RGPD vs PDPA : Comparaison des lois européenne et singapourienne sur la vie privée
Le PDPA (Personal Data Protection Act) de Singapour fournit un cadre de protection des données personnelles qui équilibre les droits individuels avec les besoins des organisations de collecter et d'utiliser les données. Bien que le RGPD et le PDPA exigent tous deux le consentement et la limitation des finalités, le PDPA inclut un registre unique Do Not Call (DNC) pour les communications marketing et a des seuils de sanctions différents. La Personal Data Protection Commission (PDPC) applique la loi.
| Caractéristique | GDPR | PDPA |
|---|---|---|
| Portée géographique | Union européenne et États membres de l'EEE | Singapour |
| À qui cela s'applique | Toute organisation traitant les données des résidents de l'UE, quel que soit son emplacement | Organisations collectant ou utilisant des données personnelles à Singapour, avec des exceptions sectorielles |
| Exigences de consentement | Consentement opt-in comme l'une des six bases juridiques de traitement | Consentement requis avec des exceptions pour les intérêts légitimes, l'amélioration des activités et les données publiquement disponibles |
| Règles sur les cookies et le suivi | Les cookies non essentiels nécessitent un consentement explicite préalable en vertu de la directive ePrivacy | Pas de loi spécifique sur les cookies ; les exigences de consentement du PDPA s'appliquent aux données personnelles collectées en ligne |
| Droits individuels | Accès, rectification, effacement, portabilité, limitation, opposition | Accès, correction, retrait du consentement, portabilité des données (amendement de 2021) |
| Sanctions maximales | Jusqu'à 20 millions d'EUR ou 4 % du chiffre d'affaires annuel mondial | Jusqu'à 1 million de SGD ou 10 % du chiffre d'affaires annuel à Singapour pour les grandes organisations |
| Autorité de contrôle | Autorités nationales de protection des données dans chaque État membre de l'UE | Personal Data Protection Commission (PDPC) |
Principales différences
Les deux lois exigent le consentement avant de traiter des données personnelles, mais elles diffèrent dans leur approche. Le RGPD prévoit six bases juridiques pour le traitement, le consentement n'étant qu'une option. Le PDPA exige le consentement comme base principale mais inclut des exceptions pour l'amélioration des activités, les intérêts légitimes (ajoutés dans les amendements de 2021) et les données publiquement disponibles.
Le PDPA inclut le registre Do Not Call, une caractéristique unique non présente dans le RGPD. Les organisations doivent vérifier le registre DNC avant d'envoyer des messages marketing par téléphone, SMS ou fax aux numéros singapouriens. Le RGPD traite le marketing direct par des dispositions distinctes et la directive ePrivacy plutôt que par un registre centralisé.
Les sanctions en vertu du PDPA ont été considérablement augmentées par les amendements de 2021. L'amende maximale est désormais de 1 million de SGD ou 10 % du chiffre d'affaires annuel de l'organisation à Singapour, selon le montant le plus élevé, pour les organisations dont le chiffre d'affaires annuel dépasse 10 millions de SGD. Auparavant, le plafond était de 1 million de SGD. Le maximum du RGPD est de 20 millions d'EUR ou 4 % du chiffre d'affaires annuel mondial. Le PDPA a également introduit une obligation de notification des violations de données dans les amendements de 2021.
Comment Pryvii vous aide
Pryvii analyse votre site web par rapport aux exigences du RGPD et du PDPA, en vérifiant les mécanismes de consentement, les déclarations d'avis de confidentialité et les pratiques de collecte de données. Il vérifie si votre site répond aux exigences spécifiques de Singapour, telles que les déclarations de conformité DNC et les dispositions de consentement spécifiques au PDPA, en parallèle des normes du RGPD.
Questions fréquemment posées
Le PDPA de Singapour exige-t-il des bannières de consentement pour les cookies ?
Le PDPA n'a pas de loi spécifique sur les cookies équivalente à la directive ePrivacy. Cependant, si les cookies collectent des données personnelles, les exigences de consentement du PDPA s'appliquent. Les organisations devraient mettre en place des mécanismes de consentement pour le suivi qui collecte des informations personnelles, bien que l'approche puisse être moins stricte que l'exigence du RGPD de bloquer tous les cookies non essentiels avant le consentement.
Qu'est-ce que le registre Do Not Call et le RGPD a-t-il un équivalent ?
Le registre DNC est une fonctionnalité spécifique à Singapour où les individus peuvent enregistrer leurs numéros de téléphone pour refuser les messages marketing. Les organisations doivent vérifier le registre avant d'envoyer des communications de télémarketing. Le RGPD ne dispose pas d'un registre centralisé mais offre le droit de s'opposer au marketing direct en vertu de l'article 21, et la directive ePrivacy réglemente les communications de marketing électronique.
Singapour dispose-t-il d'une décision d'adéquation du RGPD ?
Singapour ne dispose pas d'une décision d'adéquation formelle du RGPD de la Commission européenne. Cependant, l'UE et Singapour entretiennent d'étroites relations commerciales, et les transferts de données reposent généralement sur des clauses contractuelles types ou d'autres mécanismes approuvés. Les amendements de 2021 du PDPA l'ont rapproché des normes du RGPD, ce qui pourrait soutenir de futures discussions d'adéquation.
Comparaisons connexes
Vérifiez votre conformité
Analysez votre site web par rapport à plusieurs réglementations en quelques minutes.