MONOLITH LAW OFFICE+81-3-6262-3248Jours ouvrables 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

Points clés pour la création d'une politique de confidentialité conforme au RGPD (Règlement Général sur la Protection des Données)

General Corporate

Points clés pour la création d'une politique de confidentialité conforme au RGPD (Règlement Général sur la Protection des Données)

Lorsque vous traitez des données personnelles d’utilisateurs situés dans l’Union européenne, il est nécessaire de se conformer au RGPD (Règlement Général sur la Protection des Données), et vous devez créer une politique de confidentialité adaptée au RGPD. Cependant, de nombreuses personnes ne comprennent pas en détail le RGPD et se demandent si leur site doit se conformer et comment s’y prendre.

C’est pourquoi cet article explique les grandes lignes du RGPD et les points clés pour élaborer une politique de confidentialité conforme au RGPD. Nous présenterons également la situation au Japon et des exemples de grandes entreprises, ce qui pourra vous servir de référence.

À propos du RGPD et de la politique de confidentialité

À propos du RGPD et de la politique de confidentialité

Qu’est-ce qu’une politique de confidentialité conforme au RGPD ? Ici, nous expliquons les grandes lignes du RGPD et les obligations relatives à la politique de confidentialité imposées par le RGPD.

Le RGPD et la politique de confidentialité

Le RGPD est un règlement établi par l’UE qui détaille la protection et le traitement des données personnelles. Il s’applique dans l’Espace économique européen (EEE : les États membres de l’UE, à l’exception de la Suisse, et les pays de l’EFTA que sont l’Islande, le Liechtenstein et la Norvège). Les entreprises japonaises peuvent également être concernées par le RGPD dans les cas suivants :

  • Elles offrent des biens ou des services aux sujets de données dans l’UE
  • Elles surveillent le comportement des sujets de données au sein de l’UE

Le sujet de données est une personne physique identifiée ou identifiable à laquelle se rapportent les données personnelles.

Les entreprises concernées doivent réviser et, si nécessaire, réviser leur politique de confidentialité (avis de confidentialité). En cas de non-conformité avec le RGPD, elles pourraient être tenues de payer une amende allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Référence : Organisation japonaise du commerce extérieur | “Le Règlement général sur la protection des données (RGPD)”[ja]

Pour mener des transactions en toute confiance avec les pays de l’UE, il est essentiel de vérifier sa politique de confidentialité.

L’obligation d’information lors de l’acquisition de données personnelles définie par le RGPD

Selon le RGPD, lors de l’acquisition de données personnelles, le responsable du traitement doit fournir certaines informations au sujet de données, comme stipulé à l’article 12, paragraphe 1 du RGPD, qui décrit la manière dont ces informations doivent être fournies.

Elles doivent être :

  • Concises, transparentes, compréhensibles et facilement accessibles
  • Formulées en des termes clairs et simples
  • Adaptées lorsqu’elles s’adressent à des enfants
  • Fournies par écrit ou par des moyens électroniques, ou par d’autres moyens le cas échéant
  • Disponibles oralement à la demande du sujet de données

De plus, l’article 12, paragraphe 5 du RGPD stipule que la fourniture d’informations doit être gratuite. Vérifiez si votre politique de confidentialité répond à ces exigences et révisez-la si nécessaire.

Points clés pour la révision de la politique de confidentialité en conformité avec le RGPD

Points clés pour la révision de la politique de confidentialité en conformité avec le RGPD

Le RGPD stipule que lors de l’acquisition de données personnelles directement auprès de la personne concernée (Article 13 du RGPD) ou auprès d’autres sources (Article 14 du RGPD), le responsable du traitement doit expliciter plusieurs éléments à la personne concernée.

Les éléments que le responsable du traitement doit expliciter incluent :

  • L’identité et les coordonnées détaillées du responsable du traitement
  • Si un représentant est désigné, l’identité et les coordonnées détaillées du représentant
  • Les droits de la personne concernée d’accéder, de rectifier, d’effacer, de restreindre le traitement, à la portabilité des données et de s’opposer au traitement
  • Les finalités du traitement des données personnelles et la base juridique de celui-ci
  • La durée de conservation des données personnelles ou les critères utilisés pour déterminer cette période
  • Les catégories de données personnelles concernées

Certains éléments à expliciter peuvent ne pas être présents dans les politiques de confidentialité japonaises, il sera donc essentiel de se concentrer sur la révision de ces points. Pour une politique de confidentialité tenant compte de la loi japonaise sur la protection des informations personnelles, veuillez consulter cet article.

Article connexe : Quels sont les points clés lors de la création d’une politique de confidentialité en tenant compte de la loi japonaise sur la protection des informations personnelles ?[ja]

Ici, nous expliquerons les points clés de la révision, en nous concentrant sur les aspects qui ne sont pas couverts par la politique de confidentialité basée sur la loi japonaise sur la protection des informations personnelles.

Fondements de la légalité du traitement des données

Le RGPD (Règlement Général sur la Protection des Données) impose l’explicitation des fondements de la légalité du traitement des données, une exigence qui n’existait pas dans la loi japonaise sur la protection des données personnelles. Les bases légales pour le traitement légal des données personnelles sont les six suivantes (Article 6 du RGPD) :

  • Le consentement de la personne concernée
  • L’exécution d’un contrat
  • Une obligation légale
  • La protection des intérêts vitaux
  • L’intérêt public
  • L’intérêt légitime

Si l’une de ces six bases est applicable, le traitement peut être considéré comme légal. Il est donc conseillé de l’indiquer clairement dans la politique de confidentialité. Pour les personnes dont les informations sont collectées pour la première fois, il est possible de se conformer en obtenant leur consentement via une nouvelle politique de confidentialité.

Cependant, il est important de prêter attention à la manière de traiter les utilisateurs qui avaient déjà donné leur consentement. Pour ceux qui avaient consenti avant la révision de la politique de confidentialité, il sera nécessaire de solliciter à nouveau leur consentement.

Dans ce cas, une méthode consiste à indiquer l’un des six fondements légaux dans la politique de confidentialité et à obtenir le consentement des utilisateurs concernant la révision en conséquence.

Catégories d’informations collectées et finalités d’utilisation

Dans les politiques de confidentialité traditionnelles, il était courant de lister sur la même page les informations collectées, les finalités d’utilisation et les conditions d’utilisation, et de demander un consentement global. Cependant, le RGPD (Règlement Général sur la Protection des Données) exige que les utilisateurs sachent précisément à quoi ils donnent leur consentement et que les objets de ce consentement soient clairement définis.

Il est conseillé d’indiquer les finalités d’utilisation pour chaque catégorie d’informations collectées et d’obtenir un consentement distinct pour chacune d’elles.

Clarification de l’objectif d’utilisation

Le Règlement Général sur la Protection des Données (RGPD) exige que l’objectif d’utilisation des informations collectées soit clairement indiqué. Par exemple, un objectif tel que “améliorer le service” peut être jugé trop vague et donc inapproprié.

De plus, il est interdit de traiter les données de manière additionnelle si cela ne correspond pas à l’objectif initial. Il est donc important de prêter attention à ce point lors de la révision de votre politique de confidentialité.

Droit à l’effacement et droit à la portabilité des données

De nombreuses entreprises avaient déjà intégré dans leurs politiques de confidentialité des droits tels que le droit d’accès et le droit de rectification. Cependant, le RGPD (Règlement Général sur la Protection des Données) exige également la mention du “droit à l’effacement et droit à la portabilité des données”.

Le droit à l’effacement permet à l’utilisateur de demander à l’administrateur d’effacer ses données personnelles. Le droit à la portabilité des données, quant à lui, confère le droit de transférer ses données personnelles vers un autre service.

Par exemple, cela inclut le transfert des données et de l’historique d’un abonné d’un opérateur de téléphonie mobile A vers un opérateur B. Pour se conformer au RGPD, il est nécessaire d’inclure ces droits dans la politique de confidentialité.

Précision sur la durée de conservation des données

Selon le RGPD (Règlement Général sur la Protection des Données), il est désormais nécessaire de spécifier la “durée de conservation des informations personnelles”, une mention qui n’était pas requise dans les anciennes politiques de confidentialité. Si la durée ne peut être déterminée, il est également possible de se conformer en précisant les critères utilisés pour déterminer cette durée de conservation.

La situation des entreprises japonaises face au RGPD

La situation des entreprises japonaises face au RGPD

Nous vous présentons les informations de l’enquête issue des résultats détaillés de l’étude sur les tendances de l’utilisation des TI en entreprise en 2021, réalisée par la Fondation générale japonaise pour la promotion de la société de l’information économique (JIPDEC) et la société ITR Corporation (ITR) « Enquête sur les tendances de l’utilisation des TI en entreprise 2021 »[ja].

Résultats détaillés de l'enquête sur les tendances de l'utilisation des TI en entreprise 2021

Selon les résultats de l’enquête, peu d’entreprises sont conformes au RGPD, et 26,1 % des entreprises sont en cours d’adaptation (en considération). Au moment de l’enquête en 2021, il y avait également une tendance pour de nombreuses entreprises à ne pas transférer de données personnelles vers l’UE.

Les résultats de l’enquête sur les échanges de données personnelles avec l’UE sont les suivants :

Résultats détaillés de l'enquête sur les tendances de l'utilisation des TI en entreprise 2021

Comme le montre le graphique ci-dessus, 44,4 % des entreprises ont répondu qu’elles n’avaient actuellement aucun échange et qu’elles ne prévoyaient pas d’en avoir à l’avenir. 12 % des entreprises ont indiqué qu’elles avaient eu des échanges par le passé, mais depuis la mise en œuvre du RGPD, elles traitent les données séparément en UE et au Japon.

25,9 % des entreprises ont déclaré qu’elles n’avaient pas d’échanges actuellement mais prévoyaient d’en avoir à l’avenir, et 17,6 % sont actuellement en train d’échanger des données. Bien qu’il y ait une possibilité que le nombre d’entreprises échangeant avec l’UE augmente à l’avenir, l’enquête de 2021 montre qu’elles sont encore peu nombreuses.

Source : JIPDEC/ITR « Enquête sur les tendances de l’utilisation des TI en entreprise 2021 »[ja]

La conformité des entreprises renommées au RGPD

La conformité des entreprises renommées au RGPD

De nombreuses personnes souhaitent réviser leur politique de confidentialité pour se conformer au RGPD, mais ne savent pas exactement quel contenu inclure. Dans cet article, nous allons détailler les mesures prises par Google et Facebook en tant qu’exemples de la manière dont les entreprises se conforment au RGPD.

La conformité de Google au RGPD (Règlement Général sur la Protection des Données)

Google a annoncé les mesures suivantes pour se conformer au RGPD :

  • Amélioration de la transparence vis-à-vis des utilisateurs
  • Amélioration de la gestion par les utilisateurs
  • Amélioration de la portabilité des données
  • Amélioration des outils pour le consentement des parents et l’utilisation appropriée d’Internet par les enfants
  • Support pour les utilisateurs professionnels et les partenaires
  • Renforcement du programme de conformité à la vie privée

Nous expliquerons ici les détails.

Référence : Google « Nos préparations pour le nouveau règlement européen sur la protection des données (RGPD)[ja] »

Amélioration de la transparence vis-à-vis des utilisateurs

Pour rendre plus claires les informations collectées par Google et les raisons de cette collecte, et pour faciliter la recherche de ces informations, nous améliorons et mettons à jour notre politique de confidentialité. Voici d’autres points qui ont été ajoutés :

  • Ajout de détails sur la gestion, l’exportation et la suppression des informations
  • Inclusion de vidéos et de graphiques en plus des textes

De plus, nous avons modifié les paramètres pour permettre un accès plus aisé à la page des paramètres de confidentialité.

Amélioration de la gestion par les utilisateurs

Pour nous conformer au Règlement Général sur la Protection des Données (RGPD), nous avons amélioré la manière dont les utilisateurs sont gérés. Les modifications apportées sont les suivantes :

  • Possibilité d’afficher et de supprimer des données dans “Mon activité”
  • Fonction de recherche par sujet, date et produit
  • Possibilité de vérifier les paramètres de confidentialité adaptés à chaque utilisateur
  • Gestion et masquage des publicités affichées
  • Compréhension des données via le tableau de bord Google

De plus, même avant l’entrée en vigueur du RGPD, les informations des utilisateurs et la gestion des publicités ont été modifiées pour en faciliter la gestion.

Amélioration de la portabilité des données

Google propose divers services tels que Google Photos, Drive, Calendar et Gmail. Voici les mesures que Google a mises en œuvre pour se conformer au RGPD (Règlement Général sur la Protection des Données) en matière de portabilité des données :

  • Expansion des services et des options de gestion permettant le téléchargement des données
  • Ajout d’une fonctionnalité pour planifier des téléchargements de données de manière régulière

Amélioration des outils pour le consentement des parents et une utilisation appropriée d’Internet par les enfants

Chez Google, pour favoriser une utilisation appropriée d’Internet par les enfants et leurs parents, l’entreprise propose l’application Family Link. Grâce à Family Link, les parents peuvent créer des comptes pour leurs enfants.

L’application permet de définir et de gérer les règles à la maison, telles que la gestion du temps d’utilisation et la suspension temporaire des appareils.

Soutien aux utilisateurs et partenaires d’affaires

Pour se conformer au RGPD (Règlement Général sur la Protection des Données), nous avons mis à jour notre politique concernant la demande de consentement des utilisateurs par les partenaires de Google (annonceurs, exploitants de sites, etc.) sur les sites et applications. Voici d’autres mesures que nous avons prises :

  • Fourniture d’outils pour soutenir la conformité au RGPD
  • Renforcement du processus de certification des entreprises utilisant les services publicitaires de Google
  • Mise à jour des conditions de traitement des données
  • Fourniture d’informations détaillées sur la portabilité des données et la notification d’incidents de données

Renforcement du programme de conformité à la protection de la vie privée

Afin de nous conformer au Règlement Général sur la Protection des Données (RGPD), nous renforçons notre programme de conformité à la protection de la vie privée. Les mesures prises sont les suivantes :

  • Amélioration du programme de protection de la vie privée
  • Renforcement du processus d’examen des produits

De plus, nous documentons de manière plus exhaustive le traitement des données.

Conformité de Facebook au RGPD (Règlement Général sur la Protection des Données)

Facebook a annoncé les mesures suivantes en réponse au RGPD :

  • Confirmation de la collecte d’informations à partir des publicités affichées
  • Choix des informations de profil
  • Confirmation de l’utilisation de la technologie de reconnaissance faciale (UE & Canada)
  • Accord sur les conditions de service mises à jour et la politique de données
  • Introduction de fonctionnalités facilitant l’accès, la suppression et le téléchargement des informations
  • Informations destinées aux jeunes utilisateurs

Nous allons maintenant expliquer ces mesures en détail.

Référence : Facebook « Conformité au RGPD et introduction de nouvelles protections de la vie privée[ja] »

Confirmation de la collecte d’informations à partir des publicités affichées

Les partenaires de Facebook utilisent les informations obtenues via les clics sur le bouton « J’aime » et les outils fournis par Facebook pour afficher des publicités. Facebook fournit aux utilisateurs des informations sur les publicités et leur permet de choisir si les informations fournies par les partenaires peuvent être utilisées à des fins publicitaires.

Choix des informations de profil

Le profil Facebook peut contenir et rendre publiques des informations sur les opinions politiques, les croyances religieuses et les relations personnelles. Les utilisateurs peuvent choisir de continuer à rendre ces informations publiques et si elles peuvent être utilisées dans les publicités.

Les informations de profil peuvent être sélectionnées librement à tout moment et les utilisateurs peuvent facilement les supprimer s’ils le souhaitent.

Confirmation de l’utilisation de la technologie de reconnaissance faciale (UE & Canada)

Facebook permet aux utilisateurs des pays membres de l’UE et du Canada de choisir d’utiliser ou non la technologie de reconnaissance faciale. Les utilisateurs d’autres régions ont également la liberté de choisir.

Accord sur les conditions de service mises à jour et la politique de données

Facebook demande aux utilisateurs d’accepter les « Conditions de service » et la « Politique de données », qui contiennent des informations détaillées sur le fonctionnement du service.

Introduction de fonctionnalités facilitant l’accès, la suppression et le téléchargement des informations

L’utilisation de l’outil de gestion des données personnelles permet aux utilisateurs de vérifier et de supprimer leurs données. De plus, il est facile de télécharger et d’exporter ces données.

La fonction de journal d’activité sur les appareils mobiles a été mise à jour pour faciliter la vérification des informations partagées par les utilisateurs dans le passé.

Informations destinées aux jeunes utilisateurs

Facebook a déjà mis en place des restrictions spécifiques pour les utilisateurs adolescents, qui incluent :

  • Restrictions sur les catégories de publicités
  • Interdiction de l’utilisation de la reconnaissance faciale pour les moins de 18 ans
  • Limitations sur la visualisation et la recherche des informations partagées par les utilisateurs adolescents

De plus, les paramètres par défaut sont conçus pour que les informations ne soient pas rendues publiques.

En réponse au RGPD, Facebook a également établi des règles spécifiques. Pour les utilisateurs des pays membres de l’UE, le consentement des parents est requis pour la visualisation des publicités et la publication d’informations de profil (telles que les croyances religieuses et les opinions politiques).

Dans d’autres régions, les utilisateurs peuvent choisir d’utiliser les données obtenues par les partenaires pour l’affichage des publicités et de rendre publiques les informations personnelles sur leur profil.

Résumé : Le RGPD couvre une plus large gamme de données personnelles que le droit japonais et nécessite une conformité obligatoire

RGPD

Le RGPD (Règlement Général sur la Protection des Données) exige la clarification des objectifs d’utilisation pour chaque donnée collectée, l’explicitation du droit à l’effacement et du droit à la portabilité des données, ainsi que la spécification des durées de conservation. Ces diverses dispositions élargissent considérablement l’étendue des droits des utilisateurs par rapport au droit japonais traditionnel.

En cas de violation du RGPD, des sanctions financières importantes peuvent être imposées. Les entreprises traitant des données personnelles au sein de l’UE doivent se conformer au RGPD. Les entreprises qui se développent ou envisagent de s’étendre dans l’UE doivent élaborer une politique de confidentialité conforme au RGPD.

Présentation des mesures proposées par notre cabinet

Le cabinet d’avocats Monolith est spécialisé en IT, et plus particulièrement dans l’intersection entre Internet et le droit, fort d’une riche expérience dans ces deux domaines. Avec l’expansion croissante des affaires mondiales ces dernières années, la nécessité de contrôles juridiques par des experts est de plus en plus prégnante. Notre cabinet offre des solutions en matière de droit international.

Domaines d’intervention du cabinet d’avocats Monolith : Affaires internationales et opérations à l’étranger[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Retourner En Haut