MONOLITH LAW OFFICE+81-3-6262-3248Jours ouvrables 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

Quels sont les points clés de la révision de la loi japonaise sur la protection des données personnelles de l'ère Reiwa 6 (2024) ? Explication des modifications importantes et des mesures à prendre

General Corporate

Quels sont les points clés de la révision de la loi japonaise sur la protection des données personnelles de l'ère Reiwa 6 (2024) ? Explication des modifications importantes et des mesures à prendre

En avril de l’année Reiwa 6 (2024), les règles d’application de la loi révisée sur la protection des données personnelles seront mises en œuvre. Cette révision élargit les obligations de rapport à la Commission de protection des données personnelles japonaise et les obligations de notification aux personnes concernées en cas de fuite d’informations.

Le principal point de cette révision réside dans la réponse aux problèmes récents concernant les données personnelles, tels que le web skimming.

Cependant, pour comprendre précisément les modifications et y répondre de manière appropriée, des connaissances spécialisées sont nécessaires. Beaucoup de personnes ne savent probablement pas quelles mesures leur entreprise devrait prendre. Cet article expliquera les points clés de la révision de l’année Reiwa 6 (2024) et les stratégies à adopter.

Résumé des modifications de la loi japonaise sur la protection des données personnelles en 2024 (Reiwa 6)

Les modifications notables de la loi japonaise sur la protection des données personnelles en 2024 (Reiwa 6) concernent l’élargissement des obligations de rapport et de notification en cas de fuite, ainsi que des mesures de sécurité, qui s’appliquent désormais à certaines « informations personnelles ».

Sous la réglementation précédente, seules les « données personnelles » étaient concernées par les obligations de rapport en cas de fuite, les « informations personnelles » n’étant pas incluses.

Cette révision a introduit des modifications dans l’article 7, paragraphe 3, des règlements d’application de la loi japonaise sur la protection des données personnelles et dans les « Directives sur la loi japonaise de protection des informations personnelles (Dispositions générales) »[ja].

Loi réviséeAvant la révision
Obligation de rapport en cas de fuite, etc.Applicable (dans certains cas)Non applicable
Obligation de prendre des mesures de sécuritéApplicable (dans certains cas)Non applicable
Modification du traitement de certaines informations personnelles

Nous expliquerons en détail le contenu spécifique des réglementations et des modifications ci-dessous.

Les cibles de régulation dans la loi sur la protection des informations personnelles jusqu’à présent

Les cibles de régulation dans la loi sur la protection des informations personnelles jusqu'à présent

Pour comprendre le contenu de la loi révisée, il est essentiel d’avoir une compréhension précise des régulations telles qu’elles étaient définies avant la révision. Ici, nous expliquerons les définitions et le contenu des régulations établies avant la révision.

Différence entre les informations personnelles et les données personnelles

La loi japonaise sur la protection des informations personnelles distingue entre les « informations personnelles » et les « données personnelles » comme objets de protection.

Les « informations personnelles » se réfèrent aux informations concernant une personne vivante, qui permettent d’identifier une personne spécifique grâce à des éléments tels que le nom ou la date de naissance inclus dans ces informations. Cela est défini à l’article 2, paragraphe 1, point 1 de la loi japonaise sur la protection des informations personnelles.

Article connexe : Réforme de la loi japonaise sur la protection des informations personnelles de l’année Reiwa 4 (2022) avec l’introduction de nouvelles dispositions sur les informations traitées de manière anonyme pour encourager l’utilisation des données[ja]

En revanche, les « données personnelles » désignent les informations personnelles qui constituent une base de données d’informations personnelles, comme stipulé à l’article 16, paragraphe 1 de la loi japonaise sur la protection des informations personnelles.

Par exemple, lors de la création d’une liste de participants à un événement, les informations telles que le nom et l’adresse envoyées par les personnes qui ont réservé sont appelées « informations personnelles ». La base de données créée en compilant les informations personnelles de chaque réservataire dans un tableur, par exemple, est appelée « base de données d’informations personnelles ». Les informations individuelles qui composent cette base de données sont considérées comme des « données personnelles ».

Il est important de comprendre que, selon la loi japonaise sur la protection des informations personnelles, le type de protection appliqué diffère significativement selon qu’il s’agit d’« informations personnelles » ou de « données personnelles ».

Qu’est-ce que l’obligation de rapport et de notification en cas de fuite, etc. ?

La loi japonaise sur la protection des données personnelles impose aux opérateurs traitant des données personnelles de signaler à la Commission de protection des données personnelles et de notifier à la personne concernée en cas de fuite de données personnelles, de perte, de destruction ou d’autres incidents compromettant la sécurité des données personnelles.

(Rapport et notification en cas de fuite, etc.)
Article 26 Les opérateurs traitant des données personnelles doivent, lorsqu’un incident susceptible de porter gravement atteinte aux droits et intérêts des personnes et défini par les règlements de la Commission de protection des données personnelles, tel que la fuite, la perte ou la destruction de données personnelles, se produit, rapporter cet incident à la Commission de protection des données personnelles conformément aux règlements de cette dernière. Toutefois, si l’opérateur de données personnelles a été chargé, en tout ou partie, du traitement des données personnelles par un autre opérateur de données personnelles ou par une autorité administrative, et a notifié cet incident à cet autre opérateur ou à l’autorité administrative conformément aux règlements de la Commission, il n’est pas tenu de faire ce rapport.
2 Dans les cas prévus au paragraphe précédent, à l’exception de ceux ayant effectué la notification mentionnée, les opérateurs de données personnelles doivent notifier l’incident à la personne concernée conformément aux règlements de la Commission de protection des données personnelles. Toutefois, si la notification à la personne concernée est difficile et qu’il est nécessaire de prendre des mesures alternatives pour protéger les droits et intérêts de la personne, cette obligation ne s’applique pas.

Loi sur la protection des données personnelles | Recherche de lois e-Gov[ja]

L’obligation de rapport et de notification ne s’applique pas à tous les incidents de fuite, etc. Elle est limitée aux quatre cas suivants, définis à l’article 7 des règlements d’application de la loi sur la protection des données personnelles :

  1. Fuite de données personnelles contenant des informations nécessitant une attention particulière (exemple : résultats d’examens médicaux des employés)
  2. Fuite de données personnelles susceptibles de causer un préjudice financier en raison d’une utilisation frauduleuse (exemple : numéros de carte de crédit)
  3. Fuite de données personnelles qui pourrait avoir été effectuée dans un but frauduleux
  4. Fuite concernant plus de 1000 personnes

Cette révision a modifié le contenu de l’article 7, paragraphe 3, des règlements.

Qu’est-ce que les mesures de gestion de la sécurité ?

La loi japonaise sur la protection des données personnelles oblige les opérateurs traitant des données personnelles à prendre les mesures nécessaires et appropriées pour prévenir la fuite de données personnelles et pour assurer leur gestion sécurisée.

(Mesures de gestion de la sécurité)
Article 23 : Les opérateurs traitant des données personnelles doivent prendre les mesures nécessaires et appropriées pour prévenir la fuite, la perte ou la détérioration des données personnelles et pour assurer d’autres aspects de la gestion sécurisée des données personnelles.

Loi japonaise sur la protection des données personnelles | Recherche de lois e-Gov[ja]

À titre d’exemple, cela peut inclure le contrôle d’accès, la formation des employés et l’établissement de règles.

Réglementations avant la révision

Avant la révision, les entités étaient uniquement tenues de rapporter les incidents de fuite et de prendre des mesures de gestion de la sécurité pour les “données personnelles”. En ce qui concerne les “informations personnelles”, même en cas de fuite, les entreprises n’étaient pas obligées de se soumettre à de telles obligations.

Cependant, l’extension des obligations de rapport/notification et de mise en place de mesures de sécurité à certaines “informations personnelles” constitue la révision actuelle.

L’essence et l’objectif de la révision du règlement d’application de la loi sur la protection des informations personnelles

L'essence et l'objectif de la révision du règlement d'application de la loi sur la protection des informations personnelles

Cette révision vise principalement à contrer les attaques de web skimming. Le web skimming est une technique d’attaque consistant à installer un programme malveillant sur des sites de commerce électronique pour voler des informations personnelles.

Plus précisément, elle permet de récupérer directement, depuis la page de saisie, des informations telles que les mots de passe et les informations de cartes de crédit que les utilisateurs ont entrées dans les formulaires.

Dans le cas du web skimming, la caractéristique principale est que les informations saisies par les utilisateurs sont volées directement avant d’être intégrées dans la base de données d’informations personnelles de l’opérateur du site de commerce électronique. Dans cette situation, ce sont les “informations personnelles” avant qu’elles ne deviennent des “données personnelles” qui sont volées.

Avant cette révision, l’obligation de signaler une fuite concernait uniquement les “données personnelles”. Par conséquent, même en cas de dommage dû au web skimming, les opérateurs de sites de commerce électronique n’étaient pas tenus de faire un rapport.

Le but de cette révision est d’inclure les fuites d’informations dues au web skimming parmi les incidents à signaler, en élargissant la portée des rapports de fuite et des mesures de gestion de la sécurité pour inclure les “informations personnelles”.

Contenu de la révision du règlement d’application de la loi sur la protection des informations personnelles de l’année Reiwa 6 (2024)

Extension de l’obligation de rapporter les fuites, etc.

Le paragraphe 3 de l’article 7 du règlement d’application de la loi sur la protection des informations personnelles a été révisé comme suit.

Loi réviséeAvant la révision
L’article 7, paragraphe 26, alinéa 1 du texte stipule que les éléments définis par les règlements de la Commission de protection des informations personnelles comme étant susceptibles de porter gravement atteinte aux droits et intérêts des individus sont ceux qui correspondent à l’un des points suivants. Trois : La situation où une fuite d’informations personnelles, ou la possibilité d’une telle fuite, survient en raison d’actes envers l’opérateur de traitement des informations personnelles concerné, qui sont susceptibles d’avoir été effectués dans un but frauduleux (y compris les informations personnelles que l’opérateur de traitement des informations personnelles a acquises ou tente d’acquérir, et qui sont prévues pour être traitées comme des données personnelles).L’article 7, paragraphe 26, alinéa 1 du texte stipule que les éléments définis par les règlements de la Commission de protection des informations personnelles comme étant susceptibles de porter gravement atteinte aux droits et intérêts des individus sont ceux qui correspondent à l’un des points suivants. Trois : La situation où une fuite d’informations personnelles, ou la possibilité d’une telle fuite, survient en raison d’actes susceptibles d’avoir été effectués dans un but frauduleux.
Règlement d’application de la loi japonaise sur la protection des informations personnelles | Recherche de lois e-Gov[ja]

Le terme « opérateur de traitement des informations personnelles concerné » inclut également les sous-traitants et les fournisseurs de services de traitement des informations personnelles.

De plus, la question de savoir si les informations personnelles « en cours d’acquisition » par l’opérateur de traitement des informations personnelles sont concernées doit être déterminée objectivement en tenant compte des moyens d’acquisition des informations personnelles (Guidelines General Provisions 3-5-3-1).

Ainsi, l’extension de l’objet de l’obligation de rapporter et de notifier les fuites, etc., aux « informations personnelles » dans certains cas, constitue un changement majeur de la révision de l’année Reiwa 6 (2024).

Extension des mesures de sécurité

En conséquence de la révision de la réglementation sur l’obligation de rapporter les fuites, etc., le contenu des Guidelines General Provisions 3-4-2 de la loi sur la protection des informations personnelles a également été modifié.

Il est stipulé que les mesures de sécurité appropriées et nécessaires pour prévenir les fuites d’informations personnelles (y compris les informations personnelles que l’opérateur de traitement des informations personnelles a acquises ou tente d’acquérir, et qui sont prévues pour être traitées comme des données personnelles) doivent également inclure celles que l’opérateur de traitement des informations personnelles prévoit de traiter comme des données personnelles.

L’objet des mesures de sécurité a également été étendu aux « informations personnelles » dans certains cas, et non plus uniquement aux « données personnelles ».

Référence : Commission de protection des informations personnelles | Guidelines sur la loi japonaise relative à la protection des informations personnelles (applicable à partir du 1er avril de l’année Reiwa 6 (2024)) (General Provisions)

Mesures à prendre suite à l’application de la loi révisée sur la protection des données personnelles

Mesures à prendre suite à l'application de la loi révisée sur la protection des données personnelles

Les mesures à prendre en réponse à l’application de la loi révisée sur la protection des données personnelles en l’an 6 de l’ère Reiwa (2024) sont les suivantes :

  • Réviser la politique de confidentialité
  • Réviser et communiquer les règlements internes

Examinons ces points plus en détail.

Réviser la politique de confidentialité

Les opérateurs traitant des données personnelles doivent mettre en place des mesures de sécurité pour la gestion des données personnelles détenues, de manière à ce que la personne concernée puisse en être informée. Cela inclut également la capacité de répondre rapidement à toute demande de la personne concernée (Article 32, paragraphe 1, point 4 de la loi japonaise sur la protection des données personnelles).

Les opérateurs qui avaient pris des mesures de sécurité pour les données personnelles détenues et les avaient incluses dans leur politique de confidentialité doivent être vigilants. Il est nécessaire d’ajouter à la politique de confidentialité des dispositions concernant la mise en sécurité de certaines données personnelles qui n’étaient pas précédemment couvertes.

Réviser et communiquer les règlements internes

Le fait que des obligations de rapport et de notification soient désormais requises même pour la fuite de certaines données personnelles signifie que cela doit également se refléter dans les règlements internes et être communiqué aux employés.

Les cas de fuite de données personnelles nouvellement soumis à rapport ne se limitent pas au web skimming.

Par exemple, si un opérateur de traitement de données personnelles envoie à un client une enveloppe de réponse dont l’adresse a été falsifiée, et que les informations personnelles remplies sur le formulaire d’enquête à l’intérieur de l’enveloppe tombent entre les mains d’un tiers, cela devient un cas où les informations personnelles prévues pour être traitées comme des données personnelles nécessitent un rapport et une notification de fuite d’informations.

Comme le traitement de certaines informations personnelles qui n’étaient pas auparavant soumises à obligation change, il est nécessaire d’alerter les employés.

Résumé : Consultez un expert pour vous conformer à la révision de la loi sur la protection des données personnelles

La révision de la loi japonaise sur la protection des données personnelles en l’an 6 de l’ère Reiwa (2024) a élargi la portée des obligations de rapport et de notification en cas de fuite, ainsi que des mesures de sécurité à prendre, en mettant un accent particulier sur la lutte contre le web skimming. Alors qu’auparavant, seules les “données personnelles” étaient concernées, désormais, dans certains cas, les “informations personnelles” sont également incluses.

Cette révision nécessite la mise en place de mesures telles que la révision des politiques de confidentialité et des règlements internes.

En ce qui concerne la gestion des informations personnelles, une mauvaise manipulation peut entraîner des risques importants tels que la perte de crédibilité sociale. Il est donc recommandé de consulter un avocat pour la mise en œuvre de ces mesures.

Présentation des mesures par notre cabinet

Le cabinet d’avocats Monolith possède une riche expérience dans les domaines de l’IT, et plus particulièrement d’Internet, ainsi que dans le domaine juridique. De nos jours, la fuite d’informations personnelles est devenue un problème majeur. Dans le cas malheureux où des informations personnelles viendraient à être divulguées, cela pourrait avoir un impact fatal sur les activités d’une entreprise. Notre cabinet dispose d’une expertise spécialisée dans la prévention des fuites d’informations et les mesures à prendre en réponse. Vous trouverez plus de détails dans l’article ci-dessous.

Domaines d’expertise du cabinet Monolith : Droit relatif à la protection des informations personnelles[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Retourner En Haut