PROTECTION ET GESTION DES DONNÉES PERSONNELLES

Protection et gestion des données personnelles à l’IFS

La Loi sur la Protection des Données Personnelles (« PDPA ») a été adoptée par le Parlement de Singapour le 15 octobre 2012. Il s’agit d’une loi-cadre qui encadre la collecte, l’utilisation et la divulgation des données personnelles par l’International French School (Singapore) (« IFS » ou « l’École »), tout en reconnaissant le droit des individus à protéger leurs données personnelles.

Une Commission de Protection des Données Personnelles (« PDPC »), composée de membres désignés, a été créée afin d’assurer la mise en œuvre effective du PDPA.

Politique de Protection des Données Personnelles de l’IFS

L’IFS protège les données des élèves, des parents, du personnel enseignant et non-enseignant ainsi que d’autres individus, et applique de bonnes pratiques concernant la gestion et la conservation de ces données conformément au PDPA. Cela implique de conserver les informations de manière sécurisée avec des contrôles appropriés ; s’assurer que le consentement de l’individu est obtenu, conformément au PDPA ; informer l’individu des finalités de la collecte, de l’utilisation et de la divulgation de ses données ; et maintenir des informations exactes. L’IFS veille à ce que les données soient gérées de manière responsable, conformément aux exigences du PDPA.

L’objectif de cette Politique est d’établir des lignes directrices permettant à l’IFS de se conformer au PDPA concernant les données détenues (en sa possession ou sous son contrôle), d’appliquer de bonnes pratiques en matière de gestion des données personnelles, de protéger les élèves, le personnel et toute autre personne dont les données sont détenues par l’IFS, ainsi que de protéger l’école contre les conséquences d’un manquement à ses obligations légales.

Cette politique couvre la collecte, l’utilisation, la divulgation, le traitement, la protection, le stockage, la conservation et la destruction des données personnelles détenues ou contrôlées par l’IFS.

Définition des données personnelles

Les « données personnelles », telles que définies par le PDPA, désignent « toute donnée, qu’elle soit vraie ou non, concernant un individu identifiable à partir de ces données seules ou en combinaison avec d’autres informations auxquelles l’IFS a ou est susceptible d’avoir accès. » Autrement dit, toute donnée permettant d’identifier une personne de manière unique, seule (ex. : numéro NRIC) ou combinée (ex. : nom complet et adresse du domicile), constitue une donnée personnelle.

Les catégories suivantes de données ne sont pas soumises aux obligations de le PDPA :

• Les coordonnées professionnelles utilisées dans un contexte professionnel ;
• Les données figurant dans un document existant depuis plus de 100 ans ;
• Les données concernant un individu décédé depuis plus de 10 ans ;
• Les informations publiquement disponibles ;
• Les données anonymisées ou non associables à un individu.

Collecte de données personnelles

Lors de la collecte de données personnelles, l’individu concerné doit être informé des finalités et des modalités d’utilisation de ses données, même si la collecte a lieu en dehors de Singapour.

Limitation des finalités

Conformément au PDPA, l’IFS peut uniquement collecter, utiliser ou divulguer les données personnelles d’un individu pour des finalités spécifiques qu’une personne raisonnable jugerait appropriées dans les circonstances, et dont l’individu a été informé au moment de la collecte ou avant celle-ci.

Notification des finalités

Lors de la collecte de données à caractère personnel auprès d’une personne, celle-ci doit être informée des finalités pour lesquelles ces données seront utilisées et/ou divulguées, ainsi que de la manière dont elles le seront.
IFS a inclus une clause de finalité (ou « notification ») dans les contrats ou formulaires utilisés pour la collecte de données personnelles, précisant comment et à quelles fins les informations seront utilisées.

Consentement

Un individu est réputé avoir donné son consentement à la collecte, l’utilisation ou la divulgation de ses données personnelles lorsque :

• Les finalités de la collecte, de l’utilisation ou de la divulgation des données personnelles, selon le cas, au moment de la collecte ou avant celle-ci ;
• Les coordonnées professionnelles d’une personne capable de répondre au nom de l’IFS aux questions de la personne concernée concernant la collecte, l’utilisation ou la divulgation des données personnelles, lorsque cela est demandé ; et
• La personne concernée a donné son consentement à cette fin spécifique ;
• Ou lorsque la personne concernée fournit volontairement les données personnelles à IFS à cette fin et qu’il est raisonnable de penser que la personne concernée fournirait volontairement ces données.

Consentement implicite

Dans certaines circonstances prévues par le PDPA, il peut y avoir consentement implicite lorsque des personnes fournissent volontairement leurs données personnelles à IFS après en avoir compris la finalité (et qu’il est raisonnable pour elles de le faire).

Consentement donné au nom d’autrui

Il peut arriver qu’une personne A agisse valablement au nom d’une autre personne B en fournissant les données personnelles de cette dernière à IFS. Par exemple :

• La personne A est le parent ou le tuteur de la personne B, qui est mineure.
• La personne A a obtenu une procuration permanente ou une ordonnance du tribunal lui permettant d’agir au nom de la personne B, qui est dans l’incapacité de prendre ses propres décisions.

Dans de telles circonstances, il n’est pas nécessaire d’obtenir le consentement direct de la personne B. Cependant, IFS doit s’assurer que la personne A peut agir valablement au nom de la personne B et que la personne A est consciente des raisons pour lesquelles l’IFS souhaite collecter les données personnelles de la personne B.

Cas où le consentement n’est pas requis

Le PDPA prévoit certaines circonstances (liste non exhaustive, uniquement celles qui concernent l’IFS) dans lesquelles il n’est pas nécessaire d’obtenir le consentement pour la collecte, l’utilisation ou la divulgation de données personnelles :

• Données accessibles au public ;
• Dans l’intérêt national (par exemple, recherche des contacts pendant la pandémie de COVID-19) ;
• En relation avec des données obtenues auprès d’un organisme public ou divulguées à celui-ci ;
• Pour protéger les intérêts vitaux des personnes (par exemple, réponse à une urgence, incidents affectant la santé ou la sécurité, contact avec les proches ou les amis d’une personne blessée, malade ou décédée) ;
• Pour le recouvrement d’une dette de la personne envers l’IFS, ou pour le paiement à la personne d’une dette de l’IFS envers elle ;
• Pour toute enquête ou procédure judiciaire ;
• À des fins d’évaluation (pour déterminer l’aptitude, l’éligibilité ou les qualifications de la personne à laquelle les données se rapportent, par exemple pour une nomination, une promotion ou un licenciement) ;
• Document produit dans le cadre de l’emploi, de l’activité ou de la profession de la personne ;
• Conclusion, gestion ou résiliation d’une relation de travail ou d’une nomination.
  

Traitement des données publiques

À titre indicatif, conformément au PDPA, il n’est pas nécessaire d’obtenir le consentement pour la collecte, l’utilisation ou la divulgation de données à caractère personnel qui sont généralement accessibles au public.

Veuillez noter que tant que les données à caractère personnel en question étaient accessibles au public au moment de leur collecte, l’IFS pourra les utiliser et les divulguer sans consentement, même si elles ne sont plus accessibles au public par la suite.

Retrait du consentement

Les personnes ont le droit de retirer (totalement ou partiellement) leur consentement à l’IFS pour la collecte, l’utilisation ou la divulgation de leurs données personnelles, en vertu du PDPA.
Les personnes doivent envoyer au DPO (Délégué à la Protection des Données) un formulaire pour retirer leur consentement à des fins spécifiques, par e-mail. Il convient de faire la distinction entre les finalités nécessaires et facultatives pour maintenir les relations existantes.

Exactitude des données

Le PDPA exige que l’IFS fasse des efforts raisonnables pour s’assurer que les données personnelles collectées par ou pour le compte de l’école sont exactes, complètes et à jour. Il convient de veiller à l’exactitude des données.

Dans les cas où les données personnelles sont fournies directement par les personnes concernées, l’IFS a prévu une clause dans le formulaire permettant à ces personnes de déclarer elles-mêmes que les données personnelles qu’elles fournissent sont exactes, complètes et à jour.

Conservation des données

Le PDPA ne fixe pas la durée de conservation des données à caractère personnel. Cependant, l’IFS a mis en place une politique de conservation et d’élimination des documents prévoyant des durées de conservation spécifiques, proportionnées aux fins commerciales ou juridiques légitimes. Une fois la durée de conservation expirée, l’IFS s’efforcera, dans la mesure du raisonnable, d’éliminer ou de détruire les documents (papier et électroniques) contenant des données à caractère personnel dès que possible.

Certaines données à caractère personnel peuvent être conservées au-delà de la période de conservation spécifiée si elles sont nécessaires à des fins d’analyse, de recherche ou de statistique, en les rendant anonymes par la suppression des identifiants uniques associés aux personnes

Accès aux données personnelles

Toute personne a le droit d’accéder à l’ensemble de ses données personnelles détenues par l’IFS ou aux informations sur la manière dont l’IFS a utilisé ou divulgué ces données au cours de l’année écoulée, en remplissant un formulaire spécifique. En vertu du PDPA, l’IFS est tenue de fournir les données demandées dès que possible, sauf si celles-ci relèvent d’une exception prévue à l’article 21 ou à l’annexe 5 du PDPA, dans le cas où l’IFS n’est pas tenue de fournir à la personne concernée l’accès à ses données personnelles.

Dans le cas où un tiers fait une demande d’accès au nom d’une personne, l’IFS doit s’assurer que ce tiers a l’autorité légale pour agir au nom de la personne concernée.

Toute demande d’accès aux données personnelles sera traitée par le DPO ou son(ses) délégué(s). Un accusé de réception de la demande d’accès doit être fourni dans le délai prescrit, dans un modèle approuvé.

Avant de donner suite à une demande d’accès aux données personnelles, le DPO fera un effort raisonnable pour vérifier l’identité du demandeur ou vérifier que la personne qui fait la demande a été autorisée à agir au nom de la personne concernée.

Une notification du statut de la demande d’accès aux données doit être fournie dans le délai prescrit et, dans les 30 jours, les informations demandées doivent être fournies ou un rapport de mise à jour du statut doit être fourni au demandeur avec un délai indicatif dans lequel les informations demandées seront mises à disposition.

En vertu du PDPA, l’IFS est autorisée à facturer au demandeur des frais raisonnables pour traiter la demande d’accès aux données. Ces frais doivent être standardisés au sein de l’IFS.

L’IFS peut rejeter la demande d’accès aux données pour des motifs raisonnables.

Si l’IFS a l’intention de rejeter une demande d’accès, l’école doit informer le demandeur des raisons pour lesquelles la demande est rejetée.

Images de vidéosurveillance : l’obligation d’accès et de rectification s’applique également aux informations personnelles identifiables figurant sur les images vidéo capturées par les caméras de vidéosurveillance. Si la durée de conservation de ces images vidéo est de trois mois en raison de la capacité de l’équipement d’enregistrement, l’IFS n’est alors tenue de récupérer que les données personnelles demandées jusqu’à trois mois.

Correction des données personnelles

Les personnes peuvent demander la correction d’une erreur ou d’une omission dans les données personnelles détenues par l’IFS. L’IFS est tenu d’apporter des corrections à ces données personnelles, bien qu’il existe certaines exceptions en vertu de l’annexe VI du PDPA.

Toute demande de correction sera traitée par le DPO ou son(ses) délégué(s). Un accusé de réception de la demande de correction doit être fourni dans le délai prescrit, dans un modèle conçu par le DPO. Le DPO peut exiger des preuves documentaires de la part de la personne qui demande la modification, telles que des preuves d’adresse, avant de corriger les données personnelles.

Une notification du statut de la demande de correction des données doit être fournie dans le délai prévu et, dans les 30 jours, les informations corrigées doivent être fournies ou un rapport de mise à jour du statut doit être fourni au demandeur avec un délai indicatif dans lequel ces informations corrigées seront disponibles.

Il convient de noter que l’IFS n’est pas autorisé à facturer des frais pour le traitement de la demande de correction des données.

L’IFS peut rejeter la demande de correction des données si l’école estime, pour des motifs raisonnables, que la correction ne doit pas être effectuée. À titre de bonne pratique, l’IFS doit noter les raisons dans les dossiers et expliquer au demandeur pourquoi la correction ne doit pas être effectuée.

Gestion des incidents liés à la protection des données

L’IFS gérera les incidents liés à la protection des données conformément au processus défini dans la politique de gestion des violations de données de l’IFS. Dans le cadre de ce processus, nous exigeons de tous nos collaborateurs qu’ils suivent des directives spécifiques pour signaler les incidents liés aux données, notamment en remplissant un formulaire d’incident lié aux données que nous examinerons et enregistrerons.

Délégué à la protection des données (DPO)

• Pour accéder à la déclaration de confidentialité de l’IFS destinée aux parents et aux élèves, veuillez cliquer ici >>

• Pour accéder à la déclaration de confidentialité de l’IFS destinée aux employés, veuillez cliquer ici >>

• Pour accéder à la déclaration de confidentialité de l’IFS destinée aux candidats à un emploi, veuillez cliquer ici >>

En vertu de la loi de 2012 sur la protection des données personnelles (PDPA), les personnes ont le droit de demander l’accès à leurs données personnelles et leur correction, ainsi que de retirer leur consentement à la collecte, à l’utilisation, à la divulgation ou au transfert de leurs données personnelles.

Pour télécharger le formulaire de l’IFS de demande d’accès, de correction des données personnelles et/ou de retrait du consentement, veuillez cliquer ici >>

Si vous avez des questions, veuillez contacter [email protected]

Donnez votre avis sur la protection des données personnelles à l’IFS en remplissant ce formulaire.

Remarque : nous encourageons tous les parents à lire attentivement le contrat étudiant. Ce document contient des informations importantes, telles que notre engagement à protéger les données personnelles de votre enfant conformément au PDPA.