Singapore PDPA Privacy Guide: Your Rights Under the Personal Data Protection Act
A comprehensive guide to Singapore's Personal Data Protection Act (PDPA). Understand your data rights, what organizations can and cannot do, and how to file complaints with the PDPC.

Guide de Confidentialité PDPA de Singapour : Vos Droits en Vertu de la Loi sur la Protection des Données Personnelles
La Loi sur la Protection des Données Personnelles de Singapour (PDPA) est en vigueur depuis 2014, mais de nombreux Singapouriens ignorent encore les droits qu'elle leur confère. Dans une cité-État où pratiquement chaque transaction — prendre un taxi, acheter un bubble tea — implique une forme de collecte de données, comprendre vos droits en matière de vie privée n'est pas optionnel. C'est essentiel.
La PDPA régit la manière dont les organisations collectent, utilisent, divulguent et stockent vos données personnelles. Elle est appliquée par la Commission de Protection des Données Personnelles (PDPC), qui a le pouvoir d'enquêter sur les plaintes, d'émettre des directives et d'imposer des sanctions financières pouvant atteindre 1 million de S$ par infraction.
Ce Que Couvre la PDPA
Les Données Personnelles Sous la PDPA
Les données personnelles sont définies comme toute donnée permettant d'identifier un individu, seule ou combinée avec d'autres informations. Cela inclut :
| Type | Exemples |
|---|---|
| Identifiants | Numéro NRIC, FIN, numéro de passeport |
| Coordonnées | Numéro de téléphone, adresse e-mail, adresse postale |
| Données financières | Numéros de compte bancaire, détails de carte de crédit, revenus |
| Données professionnelles | Intitulé de poste, employeur, salaire, évaluations |
| Données de santé | Dossiers médicaux, ordonnances, demandes d'assurance |
| Données biométriques | Empreintes digitales, données de reconnaissance faciale |
| Identifiants numériques | Adresses IP, identifiants d'appareils, historique de navigation |
| Images et enregistrements | Images de vidéosurveillance, photos, enregistrements vocaux |
Ce Qui N'est Pas Couvert
La PDPA ne s'applique pas :
- Aux agences gouvernementales (régies par le Manuel d'Instructions du Gouvernement)
- Aux fins personnelles ou domestiques (votre liste de contacts personnelle)
- Aux coordonnées professionnelles utilisées à des fins commerciales
- Aux données de personnes décédées (plus de 10 ans après le décès)
Vos 5 Droits Clés en Vertu de la PDPA
1. Droit au Consentement
Les organisations doivent obtenir votre consentement avant de collecter, utiliser ou divulguer vos données personnelles. Vous devez être informé de l'objectif de la collecte et votre consentement doit être volontaire. Vous pouvez retirer votre consentement à tout moment, bien que l'organisation puisse vous informer des conséquences.
Conseil pratique : Si un magasin vous demande votre NRIC pour rejoindre un programme de fidélité, vous pouvez refuser. Ils doivent fournir le service sans exiger de données personnelles superflues.
2. Droit d'Accès
Vous pouvez demander l'accès à vos données personnelles détenues par toute organisation, ainsi que des informations sur la manière dont vos données ont été utilisées ou divulguées au cours de l'année écoulée. L'organisation doit répondre dans les 30 jours.
Conseil pratique : Vous pouvez écrire à n'importe quelle entreprise pour leur demander quelles données personnelles ils détiennent sur vous. Ils sont légalement tenus de vous répondre.
3. Droit de Rectification
Si vos données personnelles détenues par une organisation sont inexactes ou incomplètes, vous avez le droit de demander une correction. L'organisation doit corriger les données et envoyer la version corrigée à toute autre organisation avec laquelle elles ont été partagées au cours de l'année écoulée.
4. Droit de Retrait du Consentement
Vous pouvez retirer votre consentement à la collecte, l'utilisation ou la divulgation de vos données personnelles par une organisation à tout moment. L'organisation doit se conformer dans un délai raisonnable et vous informer des conséquences (comme l'impossibilité de fournir certains services).
5. Droit à la Portabilité des Données (Amendement 2021)
L'Obligation de Portabilité des Données, introduite par l'amendement de 2021 de la PDPA, vous permet de demander que vos données soient transmises à une autre organisation dans un format couramment utilisé. Cela s'applique aux données que vous avez fournies et qui sont sous forme électronique.
Les Règles de Collecte du NRIC
L'une des directives les plus impactantes de la PDPA concerne la collecte du NRIC. Depuis septembre 2019 :
| Situation | Peuvent-ils Collecter Votre NRIC Complet ? |
|---|---|
| Ouverture d'un compte bancaire | Oui — légalement requis |
| Inscription à l'hôpital | Oui — légalement requis |
| Dossiers d'emploi | Oui — légalement requis |
| Registre de visiteurs d'immeuble | Non — utiliser les 4 derniers caractères ou un ID alternatif |
| Programme de fidélité commercial | Non — utiliser des identifiants alternatifs |
| Inscription à un tirage au sort | Non — utiliser des identifiants alternatifs |
| Abonnement à une salle de sport | Non — utiliser des identifiants alternatifs |
Que faire : Si un service non essentiel vous demande votre NRIC complet, vous pouvez refuser et citer les Directives Consultatives de la PDPA sur les numéros NRIC.
Le Registre de Non-Démarchage (DNC)
La PDPA a créé le Registre de Non-Démarchage (DNC) de Singapour, qui vous permet de ne plus recevoir d'appels de télémarketing, de SMS et de fax. Vous pouvez enregistrer vos numéros sur dnc.gov.sg.
| Inscription | Protection |
|---|---|
| Registre Anti-Appels | Bloque les appels de télémarketing |
| Registre Anti-SMS | Bloque les SMS de télémarketing |
| Registre Anti-Fax | Bloque les fax de télémarketing |
Les organisations risquent des sanctions allant jusqu'à 10 000 S$ par message marketing non autorisé.
Comment Déposer une Plainte PDPA
Si vous pensez qu'une organisation a mal géré vos données personnelles :
Étape 1 : Contactez l'Organisation Directement
Écrivez au Délégué à la Protection des Données (DPO) de l'organisation. Chaque organisation couverte par la PDPA est tenue de désigner un DPO. Décrivez clairement ce qui s'est passé et ce que vous attendez comme résolution.
Étape 2 : Déposez une Plainte auprès de la PDPC
Si l'organisation ne répond pas de manière satisfaisante dans les 30 jours, déposez une plainte auprès de la PDPC sur pdpc.gov.sg. Incluez :
- Vos coordonnées personnelles
- Les coordonnées de l'organisation
- Description de l'incident
- Preuves (captures d'écran, e-mails, correspondance)
- La résolution que vous recherchez
Étape 3 : Enquête de la PDPC
La PDPC évaluera la plainte et pourra ouvrir une enquête. Les résultats possibles comprennent :
- Directive à l'organisation de cesser la pratique concernant les données
- Directive de détruire les données collectées de manière inappropriée
- Sanction financière pouvant atteindre 1 million de S$
- Décision d'application publique (publiée sur le site de la PDPC)
Cas Notables d'Application de la PDPA
| Année | Organisation | Infraction | Sanction |
|---|---|---|---|
| 2019 | SingHealth | 1,5 million de dossiers de patients compromis | 250 000 S$ |
| 2019 | IHiS (prestataire IT) | Mesures de sécurité défaillantes dans la faille SingHealth | 750 000 S$ |
| 2020 | Integrated Health Information Systems | Divulgation non autorisée de données | 50 000 S$ |
| 2021 | Diverses PME | Collecte inappropriée de NRIC | Avertissements et directives |
| 2022 | Multiples organisations | Fuites de données dues à une sécurité inadéquate | Diverses sanctions |
Conseils Pratiques PDPA pour la Vie Quotidienne
- Lisez les politiques de confidentialité avant de vous inscrire à des services — sachez quelles données sont collectées
- Utilisez le Registre DNC pour stopper les messages marketing indésirables
- Demandez la suppression de vos données des services que vous n'utilisez plus
- Sachez quand refuser la collecte du NRIC — citez les directives de la PDPA
- Signalez les fuites de données que vous découvrez à la PDPC
- Demandez les coordonnées du DPO lorsqu'une organisation collecte vos données
- Exercez vos droits d'accès pour savoir quelles données les entreprises détiennent sur vous
Partagez Vos Données Personnelles en Toute Sécurité
En vertu de la PDPA, les organisations doivent protéger vos données. Mais vous avez aussi un rôle dans la protection de vos propres informations. Lorsque vous devez partager des données personnelles — votre NRIC pour une demande bancaire, des détails financiers pour une transaction ou des dossiers médicaux pour une orientation — évitez de les envoyer en texte brut par WhatsApp.
Utilisez LOCK.PUB pour créer un lien protégé par mot de passe et autodestructif contenant vos informations sensibles. Le destinataire saisit le mot de passe pour les consulter, et les données disparaissent après l'expiration définie. Cela minimise le risque d'exposition de vos données personnelles par des comptes de messagerie compromis ou le vol d'appareils.
En Résumé
La PDPA vous accorde des droits réels et exécutoires sur vos données personnelles à Singapour. Le message essentiel : vous avez le droit de savoir quelles données les organisations collectent sur vous, le droit de refuser une collecte inutile et le droit de déposer des plaintes lorsque vos données sont mal gérées.
Exercez activement ces droits. Refusez la collecte inutile du NRIC, inscrivez-vous au Registre DNC, demandez la suppression de vos données des services inutilisés et, lorsque vous devez partager des informations personnelles, utilisez LOCK.PUB pour le faire en toute sécurité. La vie privée n'est pas un luxe — c'est un droit protégé par la loi de Singapour.
Mots-clés
À lire aussi
GDPR Compliance Guide for German Businesses: Checklist & Key Requirements
DSGVO fines hit all-time highs in 2025. Complete compliance checklist including DPO requirements, breach notification, NIS2, AI Act, and DORA.
Notification de violation de données à Singapour : La règle des 3 jours
Comprenez les exigences de notification obligatoire des violations de données à Singapour sous la PDPA. Règle des 3 jours, critères et étapes.
Nomination d'un DPO à Singapour : Ce que chaque entreprise doit savoir
Toutes les organisations à Singapour doivent nommer un DPO. Exigences PDPA, responsabilités, qualifications et externalisation.
Créez votre lien protégé par mot de passe maintenant
Créez gratuitement des liens protégés, des notes secrètes et des chats chiffrés.
Commencer Gratuitement