La loi sur la protection des données personnelles (Personal Data Protection Act, PDPA) est une loi de Singapour qui régit la collecte, l'utilisation et la divulgation des données personnelles d'un individu. Cet article passe en revue les aspects importants de la PDPA concernant les tiers et identifie les capacités essentielles pour répondre à ces exigences.
Adoptée pour la première fois en 2012 et révisée en 2020, la LPDP reconnaît à la fois le droit des personnes à protéger leurs données personnelles et la nécessité pour les organisations de collecter, d'utiliser et de divulguer ces données à des fins raisonnables. Cela signifie que les organisations doivent travailler avec les tiers qui traitent les données pour s'assurer qu'ils ont mis en place des pratiques saines en matière de protection des données. Le non-respect des dispositions de la PDPA peut entraîner une sanction financière de 10 % du chiffre d'affaires annuel de l'organisation ou d'un million de dollars suédois, le montant le plus élevé étant retenu.
Afin de fournir des lignes directrices aux organisations ayant des clients à Singapour, la PDPA comprend des "dispositions relatives à la protection des données" qui portent sur les points suivants :
La LPDP comprend dix obligations, dont l'une - l'obligation de protection (article 24) - s'applique le plus directement à l'externalisation du traitement des données par des tiers. Toutefois, la LPDP n'impose pas de processus ou de technologies spécifiques pour assurer la protection des données des tiers. Au lieu de cela, elle a publié des lignes directrices consultatives sur les concepts clés de la LPDP (révisées le 17 mai 2022) qui permettent aux organisations de disposer d'une certaine souplesse dans la mise en œuvre de contrôles appropriés en matière de protection des données.
Liste de contrôle de la conformité des tiers à la LPDP
Téléchargez la liste de contrôle de la conformité des tiers à la PDPA pour connaître les considérations de la loi relatives aux tiers et identifier les principales capacités de gestion des risques des tiers qui peuvent vous aider à répondre à ses exigences.
il est essentiel de veiller à ce que les tiers utilisent les contrôles de sécurité les plus stricts lorsqu'ils stockent, gèrent ou conservent les données des clients de votre organisation. Cette section établit une correspondance entre les meilleures pratiques et certains articles de la LPDP afin d'aider vos équipes chargées de la protection des données à s'assurer que les tiers respectent leurs obligations en matière de protection des données.
REMARQUE : Il s'agit uniquement d'un résumé des articles les plus pertinents, qui ne doit pas être considéré comme un guide complet et définitif. Pour une liste complète des articles, veuillez examiner le document complet en détail et consulter votre auditeur.
La PDPA exige des organisations qu'elles "mettent en œuvre des politiques et des procédures solides pour garantir des niveaux de sécurité appropriés pour les données à caractère personnel plus ou moins sensibles".
Pour répondre à ces exigences, les organisations doivent envisager de définir les critères suivants dans le cadre de leur programme de gestion des risques liés aux tiers :
Pour ce faire, de nombreuses organisations choisissent de s'aligner sur un cadre de gestion des risques reconnu, tel que l'ISO. Si vous cherchez à automatiser le processus de mesure de votre programme de gestion des risques technologiques par rapport à un cadre industriel, assurez-vous de choisir une plateforme d'évaluation qui offre plusieurs options de questionnaires préétablis qui s'alignent sur de multiples cadres.
La PDPA exige des organisations qu'elles soient "préparées et capables de répondre rapidement et efficacement aux violations de la sécurité de l'information".
Il est impossible d'identifier, de répondre, de rapporter et d'atténuer rapidement l'impact des incidents des fournisseurs tiers manuellement ou sans une base solide de gestion des incidents. Les capacités clés à examiner dans le cadre de votre programme de réponse aux incidents sont les suivantes :
La PDPA suggère aux organisations de procéder à une évaluation des risques afin de déterminer si leurs dispositions en matière de sécurité de l'information sont adéquates. Ce faisant, les facteurs suivants peuvent être pris en considération :
a) la taille de l'organisation et la quantité et le type de données à caractère personnel qu'elle détient ;
b) qui, au sein de l'organisation, a accès aux données à caractère personnel ; et
c) si les données à caractère personnel sont ou seront détenues ou utilisées par un tiers pour le compte de l'organisation.
Pour répondre à ces suggestions, il convient d'envisager les possibilités suivantes :
Réaliser une évaluation interne de l'impact sur la vie privée (EIVP) ciblant les données les plus sensibles liées à la vie privée et les processus opérationnels présentant le risque le plus élevé. L'EIVP évalue l'origine, la nature et la gravité du risque potentiel. Elle fournit également des recommandations pour atténuer les risques identifiés et garantir la conformité future avec les réglementations en matière de protection de la vie privée.
Les évaluations et l'analyse passive peuvent permettre de cartographier les relations afin de retracer les transferts de données entre les relations commerciales, d'identifier où les données existent, où elles circulent et avec qui elles sont partagées à l'extérieur de l'organisation.
Examiner les contrôles de confidentialité des données des tiers par rapport à la PDPA en utilisant un cadre commun tel que l'ISO. Le contenu spécifique du questionnaire permet d'identifier les risques et de les mettre en correspondance avec les contrôles afin d'obtenir une vision claire des points chauds potentiels. Dans le cadre de ce processus, surveiller en permanence l' Internet et le dark web pour détecter les menaces et les vulnérabilités ( cyber ), ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.
Établir des seuils et automatiser l'identification des risques en fonction de ceux-ci. Utiliser des règles de flux de travail qui transmettent les risques identifiés à la partie prenante appropriée pour qu'elle les examine et les prenne en compte immédiatement. Proposer aux tiers des recommandations prescriptives de remédiation pour les obliger à rendre des comptes.
Structurez les rapports de conformité par rapport aux exigences de la PDPA en utilisant un cadre industriel commun tel que l'ISO. Cela vous permettra de mettre automatiquement en correspondance les risques et les réponses avec les contrôles, d'obtenir un pourcentage de conformité et de fournir des rapports spécifiques aux parties prenantes afin d'assurer la visibilité de la sécurité des données.
Restez à l'affût des risques potentiels pour les données en surveillant les bases de données sur les violations de données. Elles fournissent des informations sur les types et les quantités de données volées, sur les questions de conformité et de réglementation et sur les notifications en temps réel des fournisseurs en cas de violation de données.
Les organisations qui doivent se conformer à la LPDP doivent s'assurer que les tiers avec lesquels elles partagent des informations personnelles ont mis en place des contrôles pour protéger ces informations. Prevalent offre aux organisations une plateforme évolutive de gestion des risques liés aux tiers qui traite des risques liés à la protection des données. La plateforme Prevalent :
Avec Prevalent, les équipes chargées des fournisseurs, de la sécurité et de la protection de la vie privée disposent d'une plateforme unique et collaborative pour effectuer des évaluations de la protection de la vie privée et atténuer les risques liés à la vie privée, qu'ils soient internes ou externes.
Pour plus d'informations sur lessolutions Prevalent pour la conformité à la PDPA, téléchargez notre liste de contrôle complète sur la conformité à la PDPA ou planifiez une démonstration.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024