La LPDP et la gestion du risque pour les tiers

La loi singapourienne sur la protection des données personnelles (PDPA) fournit des lignes directrices pour assurer la sécurité et la protection des données des tiers. Nous passons en revue les principales exigences de la PDPA et partageons les meilleures pratiques pour simplifier le processus de conformité.
Par :
Scott Lang
,
VP, Marketing produit
28 mars 2023
Partager :
Blog pdpa 0323

La loi sur la protection des données personnelles (Personal Data Protection Act, PDPA) est une loi de Singapour qui régit la collecte, l'utilisation et la divulgation des données personnelles d'un individu. Cet article passe en revue les aspects importants de la PDPA concernant les tiers et identifie les capacités essentielles pour répondre à ces exigences.

A propos de la loi sur la protection des données personnelles

Adoptée pour la première fois en 2012 et révisée en 2020, la LPDP reconnaît à la fois le droit des personnes à protéger leurs données personnelles et la nécessité pour les organisations de collecter, d'utiliser et de divulguer ces données à des fins raisonnables. Cela signifie que les organisations doivent travailler avec les tiers qui traitent les données pour s'assurer qu'ils ont mis en place des pratiques saines en matière de protection des données. Le non-respect des dispositions de la PDPA peut entraîner une sanction financière de 10 % du chiffre d'affaires annuel de l'organisation ou d'un million de dollars suédois, le montant le plus élevé étant retenu.

Afin de fournir des lignes directrices aux organisations ayant des clients à Singapour, la PDPA comprend des "dispositions relatives à la protection des données" qui portent sur les points suivants :

  • Avoir des objectifs raisonnables, notifier les objectifs et obtenir le consentement pour la collecte, l'utilisation ou la divulgation de données à caractère personnel ;
  • Permettre aux individus d'accéder à leurs données personnelles et de les corriger ;
  • Prendre soin des données à caractère personnel (en veillant à leur exactitude), les protéger (y compris dans le cas de transferts internationaux) et ne pas les conserver si elles ne sont plus nécessaires ;
  • Notifier les violations de données à la Commission de protection des données de Singapour et aux personnes concernées ;
  • Disposer de politiques et de pratiques conformes à la LPDP.

La LPDP comprend dix obligations, dont l'une - l'obligation de protection (article 24) - s'applique le plus directement à l'externalisation du traitement des données par des tiers. Toutefois, la LPDP n'impose pas de processus ou de technologies spécifiques pour assurer la protection des données des tiers. Au lieu de cela, elle a publié des lignes directrices consultatives sur les concepts clés de la LPDP (révisées le 17 mai 2022) qui permettent aux organisations de disposer d'une certaine souplesse dans la mise en œuvre de contrôles appropriés en matière de protection des données.

Liste de contrôle de la conformité des tiers à la LPDP

Téléchargez la liste de contrôle de la conformité des tiers à la PDPA pour connaître les considérations de la loi relatives aux tiers et identifier les principales capacités de gestion des risques des tiers qui peuvent vous aider à répondre à ses exigences.

Lire la suite
Ressource en vedette Liste de contrôle du pdpa

Lignes directrices consultatives sur les concepts clés de la LPDP : comment se conformer aux exigences du TPRM

il est essentiel de veiller à ce que les tiers utilisent les contrôles de sécurité les plus stricts lorsqu'ils stockent, gèrent ou conservent les données des clients de votre organisation. Cette section établit une correspondance entre les meilleures pratiques et certains articles de la LPDP afin d'aider vos équipes chargées de la protection des données à s'assurer que les tiers respectent leurs obligations en matière de protection des données.

REMARQUE : Il s'agit uniquement d'un résumé des articles les plus pertinents, qui ne doit pas être considéré comme un guide complet et définitif. Pour une liste complète des articles, veuillez examiner le document complet en détail et consulter votre auditeur.

L'obligation de protection des données, 17.3 c)

La PDPA exige des organisations qu'elles "mettent en œuvre des politiques et des procédures solides pour garantir des niveaux de sécurité appropriés pour les données à caractère personnel plus ou moins sensibles".

Pour répondre à ces exigences, les organisations doivent envisager de définir les critères suivants dans le cadre de leur programme de gestion des risques liés aux tiers :

  • Gouverner les politiques, les normes, les systèmes et les processus pour protéger les données.
  • Rôles et responsabilités clairs (par exemple, RACI) pour tous les membres de l'équipe.
  • Notation et seuils de risque en fonction de la tolérance au risque de votre organisation.
  • Méthodes d'évaluation et de surveillance basées sur la criticité des tiers
  • Cartographie de quatrième partie pour déterminer les dépendances en amont
  • Sources de données de surveillance continue (par exemple, cyber, commerciales, financières, de réputation) afin de fournir un aperçu constant des risques émergents pour les données.
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI) contractuels à mesurer.
  • Établir des rapports pour répondre aux besoins de multiples parties prenantes internes (et externes)
  • Stratégies d'atténuation des risques et de remédiation, y compris l'applicabilité des contrôles compensatoires

Pour ce faire, de nombreuses organisations choisissent de s'aligner sur un cadre de gestion des risques reconnu, tel que l'ISO. Si vous cherchez à automatiser le processus de mesure de votre programme de gestion des risques technologiques par rapport à un cadre industriel, assurez-vous de choisir une plateforme d'évaluation qui offre plusieurs options de questionnaires préétablis qui s'alignent sur de multiples cadres.

L'obligation de protection des données, 17.3 d)

La PDPA exige des organisations qu'elles soient "préparées et capables de répondre rapidement et efficacement aux violations de la sécurité de l'information".

Il est impossible d'identifier, de répondre, de rapporter et d'atténuer rapidement l'impact des incidents des fournisseurs tiers manuellement ou sans une base solide de gestion des incidents. Les capacités clés à examiner dans le cadre de votre programme de réponse aux incidents sont les suivantes :

  • Questionnaires de gestion des événements et des incidents continuellement mis à jour et personnalisables afin de rester flexible face à des menaces en constante évolution.
  • Suivi en temps réel de l'achèvement du questionnaire pour s'assurer que des progrès acceptables sont réalisés.
  • Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus
  • Rapports proactifs des fournisseurs pour permettre aux tiers d'identifier eux-mêmes les incidents
  • Vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
  • Règles de flux de travail permettant de déclencher des scénarios automatisés pour agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
  • Recommandations de remédiation intégrées pour réduire les risques
  • Modèles de rapports intégrés
  • Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, 4èmes ou Nièmes parties afin de visualiser les chemins de l'information et de déterminer les données à risque.

L'obligation de protection des données, 17.4

La PDPA suggère aux organisations de procéder à une évaluation des risques afin de déterminer si leurs dispositions en matière de sécurité de l'information sont adéquates. Ce faisant, les facteurs suivants peuvent être pris en considération :

a) la taille de l'organisation et la quantité et le type de données à caractère personnel qu'elle détient ;

b) qui, au sein de l'organisation, a accès aux données à caractère personnel ; et

c) si les données à caractère personnel sont ou seront détenues ou utilisées par un tiers pour le compte de l'organisation.

Pour répondre à ces suggestions, il convient d'envisager les possibilités suivantes :

Auto-évaluations

Réaliser une évaluation interne de l'impact sur la vie privée (EIVP) ciblant les données les plus sensibles liées à la vie privée et les processus opérationnels présentant le risque le plus élevé. L'EIVP évalue l'origine, la nature et la gravité du risque potentiel. Elle fournit également des recommandations pour atténuer les risques identifiés et garantir la conformité future avec les réglementations en matière de protection de la vie privée.

Découverte et cartographie de données de tiers, de quatrième et de troisième partie

Les évaluations et l'analyse passive peuvent permettre de cartographier les relations afin de retracer les transferts de données entre les relations commerciales, d'identifier où les données existent, où elles circulent et avec qui elles sont partagées à l'extérieur de l'organisation.

Évaluation des risques liés aux fournisseurs

Examiner les contrôles de confidentialité des données des tiers par rapport à la PDPA en utilisant un cadre commun tel que l'ISO. Le contenu spécifique du questionnaire permet d'identifier les risques et de les mettre en correspondance avec les contrôles afin d'obtenir une vision claire des points chauds potentiels. Dans le cadre de ce processus, surveiller en permanence l' Internet et le dark web pour détecter les menaces et les vulnérabilités ( cyber ), ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Réponse aux risques et remédiation

Établir des seuils et automatiser l'identification des risques en fonction de ceux-ci. Utiliser des règles de flux de travail qui transmettent les risques identifiés à la partie prenante appropriée pour qu'elle les examine et les prenne en compte immédiatement. Proposer aux tiers des recommandations prescriptives de remédiation pour les obliger à rendre des comptes.

Suivi de la conformité et rapports

Structurez les rapports de conformité par rapport aux exigences de la PDPA en utilisant un cadre industriel commun tel que l'ISO. Cela vous permettra de mettre automatiquement en correspondance les risques et les réponses avec les contrôles, d'obtenir un pourcentage de conformité et de fournir des rapports spécifiques aux parties prenantes afin d'assurer la visibilité de la sécurité des données.

Surveillance continue de la notification des brèches

Restez à l'affût des risques potentiels pour les données en surveillant les bases de données sur les violations de données. Elles fournissent des informations sur les types et les quantités de données volées, sur les questions de conformité et de réglementation et sur les notifications en temps réel des fournisseurs en cas de violation de données.

Comment Prevalent aide à répondre aux exigences de la PDPA en matière de TPRM

Les organisations qui doivent se conformer à la LPDP doivent s'assurer que les tiers avec lesquels elles partagent des informations personnelles ont mis en place des contrôles pour protéger ces informations. Prevalent offre aux organisations une plateforme évolutive de gestion des risques liés aux tiers qui traite des risques liés à la protection des données. La plateforme Prevalent :

  • Établit une base solide pour la protection des données des tiers grâce à un programme complet de gestion des risques technologiques
  • Permet de savoir où se trouvent les données relatives à la vie privée, comment elles circulent et qui y a accès.
  • Accélère l'identification des risques et la prise de mesures correctives, ce qui permet de limiter les coûts liés aux violations et les atteintes à la réputation.
  • Générer des rapports ciblés pour les régulateurs, les vendeurs et les parties prenantes internes.
  • Surveille en permanence les violations et accélère la réponse aux incidents afin de réduire le risque d'un incident préjudiciable et coûteux en matière de sécurité des données.

Avec Prevalent, les équipes chargées des fournisseurs, de la sécurité et de la protection de la vie privée disposent d'une plateforme unique et collaborative pour effectuer des évaluations de la protection de la vie privée et atténuer les risques liés à la vie privée, qu'ils soient internes ou externes.

Pour plus d'informations sur lessolutions Prevalent pour la conformité à la PDPA, téléchargez notre liste de contrôle complète sur la conformité à la PDPA ou planifiez une démonstration.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo