des evaluations de risques structurees et le suivi des garanties contractuelles. La plateforme documente les mecanismes de transfert et assure la conformite avec l'obligation de limitation de transfert du PDPA.

Couvre : Obligation de limitation de transfert, Responsabilite

Toutes les activites sont suivies avec horodatages, delegues a la protection des donnees assignes et workflows d'approbation. Cette piste d'audit demontre une conformite systematique au PDPA aux enqueteurs du PDPC.

Couverture complete des obligations PDPA

VerifyWise fournit des outils dedies pour les 11 obligations de protection des donnees

11

Obligations PDPA

69

Controles de conformite avec outils dedies

100%

Couverture de toutes les obligations

Consentement8/8

Collecte du consentement, retrait, consentement repute

Limitation de finalite5/5

Limitation d'utilisation aux finalites identifiees

Notification6/6

Avis de confidentialite et transparence

Acces et correction7/7

Gestion des droits des personnes concernees

Exactitude4/4

Qualite et exactitude des donnees

Protection9/9

Mesures de securite

Limitation de conservation5/5

Calendriers de conservation et suppression

Limitation de transfert6/6

Transferts transfrontaliers

Transparence4/4

DPO et disponibilite des politiques

Violation de donnees8/8

Notification de violation sous 3 jours

Responsabilite7/7

DPO, politiques, cadre de conformite

Concu pour le PDPA de Singapour des le depart

Notification de violation sous 3 jours

Workflows automatises pour le delai de signalement obligatoire au PDPC

AI Governance Framework

Alignement Model AI Governance Framework et AI Verify

Integration registre DNC

Suivi de conformite Do Not Call et preuves

Correspondance multi-cadres

Correspondance avec les exigences RGPD et ISO 27701

11 obligations de protection des donnees

Le PDPA etablit des obligations completes pour la gestion des donnees personnelles

Obligation de consentement

Obtenir un consentement valide avant de collecter, utiliser ou divulguer des donnees personnelles, avec des exceptions claires.

  • Le consentement doit etre volontaire, eclaire et specifique a la finalite
  • Mecanisme de retrait du consentement requis
  • Dispositions de consentement repute (amendement 2020)
  • Exceptions d'interet legitime le cas echeant
  • Documentation de la methode de collecte du consentement

Limitation de finalite

Collecter, utiliser et divulguer les donnees personnelles uniquement a des fins qu'une personne raisonnable considererait comme appropriees dans les circonstances.

  • Identifier et documenter la finalite avant la collecte
  • La finalite doit etre celle qu'une personne raisonnable considererait appropriee
  • Pas d'utilisation ou de divulgation au-dela de la finalite initiale sans nouveau consentement
  • Specification de la finalite dans les avis de confidentialite
  • Limitation de finalite dans les accords de traitement des donnees

Obligation de notification

Informer les individus des finalites de collecte, d'utilisation et de divulgation des donnees.

  • Avis de confidentialite avant ou au moment de la collecte
  • Notification des finalites en langage clair
  • Coordonnees professionnelles fournies
  • Notification du caractere obligatoire ou non de la collecte
  • Mises a jour des avis de confidentialite lorsque les finalites changent

Acces et correction

Fournir aux individus l'acces a leurs donnees personnelles et permettre la correction des donnees inexactes.

  • Repondre aux demandes d'acces sous 30 jours
  • Fournir les donnees sous forme comprehensible
  • Permettre la correction des donnees inexactes ou incompletes
  • Des frais raisonnables peuvent s'appliquer pour les demandes d'acces
  • Exceptions limitees pour le refus d'acces

Obligation d'exactitude

S'assurer que les donnees personnelles sont exactes et completes si elles seront utilisees pour prendre des decisions ou divulguees a des tiers.

  • Processus de verification de l'exactitude
  • Procedures de correction lorsque des inexactitudes sont identifiees
  • Revues periodiques de la qualite des donnees
  • Verification de la source pour les donnees critiques
  • Procedures de mise a jour pour les donnees obsoletes

Obligation de protection

Proteger les donnees personnelles avec des dispositifs de securite raisonnables pour prevenir l'acces, la collecte, l'utilisation, la divulgation, la copie, la modification ou l'elimination non autorises.

  • Mesures de securite basees sur les risques appropriees au prejudice
  • Mesures de protection techniques et organisationnelles
  • Controles d'acces et authentification
  • Chiffrement des donnees sensibles en transit et au repos
  • Tests de securite et gestion des vulnerabilites

Limitation de conservation

Cesser la conservation des donnees personnelles lorsque les finalites ne sont plus servies et que la conservation n'est pas requise par la loi.

  • Calendriers de conservation pour differentes categories de donnees
  • Exigences documentees de conservation commerciale ou legale
  • Procedures de suppression securisee ou d'anonymisation
  • Revue periodique des donnees conservees
  • Registres d'elimination pour la responsabilite

Limitation de transfert

Transferer les donnees personnelles en dehors de Singapour uniquement si la juridiction receptrice offre une protection comparable ou si des garanties contractuelles appropriees sont en place.

  • Evaluation de la loi sur la protection des donnees de la juridiction receptrice
  • Garanties contractuelles (BCR, Clauses Contractuelles Types)
  • Evaluations d'impact des transferts pour les transferts a haut risque
  • Consentement individuel pour les transferts sans garanties
  • Documentation des mecanismes de transfert

Obligation de transparence

Developper et mettre en oeuvre des politiques et pratiques de gestion des donnees personnelles et rendre les informations sur ces politiques disponibles.

  • Politiques et procedures documentees de protection des donnees
  • Contact du Delegue a la Protection des Donnees (DPO) designe
  • Politique de confidentialite accessible au public
  • Formation des employes sur la protection des donnees
  • Revue et mise a jour regulieres des politiques

Notification de violation de donnees

Notifier le PDPC sous 3 jours calendaires apres l'evaluation d'une violation de donnees notifiable. Notifier les personnes concernees lorsque la violation est susceptible d'entrainer un prejudice significatif ou un impact important.

  • Procedures de detection et d'evaluation des violations
  • Notification au PDPC sous 3 jours calendaires (amendement 2020)
  • Notification individuelle en cas de prejudice significatif probable
  • Registre des violations et documentation des incidents
  • Revue post-incident et suivi de la remediation

Obligation de responsabilite

Se conformer aux obligations du PDPA et etre en mesure de demontrer la conformite au PDPC.

  • Programme de gestion de la protection des donnees
  • Delegue a la Protection des Donnees (DPO) designe
  • Processus de surveillance et d'audit de la conformite
  • Programmes de formation et de sensibilisation du personnel
  • Preuves de conformite (politiques, registres, evaluations, dossiers)

Cadre de gouvernance IA de Singapour

Cadres volontaires mais influents pour un deploiement responsable de l'IA

Cadre de gouvernance

Model AI Governance Framework

Le cadre volontaire de Singapour pour le deploiement responsable de l'IA

Composantes cles

  • Structures et mesures de gouvernance interne
  • Implication humaine dans la prise de decision augmentee par l'IA
  • Gestion operationnelle des systemes d'IA
  • Interaction et communication avec les parties prenantes

Applicabilite : Volontaire mais de plus en plus attendu par les regulateurs et les clients

Voir le cadre
Tests techniques

AI Verify Testing Framework

Kit d'outils de test technique pour la validation des systemes d'IA

Composantes cles

  • Tests de transparence pour l'explicabilite
  • Detection de l'equite et des biais
  • Validation de la robustesse et de la securite
  • Tests de securite et de performance

Applicabilite : Outil de validation technique pour le Model AI Governance Framework

Voir le cadre

Conseil : Bien que le Model AI Governance Framework de Singapour soit volontaire, sa mise en oeuvre demontre des pratiques d'IA responsables aux regulateurs, clients et parties prenantes. Combinez avec la conformite PDPA pour une protection complete des donnees IA.

Explorer les politiques de gouvernance IA

Registre Do Not Call

Le registre de desinscription de Singapour pour les communications marketing

Ce que vous devez savoir

Le registre Do Not Call (DNC) permet aux individus de refuser de recevoir des appels telephoniques marketing, des SMS, fax et MMS. Avant d'envoyer des messages marketing via ces canaux, les organisations doivent verifier le registre DNC (valide 30 jours) et conserver la preuve de la verification.

De quoi s'agit-il

Le registre Do Not Call de Singapour permet aux individus de refuser les messages marketing

Canaux couverts

Appels telephoniques, SMS, fax, MMS (hors e-mails et courrier physique)

Avant de contacter

Verifier le registre DNC et conserver la preuve de la verification (validite de 30 jours)

Exemptions

Relations clients en cours, scenarios limites de consentement repute

Sanctions

Jusqu'a 10 000 SGD par violation

Checklist de conformite DNC

  • Verifier le registre DNC

    Avant chaque campagne marketing via les canaux couverts

  • Conserver les preuves

    Garder les registres des verifications DNC pendant 3 ans

  • Respecter les desinscriptions

    Arreter le marketing si le numero est sur le registre DNC

  • Valider les exemptions

    Documenter les relations en cours ou le consentement explicite

Feuille de route de mise en oeuvre sur 24 semaines

Un parcours pratique vers la conformite PDPA avec des jalons clairs

Phase 1Semaines 1-4

Fondation et analyse des ecarts

  • Designer le Delegue a la Protection des Donnees (DPO)
  • Realiser l'inventaire des donnees personnelles
  • Cartographier les flux de donnees et les activites de traitement
  • Evaluation des ecarts par rapport aux 11 obligations
Phase 2Semaines 5-10

Cadre de politiques et de gouvernance

  • Developper des politiques de confidentialite conformes au PDPA
  • Etablir les procedures de collecte du consentement
  • Creer les processus de droits des personnes concernees
  • Mettre en oeuvre le niveau de base des mesures de securite
Phase 3Semaines 11-18

Mise en oeuvre operationnelle

  • Deployer les workflows de notification de violation de donnees
  • Mettre en oeuvre les calendriers de conservation et de suppression
  • Etablir les evaluations de transferts transfrontaliers
  • Former le personnel aux exigences du PDPA
Phase 4Semaines 19-24

Surveillance et conformite continue

  • Activer les processus de surveillance de la conformite
  • Realiser des audits internes PDPA
  • Etablir des exercices de reponse aux incidents
  • Creer un cycle d'amelioration continue

Sanctions et application

Comprendre les pouvoirs d'application du PDPC et le cadre des sanctions

Sanctions financieres (amendements 2020)

  • Jusqu'a 1 million SGD de sanctions financieres, OU
  • Jusqu'a 10 % du chiffre d'affaires annuel a Singapour (le montant le plus eleve)
  • Augmentation significative par rapport au plafond precedent de 1 million SGD
  • Le PDPC considere la taille de l'organisation, le prejudice cause, l'historique de conformite

Sanctions penales

  • Divulgation non autorisee deliberee ou negligente : jusqu'a 5 000 SGD d'amende
  • Utilisation abusive de donnees personnelles : jusqu'a 5 000 SGD ou 2 ans d'emprisonnement
  • Obstruction a l'enquete du PDPC : sanctions supplementaires
  • Les administrateurs et dirigeants peuvent etre personnellement responsables

Approche d'application

  • Le PDPC publie les decisions d'application publiquement
  • Dommage reputationnel lie aux avis d'application publics
  • Directives de conformite obligatoires et ordres de remediation
  • Audits de suivi pour les violations significatives

Tendances recentes d'application

  • Sanctions plus elevees post-2020

    Les sanctions financieres atteignent desormais des millions pour les violations graves

  • Decisions d'application publiques

    Le PDPC publie des etudes de cas detaillees causant des dommages reputationnels

  • Accent sur la responsabilite

    Politiques inadequates et supervision insuffisante du DPO frequemment citees

Facteurs affectant les sanctions

Taille et chiffre d'affaires de l'organisation

Les grandes organisations font face a des sanctions plus elevees

Prejudice cause

Nombre d'individus affectes et gravite de l'impact

Historique de conformite

Les violations repetees entrainent des sanctions plus elevees

Cooperation avec le PDPC

L'auto-signalement et les efforts de remediation sont pris en compte

Modeles de politiques

Repertoire de politiques conformes au PDPA

Acces a 37 politiques prets a l'emploi alignees sur les obligations PDPA, le RGPD, et le Model AI Governance Framework de Singapour

Politiques PDPA fondamentales

  • • Politique de confidentialite (notification)
  • • Politique de gestion du consentement
  • • Politique des droits des personnes concernees
  • • Politique de protection des donnees
  • • Conservation et elimination des donnees
  • • Politique de transfert transfrontalier
  • + 6 autres politiques

Incidents et violations

  • • Notification de violation de donnees
  • • Procedure d'evaluation des violations
  • • Plan de reponse aux incidents
  • • Workflow de signalement au PDPC
  • • Notification individuelle
  • • Remediation post-violation
  • + 4 autres politiques

Gouvernance IA

  • • Cadre de gouvernance IA
  • • Transparence algorithmique
  • • Evaluation d'impact IA
  • • Politique humain-dans-la-boucle
  • • Standards d'explicabilite
  • • Equite et biais de l'IA
  • + 5 autres politiques
Parcourir tous les modeles de politiques

Questions frequemment posees

Questions courantes sur la conformite PDPA

Si votre organisation est une entite du secteur prive qui collecte, utilise ou divulgue des donnees personnelles a Singapour, le PDPA s'applique. Cela inclut les entreprises individuelles, les partenariats, les societes et les entites etrangeres ayant des operations a Singapour. Les agences du secteur public sont couvertes par une legislation separee mais suivent des principes similaires. Consultez la vue d'ensemble du PDPC pour les details d'applicabilite.
Les amendements de 2020 (en vigueur le 1er fevrier 2021) ont introduit la notification obligatoire de violation de donnees sous 3 jours calendaires au PDPC, elargi les exceptions d'interet legitime au consentement, les dispositions de consentement repute, des sanctions financieres renforcees jusqu'a 10 % du chiffre d'affaires annuel, et des exigences de responsabilite plus strictes. Les organisations doivent mettre a jour leurs politiques et procedures pour refleter ces changements.
Lorsqu'une violation de donnees notifiable survient (acces, utilisation, divulgation, perte ou modification non autorises susceptibles d'entrainer un prejudice significatif), vous disposez de 3 jours calendaires a compter de l'evaluation pour notifier le PDPC. Vous devez egalement notifier les personnes concernees lorsque la violation est susceptible d'entrainer un prejudice significatif ou un impact important (violation a grande echelle). La plateforme aide a suivre le calendrier d'evaluation et gere les workflows de notification.
Le PDPA exige que les organisations designent au moins une personne responsable de la conformite. Bien qu'il ne soit pas obligatoire d'appeler cette personne « DPO », c'est une bonne pratique. Les coordonnees du DPO doivent etre rendues accessibles au public. Pour les petites organisations, un employe existant peut assumer cette responsabilite en plus de ses autres fonctions.
Les amendements de 2020 ont introduit des dispositions de « consentement repute » ou le consentement peut etre presume dans des scenarios specifiques sans acceptation explicite, comme la necessite contractuelle ou les interets legitimes. Les organisations doivent neanmoins fournir aux individus un preavis raisonnable et la possibilite de refuser. C'est plus limite que la base d'interets legitimes du RGPD mais offre la flexibilite necessaire.
Le PDPA et le RGPD partagent des principes similaires mais different dans les details. Le PDPA a une approche basee sur le consentement avec des exceptions d'interet legitime limitees, tandis que le RGPD a six bases legales incluant des interets legitimes plus larges. Les exigences de consentement du PDPA sont plus strictes a certains egards mais plus flexibles a d'autres. Les organisations operant dans les deux juridictions se conforment souvent a l'exigence la plus stricte.
Singapour a publie un Model AI Governance Framework volontaire qui complete le PDPA. Bien que volontaire, il est de plus en plus attendu par les regulateurs et les clients. Il couvre la gouvernance interne, la supervision humaine, la gestion des operations et la communication avec les parties prenantes pour les systemes d'IA. VerifyWise aide a mettre en oeuvre les exigences du PDPA et de la gouvernance IA ensemble.
Oui, mais uniquement si la juridiction receptrice offre une protection comparable OU si vous mettez en place des garanties contractuelles appropriees (comme les Clauses Contractuelles Types ou les Regles d'entreprise contraignantes). Vous devez evaluer si le transfert implique des donnees sensibles, la loi sur la protection des donnees de la juridiction et mettre en oeuvre des evaluations d'impact des transferts pour les transferts a haut risque. Le PDPC fournit des orientations sur les mecanismes de transfert acceptables.
Depuis les amendements de 2020, le PDPC peut imposer des sanctions financieres jusqu'a 1 million SGD OU 10 % du chiffre d'affaires annuel a Singapour (le montant le plus eleve). Les sanctions penales incluent des amendes jusqu'a 5 000 SGD et un emprisonnement jusqu'a 2 ans pour les violations deliberees ou negligentes. Le PDPC publie egalement les decisions d'application, causant des dommages reputationnels significatifs. Les facteurs consideres incluent la taille de l'organisation, le prejudice cause et l'historique de conformite.
Vous devez repondre aux demandes d'acces aux donnees sous 30 jours calendaires, en fournissant les donnees sous forme comprehensible. Vous pouvez facturer des frais raisonnables pour couvrir les couts. Pour les demandes de correction, vous devez corriger les donnees inexactes ou incompletes et notifier les autres organisations auxquelles vous avez divulgue les donnees. Des exceptions limitees existent (privilege juridique, demandes excessivement repetitives). La plateforme suit ces delais et gere les workflows de reponse.
Le registre DNC de Singapour permet aux individus de refuser les appels marketing, SMS, fax et MMS (pas les e-mails ni le courrier physique). Avant d'envoyer des messages marketing via les canaux couverts, vous devez verifier le registre DNC dans les 30 jours et conserver la preuve. Les violations peuvent entrainer des sanctions jusqu'a 10 000 SGD par violation. Des exemptions existent pour les relations clients en cours avec consentement.
Les systemes d'IA traitant des donnees personnelles doivent respecter toutes les obligations du PDPA. Cela inclut le consentement pour la collecte de donnees, la limitation de finalite, l'exactitude, les mesures de securite et la responsabilite. Le Model AI Governance Framework de Singapour fournit des orientations volontaires supplementaires sur la transparence, l'equite et la supervision humaine. Les organisations devraient mettre en oeuvre la conformite PDPA et la gouvernance IA ensemble. Consultez notre page EU AI Act pour une comparaison avec d'autres reglementations IA.

Pret a atteindre la conformite PDPA ?

Lancez votre parcours de conformite PDPA avec nos outils d'evaluation et de mise en oeuvre guides alignes sur les 11 obligations de protection des donnees.

Demarrer l'evaluation PDPAPlanifier une consultation
Singapore PDPA Compliance Guide | Data Protection | VerifyWise