Loading…
La PDPA de Singapour est une loi sur la vie privée réfléchie et pragmatique qui a considérablement mûri depuis les amendements de 2020. Elle s'appuie sur un cadre fondé sur les obligations plutôt que sur l'énumération des bases légales du RGPD, intègre les règles de marketing direct via le Do Not Call Registry et plafonne les sanctions à 10 % du chiffre d'affaires réalisé à Singapour. Pour les entreprises ayant leur siège en Asie-Pacifique, c'est souvent autour de la PDPA que le programme mondial de protection de la vie privée se construit réellement.
| Dimension | 🇪🇺 GDPR | 🇸🇬 PDPA |
|---|---|---|
| Instrument juridique | Règlement (UE) 2016/679 | Personal Data Protection Act 2012 (Act 26 of 2012) ; les amendements de 2020 l'ont substantiellement renforcée |
| Régulateur | 27 autorités de protection des données des États membres de l'UE + EDPB | Personal Data Protection Commission (PDPC) |
| Approche structurelle | Énumération des bases légales (art. 6) ; fondée sur les droits (chapitre III) | Fondée sur les obligations — 9 obligations principales + régime Do Not Call + notification des violations |
| Amende maximale | 20 M€ ou 4 % du chiffre d'affaires mondial (art. 83(5)) | Plafond de 1 M S$ ; pour les organisations dont le chiffre d'affaires annuel à Singapour dépasse 10 M S$, jusqu'à 10 % du chiffre d'affaires annuel |
| Amende de palier inférieur | 10 M€ ou 2 % du chiffre d'affaires mondial | Même plafond par violation ; varie selon le type d'infraction |
| Modèle de consentement | Opt-in (l'une des six bases légales) | Obligation de consentement + consentement réputé acquis (fondé sur la notification) + exception d'intérêt légitime |
| Bases légales | Six — consentement, contrat, obligation légale, intérêts vitaux, mission d'intérêt public, intérêts légitimes | Consentement ou l'une des 13 exceptions statutaires (annexes 1–2) |
| Obligation de notification (consentement) | Mention d'information au moment de la collecte | Obligation de notification — la finalité est communiquée avant ou au moment de la collecte |
| Droit d'accès | Article 15 — confirmation + copie sous 1 mois | Obligation d'accès — dans un délai raisonnable, frais autorisés |
| Droit de rectification | Article 16 | Obligation de correction |
| Droit à la portabilité | Article 20 — format structuré et couramment utilisé | Oui — ajouté par les amendements de 2020 |
| Droit à l'effacement | Article 17 | Implicite via l'obligation de limitation de la conservation ; aucun droit autonome à l'effacement avant 2020 |
| Exigence de DPO | Obligatoire dans des cas définis (article 37) | Obligatoire pour tous les responsables de traitement (section 11(3) de la PDPA) — le nom et les coordonnées doivent être publiés |
| Notification des violations | 72 heures à l'autorité de contrôle + notification des personnes concernées en cas de risque élevé | 72 heures à la PDPC + notification des personnes affectées — seuil : préjudice significatif OU 500+ personnes |
| Transfert transfrontalier | SCC, BCR, adéquation (chapitre V) | Limitation des transferts — évaluation d'une protection comparable ; garanties contractuelles |
| Marketing direct | Base légale requise + règles ePrivacy | Obligation liée au Do Not Call Registry ; architecture consentement + opt-out |
| Données sensibles | Article 9 — données de catégorie particulière, consentement explicite + condition | Aucune catégorie sensible formelle — gérée via un consentement spécifique à la finalité |
| Données des enfants | Âge par défaut de 16 ans (les États membres peuvent l'abaisser à 13 ans) | Moins de 13 ans — consentement parental |
| Data Protection Trustmark | Aucun dispositif formel | Oui — certification volontaire (PDPA DPTM) |
| Début des sanctions | Mai 2018 | Sanctions substantielles à partir de 2014 ; les amendements de 2020 ont renforcé la structure de plafonnement |
Pour l'essentiel, oui. Ajoutez un DPO nommé en vertu de la section 11(3) avec des coordonnées accessibles au public, enregistrez les campagnes de marketing direct auprès du DNC Registry lorsque cela s'applique, assurez la notification des violations sous 72 heures à la PDPC et vérifiez les garanties de Limitation des transferts pour les transferts hors de Singapour.
Singapour tient un registre national Do Not Call. Avant d'envoyer des communications de télémarketing par voix, SMS ou fax à un numéro singapourien, les organisations doivent vérifier le registre DNC pertinent (Voice, Text, Fax). Les infractions sont sanctionnées séparément au titre de la PDPA.
Une certification volontaire administrée par l'IMDA. Elle atteste de la conformité de son titulaire à la PDPA — un signal de confiance utile pour les ventes B2B, en particulier auprès des acheteurs du secteur public et financier.
Modérée mais constante. La PDPC publie ses décisions d'application et a imposé des amendes de plusieurs millions de dollars à des organisations comme SingHealth (250 K S$), Integrated Health Information Systems (750 K S$), ainsi qu'à diverses organisations de marketing pour des infractions au DNC.
Pas strictement. Le DPO doit être joignable via des coordonnées publiées à Singapour, mais n'a pas à y résider. RegulatoryBridge nomme généralement un DPO régional ayant une présence à Singapour.
Cartographiez les contrôles une fois, conformez-vous deux fois. RegulatoryBridge vous offre un pipeline DSAR unique, un DPO unique, un guide d'intervention en cas de violation unique — couvrant les deux cadres réglementaires.