La loi sur la protection des données personnelles (PDPA) est une loi singapourienne qui régit la collecte, l'utilisation et la divulgation des données personnelles d'un individu. Cet article passe en revue les considérations importantes relatives aux tiers dans la PDPA et identifie les capacités essentielles pour répondre aux exigences.
À propos de la loi sur la protection des données personnelles
Promulguée pour la première fois en 2012 et révisée en 2020, la PDPA reconnaît à la fois le droit des individus à protéger leurs données personnelles et la nécessité pour les organisations de collecter, d'utiliser et de divulguer ces données à des fins raisonnables. Cela signifie que les organisations doivent collaborer avec leurs tiers chargés du traitement des données afin de s'assurer qu'ils ont mis en place des pratiques solides en matière de protection des données. Le non-respect des dispositions de la PDPA peut entraîner une sanction financière correspondant à 10 % du chiffre d'affaires annuel de l'organisation ou à 1 million de dollars singapouriens, le montant le plus élevé étant retenu.
Afin de fournir des lignes directrices aux organisations ayant des clients à Singapour, la PDPA comprend des « dispositions relatives à la protection des données » qui traitent des points suivants :
- Avoir des finalités raisonnables, notifier les finalités et obtenir le consentement pour la collecte, l'utilisation ou la divulgation des données à caractère personnel ;
- Permettre aux personnes d'accéder à leurs données personnelles et de les corriger ;
- Prendre soin des données personnelles (ce qui implique de garantir leur exactitude), protéger les données personnelles (y compris en cas de transferts internationaux) et ne pas conserver les données personnelles si elles ne sont plus nécessaires ;
- Notifier la Commission de protection des données de Singapour et les personnes concernées en cas de violation des données ;
- Disposer de politiques et de pratiques conformes à la PDPA.
La PDPA comprend dix obligations, dont l'une, l'obligation de protection (section 24), s'applique plus directement à l'externalisation du traitement des données à des tiers. Cependant, la PDPA n'impose pas de processus ou de technologies spécifiques pour traiter la protection des données par des tiers. Elle a plutôt publié des lignes directrices consultatives sur les concepts clés de la PDPA (révisées le 17 mai 2022) qui permettent aux organisations de mettre en œuvre de manière flexible des contrôles appropriés en matière de protection des données.
Lignes directrices consultatives sur les concepts clés de la PDPA : comment se conformer aux exigences TPRM
Il est essentiel de veiller à ce que les tiers utilisent les contrôles de sécurité les plus rigoureux lorsqu'ils stockent, gèrent ou conservent les données clients de votre organisation. Cette section présente les meilleures pratiques pour sélectionner des articles de la PDPA afin d'aider vos équipes chargées de la confidentialité des données à s'assurer que les tiers respectent leurs obligations en matière de protection des données.
REMARQUE : Il s'agit d'un résumé des articles les plus pertinents uniquement, qui ne doit pas être considéré comme un guide complet et définitif. Pour obtenir la liste complète des articles, veuillez consulter le document dans son intégralité et vous adresser à votre auditeur.
L'obligation de protection des données, 17.3 c)
La PDPA exige des organisations qu'elles « mettent en œuvre des politiques et des procédures rigoureuses afin de garantir des niveaux de sécurité appropriés pour les données personnelles présentant différents degrés de sensibilité ».
Pour répondre à ces exigences, les organisations devraient envisager de définir les critères suivants dans le cadre de leur programme de gestion des risques liés aux tiers :
- Politiques, normes, systèmes et processus régissant la protection des données
- Rôles et responsabilités clairs (par exemple, RACI) pour tous les membres de l'équipe
- Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation
- Méthodes d'évaluation et de suivi basées sur la criticité des tiers
- Cartographie de quatrième partie pour déterminer les dépendances en amont
- Sources de données de surveillance continue (par exemple, cybernétique, commerciale, réputationnelle, financière) afin de fournir un aperçu constant des risques émergents pour les données.
- Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI) contractuels à mesurer.
- Établir des rapports pour répondre aux besoins de multiples parties prenantes internes (et externes)
- Stratégies d'atténuation des risques et de remédiation, y compris l'applicabilité des contrôles compensatoires
Pour ce faire, de nombreuses organisations choisissent de s'aligner sur un cadre de gestion des risques reconnu, tel que l'ISO. Si vous cherchez à automatiser le processus de mesure de votre programme de gestion des risques technologiques par rapport à un cadre industriel, assurez-vous de choisir une plateforme d'évaluation qui offre plusieurs options de questionnaires préétablis qui s'alignent sur de multiples cadres.
L'obligation de protection des données, 17.3 d)
La PDPA exige des organisations qu'elles « soient préparées et capables de réagir rapidement et efficacement aux violations de la sécurité des informations ».
Il est impossible d'identifier, de réagir, de signaler et d'atténuer rapidement l'impact des incidents liés à des fournisseurs tiers de manière manuelle ou sans une base solide en matière de gestion des incidents. Les principales capacités à examiner dans le cadre de votre programme de réponse aux incidents comprennent :
- Questionnaires de gestion des événements et des incidents continuellement mis à jour et personnalisables pour maintenir la flexibilité face à des menaces en constante évolution.
- Suivi en temps réel du remplissage des questionnaires afin de s'assurer que les progrès réalisés sont acceptables.
- Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais.
- Signalement proactif des fournisseurs pour permettre aux tiers d'identifier eux-mêmes les incidents
- Vues consolidées des évaluations des risques, des décomptes, des scores et des réponses signalées pour chaque fournisseur
- Règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
- Recommandations de remédiation intégrées pour réduire les risques
- Modèles de rapports intégrés
- Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, 4èmes ou Nièmes parties afin de visualiser les chemins de l'information et de déterminer les données à risque.
L'obligation de protection des données, 17.4
La PDPA suggère aux organisations de procéder à une évaluation des risques afin de déterminer si leurs mesures de sécurité informatique sont adéquates. Pour ce faire, les facteurs suivants peuvent être pris en considération :
a) la taille de l'organisation et la quantité et le type de données à caractère personnel qu'elle détient ;
b) qui, au sein de l'organisation, a accès aux données à caractère personnel ; et
c) si les données à caractère personnel sont ou seront détenues ou utilisées par un tiers pour le compte de l'organisation.
Pour répondre à ces suggestions, envisagez les fonctionnalités suivantes :
Auto-évaluations
Réalisez une évaluation interne de l'impact sur la vie privée (PIA) ciblant les données les plus sensibles liées à la vie privée et les processus opérationnels présentant le risque le plus élevé. La PIA évalue l'origine, la nature et la gravité du risque potentiel. Elle fournit également des recommandations pour atténuer les risques identifiés, garantissant ainsi le respect futur des réglementations en matière de confidentialité.
Découverte et cartographie des données tierces, quatrièmes et n-ièmes
Les évaluations et l'analyse passive peuvent permettre la cartographie des relations afin de retracer les transferts de données entre les relations commerciales, d'identifier où se trouvent les données, où elles circulent et avec qui elles sont partagées en dehors de l'organisation.
Évaluation des risques liés aux fournisseurs
Examinez les contrôles de confidentialité des données de tiers par rapport à la PDPA à l'aide d'un cadre commun tel que l'ISO. Le contenu spécifique du questionnaire aide à identifier les risques et à les mettre en correspondance avec les contrôles afin d'avoir une vision claire des points sensibles potentiels. Dans le cadre de ce processus, surveillez en permanence Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.
Réponse aux risques et mesures correctives
Établissez des seuils et automatisez l'identification des risques en fonction de ceux-ci. Tirez parti des règles de workflow qui transmettent les risques identifiés aux parties prenantes concernées pour qu'elles les examinent et prennent immédiatement les mesures qui s'imposent. Proposez aux tiers des recommandations correctives prescriptives afin de les tenir responsables.
Suivi et rapports de conformité
Structurez vos rapports de conformité aux exigences de la PDPA à l'aide d'un cadre commun à l'industrie, tel que la norme ISO. Cela vous permettra de mettre automatiquement en correspondance les risques et les réponses aux contrôles, d'obtenir un taux de conformité en pourcentage et de fournir des rapports spécifiques aux parties prenantes afin d'assurer la visibilité de la sécurité des données.
Surveillance continue des notifications d'événements de violation
Restez informé des risques potentiels liés aux données en surveillant les bases de données sur les violations de données. Elles vous fourniront des informations sur les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que des notifications en temps réel des violations de données des fournisseurs.
Comment Prevalent aide à répondre aux exigences PDPA TPRM
Les organisations qui doivent se conformer à la PDPA doivent s'assurer que les tiers avec lesquels elles partagent des informations personnelles ont mis en place des contrôles pour protéger ces informations. Prevalent offre aux organisations une plateforme évolutive de gestion des risques liés aux tiers qui traite les risques liés à la protection des données. La plateforme Prevalent :
- Établit une base solide pour la protection des données tierces grâce à un programme TPRM complet.
- Permet de savoir où se trouvent les données relatives à la protection de la vie privée, comment elles circulent et qui y a accès.
- Accélère l'identification des risques et la remédiation, atténue les coûts des violations et les atteintes à la réputation.
- Génère des rapports ciblés pour les régulateurs, les fournisseurs et les parties prenantes internes.
- Surveille en permanence les violations et accélère la réponse aux incidents afin d'atténuer le risque d'un incident de sécurité des données préjudiciable et coûteux.
Avec Prevalent, les équipes chargées des fournisseurs, de la sécurité et de la protection de la vie privée disposent d'une plate-forme unique et collaborative pour effectuer des évaluations de la protection de la vie privée et atténuer les risques liés à la protection de la vie privée, qu'il s'agisse de risques internes ou externes.
Pour plus d'informations sur les solutions Prevalent pour la conformité à la PDPA, téléchargez notre liste de contrôle complète sur la conformité à la PDPA ou planifiez une démonstration.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
