Conformité à la loi sur la protection des données personnelles (PDPA) de Singapour

Contacter un expert

Retour à tous les cas d'utilisation

L'APPD et la gestion des risques liés aux tiers

Le Singapore Personal Data Protection Act (PDPA) est une loi qui régit la collecte, l'utilisation et la divulgation des données personnelles d'un individu. Adoptée pour la première fois en 2012 et révisée en 2020, la PDPA reconnaît à la fois le droit des personnes à protéger leurs données personnelles et la nécessité pour les organisations de collecter, d'utiliser et de divulguer ces données à des fins raisonnables.

La LPDP comprend dix obligations, dont l'une - l'obligation de protection (article 24) - s'applique plus directement à l'externalisation du traitement des données par des tiers. Il est donc essentiel de veiller à ce que les tiers utilisent les contrôles de sécurité les plus stricts lorsqu'ils stockent, gèrent ou conservent les données des clients de votre organisation.

Exigences pertinentes

  • avoir des objectifs raisonnables pour notifier et obtenir le consentement à la collecte, à l'utilisation ou à la divulgation de données à caractère personnel
  • Prendre soin des données à caractère personnel (ce qui implique d'en garantir l'exactitude), les protéger (y compris dans le cas de transferts internationaux) et ne pas les conserver si elles ne sont plus nécessaires.
  • Disposer de politiques et de pratiques conformes à la LPDP
  • Permettre aux individus d'accéder à leurs données personnelles et de les corriger
  • Notifier les violations de données à la Commission de protection des données de Singapour et aux personnes concernées.

Répondre aux exigences du PDPA TPRM en matière de protection des données

Le tableau récapitulatif ci-dessous met en correspondance les fonctionnalités de la plate-forme de gestion du risque de tiers prévalent avec certains articles de l'article 24 de la LPDP - l'obligation de protection.

NOTE : Il s'agit uniquement d'un résumé des articles les plus pertinents, qui ne doit pas être considéré comme un guide complet et définitif. Pour une liste complète des articles, veuillez consulter le document complet en détail et consulter votre auditeur.

 

Section PDPA

Comment nous aidons

Protection des données personnelles, section 24 :

"Une organisation doit protéger les données à caractère personnel en sa possession ou sous son contrôle en prenant des dispositions raisonnables en matière de sécurité afin d'empêcher
(a) l'accès, la collecte, l'utilisation, la divulgation, la copie, la modification ou l'élimination non autorisés, ou des risques similaires ; et
(b) la perte de tout support de stockage ou appareil sur lequel des données à caractère personnel sont stockées."

Lignes directrices consultatives sur les concepts clés de la LPDP

L'obligation de protection des données, 17.3 c)

"Mettre en œuvre des politiques et des procédures solides pour garantir des niveaux de sécurité appropriés pour les données à caractère personnel plus ou moins sensibles.

Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM) en accord avec vos programmes plus larges de sécurité et de gouvernance de l'information, de protection des données, de risque et de conformité, sur la base de meilleures pratiques éprouvées et d'une vaste expérience du monde réel.

Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions de gestion des risques liés aux tiers, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'abandon - en fonction de l'appétit pour le risque de votre organisation.

Prevalent permet aux organisations d'évaluer et de surveiller leurs tiers en fonction de l'ampleur des menaces qui pèsent sur leurs actifs informationnels en capturant, en suivant et en quantifiant les risques inhérents à tous les tiers. Le résultat est une liste de fournisseurs classés par niveau et par catégorie, avec un score de risque inhérent, qui permet de procéder à des vérifications préalables.

Lignes directrices consultatives sur les concepts clés de la LPDP

L'obligation de protection des données, 17.3 d)

"Être préparé et capable de réagir rapidement et efficacement aux violations de la sécurité de l'information".

Prevalent permet à votre équipe d'identifier, de répondre, de rapporter et d'atténuer rapidement l'impact des incidents impliquant des fournisseurs tiers en gérant les fournisseurs de manière centralisée, en menant des évaluations d'événements, en notant les risques identifiés, en établissant des corrélations avec la cybersurveillance continue et en accédant à des conseils de remédiation. Les principales fonctionnalités sont les suivantes :

  • Questionnaires de gestion des événements et des incidents mis à jour en permanence et personnalisables
  • Suivi en temps réel de l'état d'avancement du questionnaire
  • Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais.
  • Rapports proactifs sur les fournisseurs
  • Vues consolidées des évaluations des risques, des décomptes, des scores et des réponses signalées pour chaque fournisseur
  • Règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
  • Recommandations de remédiation intégrées pour réduire les risques
  • Modèles de rapports intégrés
  • Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, 4èmes ou Nièmes parties afin de visualiser les chemins de l'information et de déterminer les données à risque.

Lignes directrices consultatives sur les concepts clés de la LPDP

L'obligation de protection des données, 17.4

En outre, il pourrait être utile pour les organisations d'entreprendre un exercice d'évaluation des risques afin de vérifier si leurs dispositions en matière de sécurité de l'information sont adéquates.

Pour ce faire, les facteurs suivants peuvent être pris en considération :

a) la taille de l'organisation et la quantité et le type de données à caractère personnel qu'elle détient ;
b) les personnes qui, au sein de l'organisation, ont accès aux données à caractère personnel ; et
c) si les données à caractère personnel sont ou seront détenues ou utilisées par un tiers pour le compte de l'organisation.

Prevalent propose un programme complet d'évaluation des risques liés à la protection des données des tiers, qui comprend les fonctionnalités suivantes :

Découverte et cartographie des données de tiers, de quatrième et de troisième partie
Prevalent propose des évaluations planifiées et une capacité unique de cartographie des relations pour retracer les transferts de données entre les relations commerciales, en identifiant où les données existent, où elles circulent et avec qui elles sont partagées à l'extérieur de l'organisation. Les résultats génèrent automatiquement un registre des risques qui met en évidence les principaux domaines de risque.

Auto-évaluation
Avec Prevalent, les organisations peuvent mener une évaluation interne de l'impact sur la vie privée (PIA) ciblant les données les plus sensibles liées à la vie privée et les processus d'entreprise présentant le risque le plus élevé. L'évaluation de l'impact sur la vie privée évalue l'origine, la nature et la gravité du risque potentiel. Elle fournit également des recommandations pour atténuer les risques identifiés, garantissant ainsi la conformité future avec les réglementations en matière de protection de la vie privée.

Évaluations des risques des fournisseurs
Prevalent évalue les contrôles de confidentialité des données des fournisseurs par rapport à la PDPA en utilisant le Prevalent Compliance Framework (PCF) et une enquête PDPA spécifique. Le contenu spécifique du questionnaire permet d'identifier les risques et de les mettre en correspondance avec les contrôles pour obtenir une vision claire des points chauds potentiels.

Réponse aux risques
Prevalent automatise l'identification des risques en fonction de seuils définis dans la plateforme. Cette capacité permet d'accélérer la réponse grâce à des règles de flux de travail prédéfinies qui transmettent les risques identifiés à la partie prenante appropriée pour qu'elle les examine et les prenne en compte immédiatement.

Suivi de la conformité et rapports
Prevalent établit des rapports sur la PDPA à l'aide du Prevalent Compliance Framework (PCF). Le PCF met automatiquement en correspondance les risques et les réponses avec les contrôles, fournit un pourcentage de conformité et produit des rapports spécifiques aux parties prenantes afin d'assurer la visibilité de la sécurité des données.

Surveillance continue de la notification des violations de données
Prevalent donne accès à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde. Cette base de données comprend les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que les notifications de violation de données des fournisseurs en temps réel.

Ressources complémentaires

Blog

La LPDP et la gestion du risque pour les tiers

Blog

Liste de contrôle de la conformité au GDPR pour la gestion des risques liés aux tiers

Blog

Liste de contrôle de la conformité à la CCPA et à l'ACPR pour la gestion des risques liés aux tiers

Guide

Alignez votre programme de gestion des risques technologiques sur la CCPA, le GDPR, l'HIPAA, etc.

Voir plus de ressources

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.