PDPA et données RH à Singapour — Ce que chaque employeur doit savoir
Le PDPA de Singapour s'applique aux données personnelles des employés avec des règles spécifiques sur la collecte de NRIC, le consentement et la conservation. Guide pratique pour les services RH.
PDPA et données RH à Singapour — Ce que les employeurs doivent savoir
Les RH détiennent les données les plus sensibles
Les départements des Ressources Humaines sont les gardiens des informations les plus sensibles de toute organisation : numéros NRIC, détails salariaux, dossiers médicaux, évaluations de performance et dossiers disciplinaires.
À Singapour, la Loi sur la protection des données personnelles (PDPA) régit la manière dont les organisations collectent, utilisent et divulguent les données personnelles. Les données des employés sont tout aussi couvertes — et les violations RH figurent parmi les plaintes PDPA les plus courantes.
Comment le PDPA s'applique aux données des employés
Consentement présumé (Deemed Consent) — mais pas un blanc-seing
Le PDPA prévoit un « consentement présumé » pour les fins liées à l'emploi. Les activités RH courantes comme le traitement de la paie, les cotisations CPF ou les déclarations fiscales IRAS ne nécessitent pas de consentement explicite.
Toutefois, le consentement présumé n'est pas une autorisation globale — il ne couvre que les finalités qu'une personne raisonnable jugerait appropriées dans le contexte de l'emploi.
| Activité | Consentement présumé ? | Notes |
|---|---|---|
| Traitement de la paie | Oui | Finalité standard d'emploi |
| Cotisations CPF | Oui | Obligation légale |
| Déclaration fiscale IRAS | Oui | Obligation légale |
| Photos d'employés pour le marketing | Non | Consentement explicite requis |
| Partage d'informations médicales avec des collègues | Non | Consentement ou base légale requis |
Obligation de notification
Même lorsque le consentement présumé s'applique, les employeurs doivent informer les employés : quelles données sont collectées, pourquoi et avec qui elles peuvent être partagées.
Directives NRIC — Un piège fréquent
Depuis le 1er septembre 2019, les directives NRIC sont en vigueur à Singapour.
Ce qu'il ne faut PAS faire
- Collecter les numéros complets NRIC/FIN/certificat de naissance sauf obligation légale
- Utiliser le NRIC comme identifiant général
Ce qu'il faut faire
- Collecter uniquement les 4 derniers caractères du NRIC quand l'identification partielle suffit
- Utiliser des identifiants alternatifs (numéro d'employé)
- Ne conserver le NRIC complet que lorsque la loi l'exige (CPF, IRAS, MOM)
Droits des employés
Les employés ont le droit de :
- Demander l'accès à leurs données personnelles
- Demander la correction de données inexactes
- Être informés de l'utilisation et de la divulgation de leurs données au cours de l'année écoulée
Les employeurs doivent répondre aux demandes d'accès dans un délai de 30 jours.
Conservation des données — Ne les gardez pas indéfiniment
| Type de données | Durée de conservation suggérée | Raison |
|---|---|---|
| Dossiers de paie | 5-7 ans après le départ | Exigences d'audit IRAS |
| Dossiers fiscaux (IR8A) | 5 ans | Exigence IRAS |
| Dossiers CPF | 5 ans | Exigence CPF Board |
| Remboursements médicaux | 1-2 ans après le départ | Réconciliation assurance |
| Évaluations de performance | 2-3 ans après le départ | Références |
Violations RH-PDPA courantes
- Partage d'informations médicales sans consentement — un manager demande aux RH l'état de santé d'un employé et les RH le partagent : c'est une violation
- Bulletins de paie visibles — laisser des fiches de paie imprimées à la vue des collègues
- Envoi erroné — envoyer des informations salariales au mauvais destinataire
Partager des documents RH sensibles en toute sécurité
LOCK.PUB permet de créer des mémos protégés par mot de passe pour partager en toute sécurité des informations salariales, des lettres d'offre ou des documents médicaux. Au lieu d'envoyer ces informations par WhatsApp ou par e-mail non protégé, vous pouvez partager un lien sécurisé accessible uniquement avec le bon mot de passe.
Liste de vérification conformité RH-PDPA
- Avis de protection des données fourni à tous les employés
- Collecte de NRIC complet limitée aux fins légalement requises
- Consentement obtenu pour les utilisations non standard des données
- Calendrier de conservation des données documenté et respecté
- Canaux sécurisés utilisés pour transmettre les données sensibles des employés
- Personnel RH formé aux obligations PDPA
Coût de la non-conformité
La PDPC peut imposer des amendes allant jusqu'à 1 million SGD (ou 10 % du chiffre d'affaires annuel pour les organisations dépassant 10 millions SGD).
Points clés
- Le PDPA s'applique aux données des employés — le consentement présumé n'est pas illimité
- Cessez de collecter les NRICs complets — interdit depuis septembre 2019 sauf obligation légale
- Ne conservez pas les données indéfiniment — mettez en place un calendrier de suppression
- Partagez les documents RH sensibles en sécurité — utilisez LOCK.PUB
- Formez votre équipe RH — elle traite les données les plus sensibles de l'organisation
Besoin de partager des documents RH sensibles en toute sécurité ? Essayez LOCK.PUB — créez des mémos protégés par mot de passe.
Mots-clés
À lire aussi
Notification de violation de données à Singapour : La règle des 3 jours
Comprenez les exigences de notification obligatoire des violations de données à Singapour sous la PDPA. Règle des 3 jours, critères et étapes.
Nomination d'un DPO à Singapour : Ce que chaque entreprise doit savoir
Toutes les organisations à Singapour doivent nommer un DPO. Exigences PDPA, responsabilités, qualifications et externalisation.
HealthHub et NEHR à Singapour : Ce que vous devez savoir sur la confidentialité de vos données médicales
Découvrez comment vos dossiers médicaux sont stockés, partagés et protégés dans le système NEHR de Singapour. Vos droits et comment partager des informations médicales en toute sécurité.
Créez votre lien protégé par mot de passe maintenant
Créez gratuitement des liens protégés, des notes secrètes et des chats chiffrés.
Commencer Gratuitement