Singapour a rejoint le système des CBPR (Cross-Border Privacy Rules - règles transfrontières de protection des données) de l’APEC en avril 2018. Il aura fallu un peu plus de deux ans pour que la loi singapourienne sur la protection des données personnelles soit modifiée pour admettre les transferts de données personnelles dans le cadre des CBPR. (1)
La Loi sur la protection des données personnelles de 2012 (PDPA) est entrée en application en trois phases entre le 2 janvier 2013 et le 2 juillet 2014. (2) Cette loi est complétée par les Règlements sur la protection des données personnelles de 2014, dont le titre III concerne les transferts de données vers l’étranger (ci-après, les “Règlements”). (3)
En règle générale, les données personnelles ne peuvent être librement transférées depuis Singapour vers un pays étranger, sauf dans les cas prévus par les Règlements.
Avant de transférer les données vers un organisme situé à l’étranger, l’organisme singapourien doit notamment s’assurer que l’organisme destinataire est soumis à des engagements opposables accordant aux données transférées un niveau de protection au moins équivalent à la protection accordée par la loi singapourienne sur la protection des données personnelles. Ce niveau d’engagement peut figurer dans la loi du pays du destinataire, dans un contrat conclu entre l’organisme singapourien et l’organisme destinataire, ou dans des règles d’entreprise contraignantes (Binding corporate rules - BCR) pour les transferts intra-groupe.
Les Règlements ont été modifiés le 4 juin dernier pour ajouter les transferts de données à l’étranger vers des organismes certifiés dans le cadre du système des CBPR pour les responsables de traitements, ou des PRP (Privacy Recognition for Processors - ou système de reconnaissance de la vie privée pour les sous-traitants). Pour rappel, seuls les organismes situés dans des pays de l’APEC ayant adhéré au système des CBPR et PRP peuvent bénéficier de ces mesures de transfert. A ce jour, 9 pays, sur les 21 membres de l’APEC, ont rejoint le système CBPR : les Etats-Unis, le Canada, le Mexique, le Japon, la Corée du Sud, Taiwan, les Philippines, Singapour et l’Australie. (4)
La Commission pour la protection des données personnelles (PDPC) a publié des clauses types pouvant être intégrées aux contrats comprenant des transferts de données vers des organismes certifiés CBPR ou PRP. (5)
* * * * * * * * * * *
(1) Site des CBPR
(2) Personal Data Protection Act 2012 (“PDPA”)
(3) Personal Data Protection Regulations 2014
(4) Pour plus de détails sur le fonctionnement du système, voir notre article “Flux transfrontières de données personnelles en Asie-Pacifique : le système CBPR”
(5) https://www.pdpc.gov.sg/help-and-resources/2020/06/sample-clause-for-data-transfers-to-apec-cbpr-and-prp-certified-organisations
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Juillet 2020
Aucun commentaire:
Enregistrer un commentaire