MONOLITH LAW OFFICE+81-3-6262-3248Jours ouvrables 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

Qu'est-ce que la 'Loi japonaise sur la protection des informations personnelles' et les informations personnelles ? Explication par un avocat

General Corporate

Qu'est-ce que la 'Loi japonaise sur la protection des informations personnelles' et les informations personnelles ? Explication par un avocat

La loi sur la protection des informations personnelles, qui a été révisée en 2015 (et mise en œuvre à partir de 2017), est une loi importante à considérer lors de la réflexion sur les problèmes d’informations personnelles dans les activités commerciales. Elle clarifie les obligations légales que les opérateurs d’informations personnelles doivent respecter. Jusqu’en 2015 (année 27 de l’ère Heisei), seules les informations personnelles détenues par plus de 5000 personnes étaient concernées, de sorte qu’il y avait de nombreuses entreprises, comme les petites entreprises, qui n’étaient pas des opérateurs d’informations personnelles. Cependant, après la révision de 2015, cette condition a été supprimée, de sorte que presque toutes les entreprises sont devenues des opérateurs d’informations personnelles, ce qui en fait une loi incontournable pour les propriétaires de petites entreprises. Pour des raisons telles que le commerce électronique, les newsletters par e-mail, l’émission de DM et les cartes de points pour les magasins physiques, il est nécessaire de gérer des informations personnelles telles que le nom et l’adresse e-mail du client, il est donc nécessaire de comprendre les bases de la loi sur la protection des informations personnelles.

Objectif et définition de la loi japonaise sur la protection des informations personnelles

Nous allons expliquer l’aperçu et la définition de la loi japonaise sur la protection des informations personnelles.

Qu’est-ce que la loi japonaise sur la protection des informations personnelles en termes concrets ? Examinons d’abord son aperçu. L’article 1 précise l’objectif de cette loi.

Article 1 de la loi japonaise sur la protection des informations personnelles
Cette loi, compte tenu de l’expansion significative de l’utilisation des informations personnelles avec le progrès de la société de l’information de pointe, établit les principes de base et les politiques de base du gouvernement et d’autres questions fondamentales pour la protection des informations personnelles, clarifie les responsabilités de l’État et des collectivités locales, et établit les obligations que les opérateurs manipulant des informations personnelles doivent respecter, afin que l’utilisation appropriée et efficace des informations personnelles contribue à la création de nouvelles industries, à une économie dynamique et à une vie nationale riche, tout en tenant compte de l’utilité des informations personnelles et en protégeant les droits et intérêts des individus.

Il est dit.

L’article 2 définit les informations personnelles, les données personnelles et les données personnelles détenues (paragraphes 1, 4 et 5 de l’article 2).
Dans la loi japonaise sur la protection des informations personnelles, les “informations personnelles” sont des “informations concernant un individu vivant” qui peuvent “identifier un individu spécifique” par “le nom, la date de naissance et d’autres descriptions contenues dans ces informations” (y compris les informations qui peuvent être facilement comparées à d’autres informations et qui peuvent ainsi identifier un individu spécifique). Les “données personnelles” sont des informations personnelles qui ont été mises en base de données par ordinateur, et celles qui sont détenues par l’opérateur pendant plus de six mois sont des “données personnelles détenues”.

La nécessité de protéger les informations personnelles varie considérablement selon qu’elles sont ou non mises en base de données. Les données personnelles sont des informations personnelles qui ont été mises en base de données et qui sont systématiquement organisées pour faciliter la recherche, etc., et le risque d’atteinte à leurs droits est plus élevé, donc une protection plus forte est accordée que pour les informations personnelles en général.

Une protection encore plus forte est accordée aux données personnelles détenues, qui sont des données personnelles que l’opérateur de traitement des informations personnelles a le droit de divulguer, de corriger, d’ajouter ou de supprimer le contenu, de cesser l’utilisation, d’effacer et de cesser de fournir à des tiers (paragraphe 7 de l’article 2), et pour les données personnelles détenues, la divulgation, la correction, l’arrêt de l’utilisation, etc., sont autorisés en tenant compte de la demande que l’individu puisse s’impliquer de manière appropriée dans ses propres informations (voir ci-dessous).

Règles concernant le traitement des informations personnelles

Pour éviter une utilisation abusive des informations personnelles, il est nécessaire de limiter leur traitement à l’intérieur des limites nécessaires pour atteindre l’objectif spécifiquement identifié pour lequel elles sont utilisées.

Par conséquent, les opérateurs de traitement des informations personnelles doivent :

  • Spécifier autant que possible l’objectif de l’utilisation des informations personnelles lors de leur traitement (Article 15, paragraphe 1 de la loi japonaise sur la protection des informations personnelles)
  • Ne pas traiter les informations personnelles au-delà de la portée nécessaire pour atteindre l’objectif de l’utilisation (Article 16, paragraphe 1)
  • Ne pas obtenir des informations personnelles par des moyens frauduleux ou autres moyens illégaux (Article 17, paragraphe 1)
  • Si des informations personnelles sont obtenues, l’objectif de leur utilisation doit être notifié ou rendu public à l’individu concerné (Article 18)

La loi japonaise sur la protection des informations personnelles exige que les informations personnelles détenues par l’entreprise soient utilisées conformément à l’objectif spécifiquement identifié et rendu public à l’avance. En d’autres termes, il est nécessaire de “spécifier et rendre public l’objectif de l’utilisation des informations personnelles”. Par exemple, il n’est pas illégal en soi d’utiliser des informations personnelles pour “afficher des publicités adaptées aux attributs de l’utilisateur”, mais cet objectif d’utilisation doit être rendu public à l’avance. La méthode de publication n’est pas spécifiquement définie, mais il est courant de le faire sous la forme d’une “politique de confidentialité” ou d’une “politique de protection des informations personnelles”.

D’autre part, pour ce que l’on appelle les informations personnelles sensibles, l’obtention sans le consentement de la personne concernée est interdite en principe, ce qui est une restriction plus sévère que pour les informations personnelles ordinaires (Article 17, paragraphe 2).

Les informations personnelles sensibles sont définies comme suit :

Article 2, paragraphe 3
Dans cette loi, “informations personnelles sensibles” désigne les informations personnelles qui contiennent des descriptions, etc., déterminées par ordonnance gouvernementale, qui nécessitent une attention particulière dans leur traitement afin d’éviter toute discrimination injuste, préjugé ou autre désavantage envers l’individu, tels que la race, la croyance, le statut social, les antécédents médicaux, les antécédents criminels, le fait d’avoir été victime d’un crime, etc.

Il comprend également les résultats de l’invalidité, des examens de santé, etc., les conseils, les traitements médicaux, les prescriptions, etc., par des médecins, le fait qu’une procédure pénale a été engagée, le fait qu’une procédure relative à un incident de protection de la jeunesse a été engagée, etc.

Il est considéré que la raison pour laquelle une réglementation stricte est imposée, qui ne permet pas même “l’obtention” d’informations personnelles sensibles sans le consentement de la personne concernée, sauf dans certaines exceptions, est que ces informations, qui ne sont pas souvent considérées comme nécessaires à l’obtention, peuvent être obtenues et traitées, ce qui pourrait entraîner des discriminations et des préjugés.

Discipline en matière de gestion et de supervision


Il est stipulé que la supervision nécessaire et appropriée doit être exercée sur les employés concernés afin d’assurer la gestion sécurisée des données personnelles.

Beaucoup de gens sont préoccupés et anxieux à l’idée que des informations personnelles puissent être divulguées ou modifiées. En ce qui concerne les données personnelles stockées dans des bases de données, il y a eu de nombreux cas où des informations client ont été divulguées en masse, ce qui a créé des problèmes sociaux. Par conséquent, les opérateurs qui gèrent les informations personnelles ont l’obligation de prendre les mesures nécessaires et appropriées (mesures de gestion de la sécurité) pour la gestion sécurisée des données personnelles (Article 20).

Violation de l’obligation de gestion de la sécurité

En réalité, dans les cas où des informations personnelles ont été divulguées ou fuitées sur Internet, une violation de l’obligation de gestion de la sécurité est souvent reconnue. Compte tenu des caractéristiques des petites et moyennes entreprises, le contenu des mesures de gestion de la sécurité est clairement indiqué dans les “Lignes directrices sur la loi sur la protection des informations personnelles (édition générale)” (Commission de protection des informations personnelles). Il est donc important de se conformer à ces lignes directrices non seulement pour respecter l’article 20 de la loi sur la protection des informations personnelles, mais aussi pour éviter d’être tenu responsable d’un acte illégal en raison d’une violation de la vie privée causée par une fuite d’informations, y compris sur Internet.

Cependant, quelle que soit la manière dont les systèmes et les procédures sont mis en place, leur mise en œuvre appropriée est finalement laissée aux individus. Par conséquent, il est stipulé que “l’opérateur qui gère les informations personnelles doit, lorsqu’il permet à ses employés de gérer les données personnelles, exercer la supervision nécessaire et appropriée sur ces employés afin d’assurer la gestion sécurisée des données personnelles” (Article 21).

https://monolith-law.jp/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Il convient de noter que la vente ou l’emport de données client par un employé peut entraîner non seulement la responsabilité de l’employé pour acte illégal (Article 709 du Code civil), mais aussi la responsabilité de l’opérateur qui gère les informations personnelles (Article 715 du Code civil).

“Fourniture à des tiers” et “délégation”

La loi sur la protection des informations personnelles interdit en principe de fournir les informations personnelles des clients à des “tiers”, même si cela est fait dans le but annoncé à l’avance, à moins que le client n’y consente. Cependant, si l’on pousse cette règle à l’extrême, “il serait illégal de stocker une base de données sur les clients sur un serveur de location”. C’est parce que le serveur de location est un “tiers” pour l’opérateur.

Cependant, la “délégation” est exceptionnellement autorisée dans le cadre de la “fourniture à des tiers”, et il est permis de déléguer les informations à des personnes qui ne les utilisent pas. Par exemple, un serveur de location ne fait que stocker les informations et ne les utilise pas. Cette délégation de la gestion des informations personnelles à des tiers est fréquente, mais pour éviter des situations où la responsabilité devient floue en raison de la délégation en cascade ou d’un traitement inapproprié par le délégué, il est stipulé que “lorsqu’un opérateur qui gère des informations personnelles délègue tout ou partie de la gestion des données personnelles, il doit exercer la supervision nécessaire et appropriée sur le délégué afin d’assurer la gestion sécurisée des données personnelles” (Article 22).

La régularisation de la gestion des informations personnelles par l’implication de l’individu


La loi japonaise sur la protection des informations personnelles est l’une des lois les plus importantes à considérer en matière de problèmes d’informations personnelles et de confidentialité.

La loi japonaise sur la protection des informations personnelles permet à l’individu, sous certaines conditions, de demander à l’opérateur de gestion des informations personnelles de divulguer les données personnelles le concernant (article 28), de les corriger, ajouter ou supprimer (article 29), ou de cesser leur utilisation (article 30), dans le but de régulariser la gestion des informations personnelles par l’implication de l’individu. Il est clairement établi que ces implications de l’individu sont des droits de réclamation en droit privé, et si l’opérateur de gestion des informations personnelles ne répond pas à la demande, l’individu peut faire valoir ses droits par le biais d’un procès.

L’opérateur de gestion des informations personnelles doit, à la demande de l’individu concerné, divulguer les données personnelles détenues, et si ces informations sont erronées, il doit y répondre par une correction, etc. En cas de gestion qui viole les obligations légales, telles que l’utilisation des informations à des fins autres que celles prévues, l’acquisition de manière inappropriée, ou la fourniture à des tiers sans le consentement de l’individu, il doit cesser l’utilisation des informations. Ainsi, la loi japonaise sur la protection des informations personnelles est une loi qui vise à protéger les droits des citoyens en imposant diverses obligations aux opérateurs qui gèrent les informations personnelles.

Sanctions en cas de fuite d’informations personnelles

La loi japonaise sur la protection des informations personnelles (Loi sur la protection des informations personnelles) prévoit des sanctions en cas de fuite d’informations personnelles par une entreprise.

Si une entreprise viole la loi japonaise sur la protection des informations personnelles et provoque une fuite d’informations, elle recevra d’abord une “recommandation de prendre les mesures nécessaires pour corriger la violation et arrêter l’acte illégal” de la part du gouvernement (Article 42). Si cette recommandation est également violée, l’employé qui a commis la violation peut être condamné à “une peine d’emprisonnement de six mois ou moins ou une amende de 300 000 yens ou moins” (Article 84), et l’entreprise qui emploie cet employé peut également être condamnée à “une amende de 300 000 yens ou moins” (Article 85). De plus, si les informations sont fournies ou volées dans le but de réaliser un profit illégitime, la sanction peut être “une peine d’emprisonnement d’un an ou moins ou une amende de 500 000 yens ou moins” sans recommandation (Article 83).

https://monolith-law.jp/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Résumé

La loi japonaise sur la protection des informations personnelles exige des entreprises qui traitent des informations personnelles qu’elles gèrent ces informations de manière appropriée et qu’elles prennent les mesures nécessaires et appropriées pour leur sécurité. C’est une loi importante et incontournable pour presque toutes les entreprises.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Retourner En Haut