MONOLITH LAW OFFICE+81-3-6262-3248Jours ouvrables 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

La relation entre la 'Loi japonaise sur la protection des informations personnelles' et l'atteinte à la vie privée

General Corporate

La relation entre la 'Loi japonaise sur la protection des informations personnelles' et l'atteinte à la vie privée

Les informations protégées en tant que vie privée comprennent des informations personnelles typiques telles que le nom et l’adresse. Par exemple, le numéro d’étudiant, l’adresse, le nom et le numéro de téléphone d’un étudiant qui a assisté à une conférence organisée par une université sont protégés en tant qu’informations relatives à la vie privée. Il existe un précédent juridique qui stipule que si une université divulgue ces informations à la police sans le consentement de l’étudiant, cela constitue un acte illégal (arrêt de la Cour suprême du 12 septembre 2003 (année grégorienne)).

La loi japonaise sur la protection des informations personnelles ne stipule pas explicitement le droit à la vie privée, mais si nous considérons que les informations personnelles sont protégées en tant que vie privée, comment devrions-nous envisager la relation entre l’acte illégal d’atteinte à la vie privée et la loi japonaise sur la protection des informations personnelles?

https://monolith.law/reputation/privacy-invasion[ja]

La relation entre la violation de la loi sur la protection des données personnelles et les actes illégaux

En ce qui concerne la relation entre la violation de la loi japonaise sur la protection des données personnelles (Loi sur la protection des données personnelles) et les actes illégaux, l’opinion généralement acceptée est celle dite de la “théorie de la distinction stricte”. Même si le traitement des données personnelles par un opérateur de traitement de données personnelles viole formellement la loi sur la protection des données personnelles, même si des mesures administratives sont prises par la Commission de protection des données personnelles, il n’est pas nécessairement admis que des demandes d’indemnisation pour dommages basées sur des actes illégaux, etc. soient reconnues. À l’inverse, des actes qui ne violent pas formellement la loi sur la protection des données personnelles, comme la fourniture de données personnelles à des tiers, peuvent être considérés comme des actes illégaux portant atteinte à la vie privée.

En cas de reconnaissance d’acte illégal dû à une violation de la loi japonaise sur la protection des informations personnelles

Il existe des précédents judiciaires qui reconnaissent que la violation de la loi japonaise sur la protection des informations personnelles peut constituer un acte illégal.

Un individu a été impliqué dans un accident de voiture et a reçu un traitement médical à l’hôpital. Sur la base de l’ordonnance qui lui a été délivrée, il a acheté des médicaments dans une pharmacie gérée par le défendeur. Sans le consentement du plaignant, le défendeur a remis à l’assureur de l’assurance responsabilité civile automobile une facture détaillée du traitement médical sur laquelle étaient inscrits le nom, la date de naissance du plaignant, le nom de l’établissement médical où il a été soigné et le nom des médicaments qui lui ont été prescrits. Le plaignant a demandé une indemnisation pour acte illégal.

La cour a d’abord déclaré que le défendeur, en tant que société gérant une pharmacie, est un opérateur de traitement des informations personnelles selon la loi japonaise sur la protection des informations personnelles. Le défendeur a soutenu que “afin de faciliter le paiement de l’assureur à la victime, il est courant pour la pharmacie de répondre aux demandes de renseignements de l’assureur et de fournir des informations médicales. Par conséquent, le plaignant a implicitement consenti à la divulgation des informations inscrites sur la facture détaillée du traitement médical à l’assureur”. Cependant, en citant l’article 23, paragraphe 1, de la loi japonaise sur la protection des informations personnelles, qui stipule que “sauf dans les cas énumérés ci-dessous, un opérateur de traitement des informations personnelles ne doit pas fournir des données personnelles à un tiers sans le consentement préalable de la personne concernée”, la cour a déclaré :

Il n’y a pas de preuve suffisante pour admettre que le plaignant a consenti à ce que le défendeur remette à l’assureur la facture détaillée du traitement médical sur laquelle sont inscrits le nom des médicaments prescrits au plaignant, etc. Par conséquent, l’acte du défendeur, qui viole la loi japonaise sur la protection des informations personnelles, est illégal, et il est reconnu que le défendeur a l’obligation d’indemniser le plaignant pour acte illégal.

Jugement du tribunal de district de Tokyo du 24 janvier 2013 (année 2013 du calendrier grégorien)

Bien qu’il ne soit pas explicitement mentionné comme une “atteinte à la vie privée”, il peut être considéré comme un précédent judiciaire qui reconnaît que la violation de la loi japonaise sur la protection des informations personnelles peut constituer un acte illégal.

https://monolith-law.jp/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Cas où la violation de la loi sur la protection des données personnelles ne constitue pas une atteinte à la vie privée

Un exemple de jugement selon lequel une violation de la loi sur la protection des données personnelles (Loi japonaise sur la protection des données personnelles) ne constitue pas nécessairement un acte illégal en tant qu’atteinte à la vie privée.

Il y a eu un cas où le plaignant, qui utilisait une machine multifonction de copie et de fax en location dans son bureau, a prétendu que le défendeur, Credit Saison, avait fourni sans autorisation à Ricoh, également défendeur, des informations personnelles du plaignant concernant les frais de location de la machine multifonction et du téléphone. Ricoh a ensuite utilisé ces informations et les a fournies à Credit Saison. Sur la base du droit à l’indemnisation pour dommages causés par un acte illégal conjoint des deux sociétés, le plaignant a demandé à chacun des défendeurs de payer des dommages et intérêts.

Un employé de Ricoh, A, s’est rendu au bureau pour faire du démarchage. Comme il a entendu dire que le plaignant était mécontent de la machine multifonction en location, il a recommandé sa propre machine. Lorsqu’il a demandé au plaignant combien il payait pour la location, il a appris que c’était 12 000 yens par mois. A a alors noté le numéro de contrat inscrit sur l’autocollant attaché à la machine multifonction pour vérification, et a appelé Credit Saison. Il a découvert que les 12 000 yens mentionnés par le plaignant n’étaient pas les frais de location de la machine multifonction, mais ceux du téléphone que le plaignant louait également à Credit Saison. Les frais de location mensuels de la machine multifonction étaient en fait de 14 000 yens.

Avec ces informations, A a proposé une machine multifonction pour un loyer mensuel de 12 800 yens. En réponse à l’observation du plaignant selon laquelle cela serait plus cher que la situation actuelle, A a informé le plaignant qu’il avait appelé Credit Saison et confirmé que le loyer mensuel de la machine multifonction était de 14 000 yens. Le plaignant, furieux que Credit Saison ait divulgué les détails de son contrat avec eux à Ricoh, a exigé des excuses des deux sociétés et, ne voyant aucune sincérité de leur part, a intenté une action en justice pour demander le paiement de dommages et intérêts.

La loi sur la protection des données personnelles et la vie privée

Le tribunal a cité l’article 16, paragraphe 1, de la loi sur la protection des données personnelles (Loi japonaise sur la protection des données personnelles) qui stipule que “les opérateurs de traitement des données personnelles ne doivent pas traiter les données personnelles au-delà de la portée nécessaire pour atteindre l’objectif spécifié dans l’article précédent sans le consentement préalable de la personne concernée”, et a déclaré :

On peut penser que l’acte de Credit Saison de fournir à Ricoh des informations concernant le contrat de la machine multifonction dans le bureau du plaignant, et l’acte de Ricoh de traiter les données personnelles au-delà de la portée nécessaire pour atteindre l’objectif spécifié, qui est un opérateur de traitement des données personnelles selon la loi sur la protection des données personnelles, violent l’article 16, paragraphe 1, de la même loi, et que Ricoh est un complice de l’acte illégal commis par Credit Saison.

Jugement du tribunal de district de Tokyo du 28 octobre 2015 (année 27 de l’ère Heisei, 2015)

Tout en affirmant cela, le tribunal a reconnu que le plaignant avait consenti à la divulgation des informations sur le contenu du contrat de la machine multifonction, qui sont des données personnelles, dans la mesure nécessaire à l’objectif de la proposition de renouvellement du contrat, au moment où il a demandé la proposition de renouvellement du contrat. En ce qui concerne le fait que des informations sur le téléphone autre que la machine multifonction ont été fournies, le tribunal a jugé que le plaignant n’avait pas consenti à la fourniture d’informations, mais a déclaré :

Même si la fourniture d’informations sur les frais de location mensuels du téléphone viole formellement l’article 16, paragraphe 1, de la loi sur la protection des données personnelles, on ne peut pas dire qu’elle possède en elle-même l’illégalité d’un acte illégal.

Idem

Le tribunal a donc rejeté la demande du plaignant. C’est un exemple de jugement selon lequel une violation de la loi sur la protection des données personnelles (Loi japonaise sur la protection des données personnelles) ne constitue pas nécessairement un acte illégal en tant qu’atteinte à la vie privée.

Cas où il n’y a pas de violation de la loi japonaise sur la protection des informations personnelles, mais où il y a atteinte à la vie privée

Il y a eu un cas où une personne a demandé à un fournisseur d’accès à Internet de divulguer les informations de l’expéditeur, affirmant que son droit à la vie privée avait été violé lorsque son numéro de téléphone portable, utilisé pour poster sur un forum anonyme sur Internet, a été publié.

Sur le forum “Bakusai.com”, dans la section “Kanto Edition” et la catégorie “Discussion générale de la ville de XX”, le numéro de téléphone portable de la personne concernée a été posté à six reprises. La personne a demandé la divulgation des informations dans le but d’engager une procédure de demande de dommages-intérêts pour atteinte à la vie privée. Cependant, le fournisseur d’accès à Internet a refusé de divulguer les informations, affirmant que “dans ce post, il n’est pas explicitement indiqué que les chiffres sont le numéro de téléphone portable de la personne concernée, et un observateur général ne pourrait pas facilement reconnaître qu’il s’agit du numéro de téléphone portable utilisé par la personne concernée” et que “le numéro de téléphone portable ne relève pas de l’information personnelle au sens de l’article 2, paragraphe 1, de la loi japonaise sur la protection des informations personnelles, il ne peut donc pas être clairement dit qu’il y a une violation du droit à la vie privée”.

Numéro de téléphone portable et informations personnelles

Le tribunal a constaté qu’un grand nombre de posts diffamatoires avaient été faits, affichant une partie du nom de la personne concernée et déclarant des choses comme “Vous détestez vraiment Koyama, n’est-ce pas ?”, “Je déteste Koyama”, “Koyama DQN promiscuous”, “Une entreprise où tout est permis… le harcèlement au travail et le harcèlement sexuel sont monnaie courante, et le chien de Bulldog, Koyama”, “Elle joue à l’intelligente alors qu’elle est stupide… une femme stupide”, et que, avec son lieu de travail, une partie de son vrai nom a été révélée.

Le post en question commence par le chiffre “090”, suivi d’un tiret qui sépare les chiffres à partir du quatrième chiffre, et un commentaire suggérant que ce chiffre est le numéro d’une femme a été ajouté. De plus, après ce post, il y a eu un post qui a compris que le chiffre dans ce post était un numéro de téléphone portable. Par conséquent, un observateur général peut comprendre que ce post est un numéro de téléphone portable utilisé par une femme.

Tribunal de district de Tokyo, jugement du 6 novembre 2015

Et, “En raison de ce post, il est inévitable que des appels insultants et malveillants soient faits au téléphone portable de la personne concernée, que ce numéro de téléphone soit utilisé à mauvais escient, et que cela puisse causer des problèmes dans la vie sociale de la personne concernée”, et a ordonné la divulgation des informations de l’expéditeur.

En ce qui concerne la loi japonaise sur la protection des informations personnelles,

Cette loi n’a pas pour but de nier que l’intérêt de ne pas avoir des faits de la vie privée publiés à la légère est un intérêt juridiquement protégé, même s’ils ne relèvent pas de l’information personnelle définie à l’article 2, paragraphe 1, de la loi. Par conséquent, l’argument du défendeur ne peut pas être accepté.

Idem

Et a reconnu l’argument de la personne concernée selon lequel ce post viole son droit à la vie privée. Bien qu’un numéro de téléphone portable ne soit pas en soi une information personnelle, c’est un exemple de jugement qui le protège en tant que vie privée.

https://monolith-law.jp/reputation/provider-liability-limitation-law[ja]

En cas de violation de la loi japonaise sur la protection des données personnelles et d’atteinte à la vie privée

Un exemple de jugement où la violation de la loi japonaise sur la protection des données personnelles et l’atteinte à la vie privée ont été reconnues.

Comme nous l’avons mentionné dans un autre article de notre cabinet, il y a eu un cas où une infirmière travaillant dans un hôpital a été diagnostiquée séropositive au VIH suite à un test sanguin dans un hôpital universitaire. Cette information a été partagée sans son consentement par le médecin et le personnel de l’hôpital où elle travaillait, qui l’avaient appris d’un médecin à temps partiel de l’hôpital universitaire. Elle a demandé des dommages et intérêts pour atteinte à la vie privée.

https://monolith-law.jp/reputation/disease-information-and-privacy-infringement[ja]

Le tribunal a statué que l’article 23, paragraphe 1, de la loi japonaise sur la protection des données personnelles, qui stipule que “l’opérateur de traitement des données personnelles ne doit pas fournir de données personnelles à des tiers sans le consentement préalable de la personne concernée, sauf dans les cas énumérés ci-dessous”, ne s’applique pas dans ce cas. En effet, l’information a été partagée par un médecin à temps partiel de l’hôpital où elle travaillait avec d’autres médecins, infirmières et le directeur administratif de l’hôpital. Il s’agit donc d’un partage d’information au sein de la même entité commerciale, et non d’une fourniture d’information à des tiers.

En revanche, en ce qui concerne l’article 16, paragraphe 1,

L’opérateur de traitement des données personnelles doit, lorsqu’il traite des données personnelles, spécifier autant que possible l’objectif de leur utilisation (article 15, paragraphe 1), et ne doit pas traiter ces données au-delà de l’étendue nécessaire pour atteindre cet objectif spécifié sans le consentement préalable de la personne concernée (article 16, paragraphe 1).
Selon les dispositions de protection des données personnelles de l’accusé, l’utilisation des données personnelles doit être effectuée dans la mesure nécessaire pour l’exécution des tâches, principalement dans le cadre de l’objectif de collecte (article 9, paragraphe 1), et les données personnelles peuvent être utilisées pour les objectifs prévus dans le cadre des tâches normales (annexe) et pour les objectifs indiqués en dehors des tâches normales (article 10). Si les données personnelles sont utilisées au-delà de l’objectif de collecte, il est nécessaire d’informer le responsable de la gestion des données personnelles et d’obtenir le consentement du patient ou de son représentant (article 11, paragraphe 1). De plus, selon ces dispositions, l’objectif de la collecte des données personnelles auprès des patients, des utilisateurs et des parties concernées est de les utiliser pour fournir des soins médicaux et des soins infirmiers à ces personnes, pour gérer les affaires d’assurance maladie, pour gérer les admissions et les sorties des patients, et pour d’autres questions nécessaires à l’éducation et à la recherche (article 7, paragraphe 1).

Jugement du tribunal de district de Fukuoka, branche de Kurume, 8 août 2014

Le tribunal a jugé que le fait que l’infirmière en chef ait transmis l’information à la directrice des soins infirmiers et à la directrice administrative était destiné à discuter de la politique de travail de la plaignante dans le but de prévenir les infections nosocomiales.

Utilisation des données personnelles en dehors de l’objectif prévu

D’autre part, le tribunal a déclaré,

Les informations en question ont été obtenues de la plaignante, qui est la personne concernée, parce qu’elle a consulté l’hôpital en question en tant que patiente, et non pas dans le but de gérer l’emploi ou l’exploitation de l’entreprise. Par conséquent, l’objectif de leur utilisation devrait être limité à la fourniture de soins médicaux et de soins infirmiers aux patients, etc., comme stipulé dans les dispositions ci-dessus. L’argument de l’accusé selon lequel les données personnelles peuvent être utilisées quelles que soient les circonstances de leur collecte si l’objectif d’utilisation est publié, peut conduire à l’utilisation des données personnelles à des fins que la personne concernée n’a pas prévues, et est donc inapproprié.

Idem

Le tribunal a jugé que cela constituait une utilisation des données personnelles en dehors de l’objectif prévu, interdite par l’article 16, paragraphe 1, et a également reconnu que, à l’époque où l’information a été partagée, il existait encore des préjugés et de la discrimination à l’égard des personnes infectées par le VIH. L’information selon laquelle une personne est atteinte du VIH est une information personnelle que l’on ne souhaite pas faire connaître à autrui. Par conséquent, le fait de traiter cette information sans le consentement de la personne concernée et en violation de la loi constitue une atteinte à la vie privée.

En outre, bien que l’accusé ait soutenu que “le manuel en question stipule que le nombre de personnes partageant l’information doit être réduit au minimum nécessaire pour une gestion stricte de l’information, et que dans ce cas, l’information a été partagée par seulement six personnes, qui sont encore moins nombreuses”, le jugement a déclaré que “même si le nombre de personnes partageant l’information peut affecter le degré d’illégalité, il est illégal d’utiliser de telles informations personnelles à des fins autres que celles prévues, même si elles sont fournies à une seule personne”. C’est une interprétation correcte de la loi japonaise sur la protection des données personnelles.

Résumé

Le terme “activité” des opérateurs de traitement des informations personnelles ne se limite pas seulement aux activités à but lucratif telles que la gestion d’une entreprise ou d’un magasin, mais inclut également des activités non lucratives telles que les hôpitaux, les écoles, le volontariat, la conservation de l’environnement, etc. La loi japonaise sur la protection des informations personnelles s’applique aux opérateurs qui mènent régulièrement une activité et qui recueillent des informations personnelles dans le cadre de la poursuite de leur activité. Il est essentiel de comprendre correctement la loi japonaise sur la protection des informations personnelles. Si vous pensez qu’il pourrait y avoir un problème concernant la violation des informations personnelles ou de la vie privée, il serait judicieux de consulter un avocat expérimenté et de demander des conseils.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Retourner En Haut