Les cadres légaux de protection des données et de la vie privée se sont de plus en plus développés à l’échelle mondiale. C’est particulièrement le cas en Asie : au cours des deux dernières années, plusieurs juridictions clés, dont la Chine, l’Inde, l’Indonésie et le Vietnam, ont soit introduit leurs premières réglementations sur la protection des données, soit mis à jour et réformé leurs réglementations existantes. Ces réglementations ont été de manière générale très influencées par le Règlement général sur la protection des données de l’UE (« RGPD« ), lui empruntant certains concepts, et fixant une norme de conformité élevée pour les organisations qui traitent des données à caractère personnel.
Vous trouverez ci-dessous un aperçu des approches nationales de la Chine, de l’Inde, de l’Indonésie, de Singapour et du Viêt Nam en matière de protection de la vie privée, préparé par notre Asia data privacy taskforce.
- Chine – Personal Information Protection Law (PIPL)
- Inde – Digital Personal Data Protection Act (DPDPA)
- Indonésie – Personal Data Protection Law (PDPL)
- Viêt Nam – Personal Data Protection (DPDP)
Notre Asia data privacy taskforce. Chez DS Avocats, nous avons développé une forte expertise sur les questions de protection des données en Asie, nous permettant d’assister nos clients dans le développement de leurs opérations tout en tenant compte de leurs obligations en matière de conformité des données. Notre connaissance du RGPD nous permet également de faire le lien entre les besoins des sièges européens et ceux des filiales locales en Chine, Inde, Indonésie, Singapour et au Viêt Nam.
La loi dite Personal Data Protection Act, 2012 (« PDPA »), socle de la réglementation sur la protection des données personnelles à Singapour, est entrée en vigueur le 2 juillet 2014. L’objectif principal du PDPA est de protéger les droits à la vie privée des individus et de réglementer la collecte et le traitement des données personnelles par les organisations privées.
Le RGPD et le PDPA
Le RGPD est fondé sur la protection des droits fondamentaux des individus, en particulier le droit à la vie privée, et met l’accent sur la protection des données en tant que droit fondamental de l’individu, plaçant ainsi la sauvegarde de la vie privée au cœur de ses préoccupations et reconnaissant l’importance de préserver la confidentialité des données personnelles. Le PDPA recherche quant à lui un équilibre entre la protection des données personnelles et la facilitation des affaires, reconnaissant l’importance de l’innovation et du développement économique tout en sauvegardant la protection de la vie privée.
Les deux lois ont toutefois une approche globale et un champ d’application personnel et extraterritorial similaires. Elles créent toutes deux une autorité de contrôle dotée de pouvoirs d’enquête et de sanction étendus et de la possibilité de condamner les acteurs à des amendes importantes en cas de non-respect. Toutefois, la conformité au PDPA ne signifie pas nécessairement la conformité avec le RGPD par les entreprises, les exigences différant selon le régime applicable, comme illustré par l’infographie ci-dessous élaborée par la Personal Data Protection Commission de Singapour (PDPC) détaillant les exceptions relatives au consentement prévues par le PDPA et le RGPD pour le traitement des données personnelles.
D’autres différences entre les deux réglementations peuvent également être relevées :
- Alors que le PDPA exclut les agences publiques et les organisations agissant en leur nom, le RGPD s’applique tant aux organismes privés que publics.
- Le PDPA accorde une protection plus restreinte aux individus que le RGPD.
- Alors que le RGPD s’applique à toutes les entreprises traitant les données personnelles des citoyens de l’UE, quel que soit leur lieu d’implantation, le PDPA s’applique à toute organisation, à l’exclusion des organismes publics, qui traite des données personnelles à Singapour.
Bien que les deux législations accordent aux personnes le droit d’être informées des conditions dans lesquelles leurs données sont collectées et utilisées, le droit de s’opposer à la collecte de leurs données, le droit d’accéder aux données qui ont été collectées et de les modifier, le RGPD va plus loin en permettant notamment aux personnes d’obtenir la suppression de leurs données personnelles ayant été collectées. Le PDPA reste muet sur ce point, les entreprises ayant collecté des données n’étant pas tenues de les supprimer en cas de demande.
Présentation du PDPA
| Réglementation | Protection Data Personal Act, 2012 (No.26 of 2012) (PDPA) Lignes directrices spécifiques pour certains secteurs : télécommunications / agences immobilières / éducation / santé / services sociaux / transport / société de gestion Réglementations spécifiques pour certains secteurs : bancaires / santé / assurance-vie |
| Régulateur | Personal Data Protection Commission (PDPC) |
| Champ d’application | Application à toutes les organisations (y compris toute personne physique, société, association ou groupe de personnes, avec ou sans personnalité morale, qu’elles soient ou non constituées ou reconnues en vertu des lois de Singapour) qui exercent des activités impliquant des données personnelles à Singapour, à moins qu’elles ne soient expressément exclues de l’application du PDPA. Sont exclues : • Les personnes agissant à titre personnel ; • Les employés agissant dans le cadre de leur emploi au sein d’une organisation ; • Les agences publiques ; et • Les organisations agissant au nom d’une agence publique. |
| Définition de donnée personnelle | “personal data” means data, whether true or not, about an individual who can be identified — (a) from that data; or (b) from that data and other information to which the organisation has or is likely to have access;” Le PDPA ne définit pas de catégories spéciales de données. La PDPC a utilisé dans plusieurs décisions le concept de données ayant un caractère plus sensible, notamment relatives aux données médicales, financières, à la situation de faillite des personnes, aux problèmes de drogue et d’infidélité. |
| Obligations aux termes du PDPA | Principes relatifs à la protection des données personnelles : • Obligations en matière de consentement (articles 13 à 17) • Obligation de limitation de la finalité (article 18) • Obligations de notification (article 20) • Obligations d’accès et de rectification (articles 21, 22 et 22A) • Obligation d’exactitude (article 23) • Obligation de protection (article 24) • Obligation de limitation de la conservation des données (article 25) • Obligation de limitation du transfert (article 26) • Obligation de notification des violations de données (articles 26A à 26E) • Obligation de rendre compte (articles 11 et 12) |
| Parties impliquées | Data controller: le PDPA n’utilise pas le terme de « data controller« . Il utilise plutôt le terme plus général d' »organisation » pour désigner les entités qui sont tenues de se conformer aux obligations prévues par le PDPA. Le terme « organisation » couvre largement les personnes physiques, les personnes morales (telles que les sociétés) et les personnes non constituées en société (telles que les associations), qu’elles soient formées ou reconnues en vertu du droit singapourien, qu’elles résident ou qu’elles aient un bureau ou un lieu d’activité à Singapour. Data processor: Le terme « data processor » n’est pas utilisé dans le PDPA, mais un terme équivalent est utilisé, celui de « data intermediary« . Un « data intermediary » est défini comme une organisation qui traite des données personnelles pour le compte d’une autre organisation, à l’exclusion des employés de cette dernière. Pour plus d’informations sur les obligations des intermédiaires de données, voir également la section sur le champ d’application personnel ci-dessus. |
| Droits des personnes concernées | Permettre aux personnes d’accéder à leurs données personnelles et de corriger les erreurs qui s’y trouvent |
| Sécurité | Les organisation doivent mettre en place des mesures de sécurité raisonnables et appropriées pour protéger les données personnelles et empêcher leur accès, collecte, utilisation, divulgation, copie, modification, élimination ou tout autre risque similaire et comportement non autorisé. |
| Consentement | Les organisations sont tenues d’obtenir le consentement des personnes avant de collecter, utiliser ou divulguer leurs données personnelles, à moins que cette collecte, cette utilisation ou cette divulgation ne soit requise ou autorisée en vertu du PDPA ou de toute autre réglementation. Le consentement n’est pas requis pour la collecte, l’utilisation et la divulgation de données personnelles lorsque les exceptions des Annexes 1 et 2 du PDPA s’appliquent, par exemple lorsque la collecte, l’utilisation ou la divulgation de données personnelles d’une personne est : • Nécessaire à toute fin clairement identifiée comme étant dans l’intérêt de l’individu, et dont I. Le consentement pour la collecte, l’utilisation ou la divulgation ne peut pas être obtenu en temps opportun ; ou II. n ne peut pas raisonnablement s’attendre à ce que l’individu refuse son consentement. • Accessible au public ; • Dans l’intérêt public ; • Dans l’intérêt légitime de l’organisation ou d’une autre personne, et que l’intérêt légitime de l’organisation ou de l’autre personne l’emporte sur tout effet négatif pour la personne. Une organisation est en outre tenue d’indiquer les finalités pour lesquelles elle collecte, utilise ou divulgue les données dans le cadre de l’obligation de notification. Le consentement peut par ailleurs être présumé : sont considérées comme ayant consenti à la collecte de leurs données les personnes qui produisent volontairement leurs données personnelles à une fin donnée et raisonnable. Le PDPA prévoit trois formes différentes de consentement présumé : • Du fait du comportement de la personne ; • Du fait de l’existence d’un accord entre les parties ; • Après notification. Lorsqu’il est nécessaire, le consentement peut être recueilli par écrit ou voie électronique. Une personne peut à tout moment retirer son consentement en donnant un préavis raisonnable à l’organisation. |
| Transfert transfrontalier de données et impact sur l’évaluation des transferts à l’étranger | L’organisation peut transférer des données dans un autre pays si : • Elle se conforme au PDPA tant que les données transférées restent en sa possession ; • Le destinataire est lié par des obligations juridiques d’assurer une protection comparable à celle prévue par le PDPA |
| Violations | Guide 2.0 du PDPC sur la gestion des violations de données : Il est conseillé aux organisations de notifier la PDPC et/ou les personnes concernées des violations de données qui sont d’une ampleur significative ou qui sont plus susceptibles d’entraîner un préjudice ou un impact significatif pour les personnes auxquelles se rapportent les informations. |
| Sanctions | Amendes n’excédant pas 1.000.000 S$ (685.000€) ou 10 % du chiffre d’affaires annuel s’il est supérieur à 10.000.000 S$ (6.850.000€). |
