MONOLITH LAW OFFICE+81-3-6262-3248Jours ouvrables 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

Points à noter sur les 'devoirs de l'opérateur' dans la loi japonaise sur la protection des informations personnelles révisée en 2022 (4e année de Reiwa)

General Corporate

Points à noter sur les 'devoirs de l'opérateur' dans la loi japonaise sur la protection des informations personnelles révisée en 2022 (4e année de Reiwa)

La loi japonaise révisée sur la protection des informations personnelles est entrée en vigueur en avril 2022. La loi sur la protection des informations personnelles vise à garantir une gestion appropriée des informations personnelles, tout en tenant compte de leur utilité et en protégeant les droits et intérêts des individus. Alors, quels sont les changements spécifiques apportés par la mise en œuvre de la loi révisée sur la protection des informations personnelles ? Dans cet article, nous expliquerons les droits des individus et les obligations des entreprises.

La révision et le contexte de la loi japonaise sur la protection des données personnelles

La loi japonaise sur la protection des données personnelles, qui a été promulguée en 2003 et entièrement mise en œuvre en 2005, a été révisée en 2015, dix ans après sa mise en œuvre, en raison de “l’évolution des technologies de l’information et de la communication, qui a permis l’utilisation de données personnelles de manière inimaginable au moment de sa promulgation”. La révision a été entièrement mise en œuvre en 2017.

Dans cette révision de 2017, une disposition de “révision tous les trois ans” a été incluse, qui stipule que “en tenant compte des tendances internationales, de l’évolution des technologies de l’information, et de la création et du développement de nouvelles industries, une révision sera effectuée tous les trois ans pour correspondre à la réalité”.

Dispositions relatives dans le supplément à la loi de révision de la loi japonaise sur la protection des données personnelles de 2017 (extrait)

Article 12 (Examen)

(Omission)

2 Le gouvernement, en tenant compte de la situation concernant les mesures nécessaires pour mettre en œuvre efficacement cette loi, telles que l’établissement d’un système de personnel et la sécurisation des ressources financières pour l’élaboration et la promotion de la politique de base pour la protection des données personnelles et d’autres affaires relevant de la compétence de la Commission de protection des données personnelles, examinera les améliorations nécessaires et, si nécessaire, prendra les mesures appropriées sur la base des résultats de cet examen.

3 En plus des questions mentionnées au paragraphe précédent, le gouvernement, en tenant compte des tendances internationales en matière de protection des données personnelles, de l’évolution des technologies de l’information et de la communication, et de la situation concernant la création et le développement de nouvelles industries utilisant des données personnelles, examinera la situation de la mise en œuvre de la nouvelle loi sur la protection des données personnelles et, si nécessaire, prendra les mesures appropriées sur la base des résultats de cet examen.

4,5 (Omission)

6 Le gouvernement examinera la manière dont la législation sur la protection des données personnelles devrait être, y compris la consolidation et la réglementation intégrée des dispositions relatives à la protection des données personnelles et des données personnelles détenues par les organismes administratifs, etc., telles que définies à l’article 2, paragraphe 1, de la nouvelle loi sur la protection des données personnelles, en tenant compte de la situation de la mise en œuvre de la nouvelle loi sur la protection des données personnelles, de la situation de la mise en œuvre des mesures mentionnées au paragraphe 1, et d’autres circonstances.

La révision de la loi japonaise sur la protection des données personnelles de l’année Reiwa 4 (2022) est la première révision de la loi basée sur cette “disposition de révision tous les trois ans”.

Article connexe : Qu’est-ce que la loi japonaise sur la protection des données personnelles et les données personnelles ? Explication par un avocat[ja]

Présentation de la révision de la loi japonaise sur la protection des informations personnelles de 2022 (4ème année de l’ère Reiwa)

La révision de la loi japonaise sur la protection des informations personnelles en 2022 porte sur les six points suivants :

  1. La nature des droits individuels
  2. La nature des obligations que les entreprises doivent respecter
  3. La nature des initiatives volontaires encouragées par les entreprises
  4. La manière dont les données sont utilisées
  5. La nature des sanctions
  6. L’application extraterritoriale de la loi et le transfert transfrontalier

Cet article explique les points 1 et 2 de la révision.

Article connexe : Explication sur les ‘sanctions’ dans la révision de la loi japonaise sur la protection des informations personnelles de 2022 (4ème année de l’ère Reiwa)[ja]

La nature des droits individuels

La nature des droits individuels a été modifiée sur les 5 points suivants.

Extension du droit individuel de demander l’arrêt de l’utilisation et l’effacement (Article 30 du Japonais ~)

Sous la loi actuelle, le droit individuel de demander l’arrêt de l’utilisation et l’effacement était limité aux cas de violation de la loi, tels que “l’utilisation des informations personnelles à des fins autres que celles prévues” ou “l’obtention par des moyens illégaux”. Cependant, la loi révisée permet désormais de demander l’arrêt de l’utilisation, l’effacement et l’arrêt de la fourniture à des tiers, même dans les cas où “l’opérateur qui traite les données personnelles détenues n’a plus besoin de les utiliser”, “une fuite, etc. s’est produite” ou “il y a un risque que les droits ou les intérêts légitimes de l’individu soient violés”.

Méthode de divulgation des données personnelles détenues (Article 28 du Japonais ~)

Si vous êtes la personne concernée, vous pouvez demander à l’opérateur qui traite les informations personnelles de divulguer les données personnelles détenues. En réponse à cette demande, l’opérateur qui traite les informations personnelles doit, en principe, divulguer les données personnelles détenues. Sous la loi actuelle, la divulgation des données personnelles détenues était principalement effectuée par écrit. Cependant, dans les cas où la quantité d’informations est énorme, la remise par écrit peut ne pas être appropriée, et de plus, il y a des données personnelles détenues qui, comme les vidéos et les données audio, ne sont pas appropriées pour la remise par écrit en premier lieu. Par conséquent, la loi révisée permet à l’individu de demander la divulgation “par la méthode spécifiée par l’individu”, telle que la fourniture d’enregistrements électromagnétiques. L’opérateur qui traite les informations personnelles est désormais tenu de divulguer les informations de la manière demandée par l’individu.

Les entreprises qui traitent les informations personnelles sont appelées à mettre en place rapidement un système pour répondre aux demandes de divulgation de données numériques.

Demande de divulgation des enregistrements de fourniture à des tiers par l’individu (Article 28, paragraphe 5 du Japonais ~)

L’opérateur qui traite les informations personnelles doit créer un enregistrement prescrit par la loi lorsqu’il fournit des données personnelles à un tiers, et la personne qui reçoit la fourniture à un tiers doit également créer un enregistrement prescrit par la loi. Ces enregistrements relatifs à la fourniture de données personnelles à des tiers et les enregistrements de vérification lors de la réception de la fourniture de données personnelles à des tiers sont collectivement appelés “enregistrements de fourniture à des tiers”.

Sous la loi actuelle, l’individu ne pouvait pas demander la divulgation des enregistrements de fourniture à des tiers créés par l’opérateur, mais sous la loi révisée, l’individu peut demander la divulgation des enregistrements de fourniture à des tiers, ce qui a pris en compte la possibilité de suivi par l’individu.

Inclusion des données à court terme dans les données personnelles détenues (Article 2, paragraphe 7 du Japonais ~)

Sous la loi actuelle, les données personnelles détenues sont définies comme “les données personnelles sur lesquelles l’opérateur qui traite les informations personnelles a le pouvoir de divulguer, de corriger, d’ajouter ou de supprimer le contenu, d’arrêter l’utilisation, d’effacer et d’arrêter la fourniture à des tiers”, “ce qui est déterminé par ordonnance ministérielle comme étant susceptible de nuire à l’intérêt public ou à d’autres intérêts par la simple connaissance de son existence” ou “ce qui doit être effacé dans un délai d’un an déterminé par ordonnance ministérielle”, à l’exception de “la période d’un an déterminée par ordonnance ministérielle”, qui était de six mois.

Cependant, même si elles doivent être effacées à court terme, il est possible qu’une fuite, etc. se produise pendant la période précédant leur effacement. Par conséquent, la loi révisée a décidé d’inclure également les données à court terme qui sont effacées dans les six mois dans les “données personnelles détenues”.

Limitation de la portée de la disposition d’opt-out (Article 23, paragraphe 2 du Japonais ~)

La disposition d’opt-out est un système qui permet de fournir des données personnelles à des tiers sans le consentement de l’individu, à condition que l’individu puisse demander l’arrêt après coup, après avoir publié les éléments de données personnelles à fournir, etc. Sous la loi actuelle, seules les informations personnelles nécessitant une attention particulière étaient exclues.

Sous la loi révisée, la portée des données personnelles qui peuvent être fournies à des tiers a été limitée, et les “données personnelles obtenues illégalement” et les “données personnelles fournies en vertu de la disposition d’opt-out” ont également été exclues.

La manière dont les opérateurs doivent assumer leurs responsabilités

Deux points concernant la manière dont les opérateurs doivent assumer leurs responsabilités ont été modifiés.

Obligation de signaler les fuites (Article 22, paragraphe 2)

Sous la loi actuelle, la déclaration de fuites n’est pas une obligation légale, donc certains opérateurs ne prennent pas de mesures proactives. Si l’opérateur ne publie pas l’information, la Commission de protection des informations personnelles (Commission japonaise de protection des informations personnelles) peut ne pas être en mesure de comprendre la situation et de répondre de manière appropriée. La loi modifiée stipule que si une fuite se produit et qu’il y a un grand risque de porter atteinte aux droits et intérêts de l’individu, il est obligatoire de signaler à la Commission de protection des informations personnelles et d’informer la personne concernée.

Les cas concernés par l’obligation de signaler les fuites comprennent les “fuites d’informations personnelles nécessitant une attention particulière”, les “fuites dues à un accès non autorisé”, les “fuites susceptibles de causer des dommages matériels”, quel que soit le nombre de cas, et les “fuites à grande échelle” dépassant 1000 cas.

Interdiction d’utiliser des méthodes inappropriées (Article 16, paragraphe 2)

En raison de l’amélioration rapide des techniques d’analyse de données, on observe des formes d’utilisation des informations personnelles qui pourraient potentiellement porter atteinte aux droits et intérêts des individus, ce qui suscite de plus en plus d’inquiétudes chez les consommateurs. En réponse à cela, la loi modifiée a clarifié qu’il ne faut pas utiliser les informations personnelles de manière inappropriée, comme pour encourager des actes illégaux ou injustes.

Par “méthodes inappropriées qui encouragent des actes illégaux ou injustes”, on entend des cas assez graves tels que “fournir des informations personnelles à des tiers qui commettent des actes illégaux” ou “malgré la prévision suffisante du risque d’induction de discrimination, rassembler et mettre en base de données des informations personnelles qui sont diffusées de manière dispersée par des annonces judiciaires, etc., et les publier sur Internet”.

Résumé

Dans cet article, nous avons expliqué les points de révision 1 et 2. Les points de révision 3, 4, 5 et 6 seront expliqués dans un autre article.

Article connexe : Explication sur la ‘Pénalité’ de la loi japonaise sur la protection des informations personnelles révisée en 2022 (l’année Reiwa 4)[ja]

Présentation des mesures prises par notre cabinet

Le cabinet d’avocats Monolis est un cabinet d’avocats spécialisé dans l’IT, et plus particulièrement dans les aspects juridiques de l’Internet. La loi sur la protection des données personnelles, qui vient d’être révisée, attire beaucoup d’attention, et le besoin de vérifications juridiques est de plus en plus important. Notre cabinet propose des solutions en matière de propriété intellectuelle. Les détails sont fournis dans l’article ci-dessous.

https://monolith.law/practices/corporate[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Retourner En Haut