Français English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_fr/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Jours ouvrables 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Explication sur les 'Pénalités' de la 'Loi Japonaise sur la Protection des Informations Personnelles' révisée en 2022 (4ème année de l'ère Reiwa)

Explication sur les 'Pénalités' de la 'Loi Japonaise sur la Protection des Informations Personnelles' révisée en 2022 (4ème année de l'ère Reiwa)

General Corporate

Explication sur les 'Pénalités' de la 'Loi Japonaise sur la Protection des Informations Personnelles' révisée en 2022 (4ème année de l'ère Reiwa)

La loi japonaise révisée sur la protection des informations personnelles est entrée en vigueur en avril 2022. Suite à notre explication sur les points à noter concernant les “responsabilités des entreprises” dans la loi japonaise révisée sur la protection des informations personnelles de 2022, nous allons maintenant expliquer comment utiliser les données et les pénalités associées.

Résumé de la révision de la loi japonaise sur la protection des informations personnelles de l’année 4 de l’ère Reiwa (2022)

Résumé de la révision de la loi japonaise sur la protection des informations personnelles de 2022

La révision de la loi japonaise sur la protection des informations personnelles en 2022 porte sur les six points suivants :

  1. La nature des droits individuels
  2. La nature des obligations que les entreprises doivent respecter
  3. La nature du système encourageant les initiatives volontaires des entreprises
  4. La manière dont les données sont utilisées
  5. La nature des sanctions
  6. L’application extraterritoriale de la loi et le transfert transfrontalier

Dans l’article « Explication des points à noter concernant les ‘obligations des entreprises’ dans la révision de la loi japonaise sur la protection des informations personnelles de 2022[ja] », nous avons expliqué les points de révision (1) et (2). Ici, nous expliquerons les points de révision (3), (4), (5) et (6).

Article connexe : Qu’est-ce que la loi japonaise sur la protection des informations personnelles et les informations personnelles ? Explication par un avocat[ja]

Le rôle du système encourageant les initiatives autonomes des entreprises

Concernant le rôle du système qui encourage les initiatives autonomes des entreprises, l’importance de l’établissement de règles autonomes par des organisations privées concernant la gestion des données personnelles dans des domaines spécifiques, et la mise en œuvre active de conseils et autres à l’intention des entreprises concernées, est en augmentation avec la diversification des réalités commerciales et le progrès des technologies de l’information.

Dans la loi japonaise sur la protection des informations personnelles, en plus de la Commission de protection des informations personnelles, la protection des informations est réalisée en utilisant des organisations privées, et un système d’organisations certifiées est mis en place. Les organisations, telles que les corporations, qui traitent les plaintes concernant la gestion des informations personnelles et fournissent des informations sur la gestion appropriée des informations personnelles aux entreprises, peuvent recevoir la certification de la Commission de protection des informations personnelles et devenir une “Organisation certifiée de protection des informations personnelles”. Cependant, la loi révisée a permis la certification d’organisations ciblant des domaines spécifiques (départements) des entreprises en tant qu’organisations certifiées (Article 47, paragraphe 2). Il s’agit d’une initiative visant à promouvoir davantage l’utilisation d’organisations certifiées et à faire progresser la protection des informations personnelles en utilisant l’expertise des organisations qui opèrent dans des domaines d’activité spécifiques.

La manière d’utiliser les données

Deux points concernant l’utilisation des données ont été modifiés.

Création de “l’information pseudonymisée” et assouplissement des obligations (Article 2, paragraphe 9)

Selon la loi actuelle, les informations simplement pseudonymisées restent des “informations personnelles”, et les entreprises sont toujours tenues de respecter diverses obligations concernant le traitement des informations personnelles. Cependant, pour ces “informations personnelles pseudonymisées”, il y a une demande croissante pour leur utilisation, en assurant un certain niveau de sécurité tout en maintenant l’utilité des données au même niveau que les informations personnelles avant leur traitement, permettant ainsi des analyses plus détaillées avec des méthodes de traitement relativement simples.

En réponse à cela, la loi modifiée a créé des “informations pseudonymisées”, qui sont des informations dont les noms ont été supprimés, dans le but de promouvoir l’innovation. Sous certaines conditions, comme la limitation à l’analyse interne, les obligations de répondre aux demandes de divulgation et de cessation d’utilisation ont été assouplies.

Les informations pseudonymisées créées sont des “informations sur les individus obtenues en traitant les informations personnelles de manière à ce qu’il ne soit pas possible d’identifier un individu spécifique sans les comparer à d’autres informations”. Par exemple, “nom, âge, date, heure, montant, magasin” a été transformé en “ID temporaire, âge, date, heure, montant, magasin”. Les exemples d’utilisation envisagés comprennent “l’analyse interne pour des objectifs qui ne correspondent pas à l’objectif initial d’utilisation, ou pour de nouveaux objectifs dont la pertinence est difficile à déterminer” (comme la recherche dans le domaine médical et pharmaceutique, la détection de fraudes, la prévision des ventes, etc., pour l’apprentissage des modèles d’apprentissage automatique), et “la transformation des informations personnelles qui ont atteint leur objectif d’utilisation en informations pseudonymisées pour une éventuelle utilisation dans l’analyse statistique et leur stockage”.

Concernant la méthode de création des informations pseudonymisées, les règles minimales sont les suivantes :

  • Supprimer tout ou partie des descriptions qui peuvent identifier un individu spécifique (par exemple, le nom) (y compris le remplacement, etc.)
  • Supprimer tous les codes d’identification personnelle
  • Supprimer les descriptions, etc., qui pourraient causer des dommages financiers en cas d’utilisation abusive (par exemple, le numéro de carte de crédit)

Ces mesures sont requises.

Obligation de vérifier les informations qui sont susceptibles de devenir des données personnelles chez le destinataire (Article 26, paragraphe 2)

Selon la loi actuelle, même si les informations qui ne sont pas des données personnelles chez le fournisseur sont susceptibles de devenir des données personnelles chez le destinataire, elles ne sont pas soumises à la réglementation. Cependant, la loi modifiée impose de vérifier que le consentement de la personne concernée a été obtenu, etc., pour la fourniture à des tiers d’informations qui ne sont pas des données personnelles chez le fournisseur, mais qui sont susceptibles de devenir des données personnelles chez le destinataire.

En raison du développement et de la diffusion de technologies qui permettent de collecter en masse des données d’utilisateurs et de les combiner instantanément en données personnelles, des schémas qui contournent l’objectif de la loi sur la protection des informations personnelles en fournissant à des tiers des informations non personnelles tout en sachant à l’avance qu’elles deviendront des données personnelles chez le destinataire sont en train de se répandre. C’est parce qu’il y a une crainte que ces méthodes de collecte d’informations personnelles sans l’implication de la personne concernée se généralisent.

Sur les pénalités

Sur les pénalités

Deux points concernant les pénalités ont été modifiés.

Augmentation des peines légales pour violation des ordres de la Commission et fausses déclarations à la Commission (Article 83, Article 87, etc.)

Alors que le nombre de cas de violation de la loi augmente, le nombre de cas où des rapports sont collectés et des inspections sur place sont effectuées augmente également. Il est donc nécessaire d’améliorer l’efficacité de la collecte de rapports et des inspections sur place, qui sont le point de départ pour comprendre la réalité des entreprises. Dans la loi modifiée, la peine légale a été augmentée.

La “violation des ordres de la Commission de protection des informations personnelles” par l’auteur était punie par une peine d’emprisonnement de moins de 6 mois ou une amende de moins de 300 000 yens selon la loi actuelle, mais selon la loi modifiée, elle est punie par une peine d’emprisonnement de moins d’un an ou une amende de moins de 1 million de yens. La “fourniture illégale de bases de données d’informations personnelles, etc.” reste punie par une peine d’emprisonnement de moins d’un an ou une amende de moins de 500 000 yens, mais la “fausse déclaration à la Commission de protection des informations personnelles, etc.” qui était punie par une amende de moins de 300 000 yens selon la loi actuelle, est maintenant punie par une amende de moins de 500 000 yens selon la loi modifiée.

Augmentation des amendes pour les personnes morales (Article 84, Article 85, etc.)

Selon la loi actuelle, le montant des amendes pour les personnes morales était le même que la peine légale pour l’auteur. Cependant, en tenant compte de la différence de ressources entre les personnes morales et les individus, la loi modifiée a augmenté le montant maximum de l’amende pour les personnes morales (sanctions plus sévères pour les personnes morales) en cas de violation des ordres, etc. Même si une amende du même montant que celle de l’auteur est imposée à une personne morale, on ne peut pas s’attendre à un effet dissuasif suffisant en tant que sanction.

La “violation des ordres de la Commission de protection des informations personnelles” par une personne morale était punie par une amende du même montant que celle de l’auteur, soit moins de 300 000 yens selon la loi actuelle, mais selon la loi modifiée, elle est punie par une amende de moins de 100 millions de yens. La “fourniture illégale de bases de données d’informations personnelles, etc.” était punie par une amende du même montant que celle de l’auteur, soit moins de 500 000 yens selon la loi actuelle, mais selon la loi modifiée, elle est punie par une amende de moins de 100 millions de yens. Cependant, la “fausse déclaration à la Commission de protection des informations personnelles, etc.” qui était punie par une amende du même montant que celle de l’auteur, soit moins de 300 000 yens selon la loi actuelle, reste punie par une amende du même montant que celle de l’auteur, soit moins de 500 000 yens selon la loi modifiée.

Application extraterritoriale du droit et modalités de transfert transfrontalier

Deux points concernant l’application extraterritoriale du droit et les modalités de transfert transfrontalier ont été modifiés.

Renforcement de l’application extraterritoriale (Article 75)

Sous la loi actuelle, les pouvoirs exercés sur les opérateurs étrangers soumis à l’application extraterritoriale du droit se limitaient à des pouvoirs non coercitifs tels que des conseils et des recommandations. Cependant, il y avait un risque que la Commission ne puisse pas répondre de manière adéquate aux incidents tels que les fuites à l’étranger. Par conséquent, la loi modifiée a élargi le champ d’application des sanctions pour inclure les opérateurs étrangers qui traitent des informations personnelles liées à la fourniture de biens ou de services médicaux à des personnes situées au Japon. Cela a renforcé l’exercice du pouvoir par la Commission japonaise de protection des informations personnelles.

Amélioration de la fourniture d’informations à l’individu concernant le traitement des informations personnelles par l’entreprise destinataire (Article 78)

Alors que les opportunités de transfert transfrontalier d’informations personnelles se multiplient, certains pays ont commencé à mettre en place des régulations de contrôle national. Les différences entre les systèmes de chaque pays ou région rendent la prévisibilité pour les individus et les entreprises qui traitent les données instable, ce qui soulève des préoccupations du point de vue de la protection des droits et des intérêts des individus.

En réponse à cela, lors de la fourniture de données personnelles à un tiers à l’étranger, il a été décidé de demander une amélioration de la fourniture d’informations à l’individu concernant le traitement des informations personnelles par l’entreprise destinataire. Les conditions pour pouvoir fournir des données personnelles à un tiers à l’étranger, qui étaient “le consentement de l’individu” sous la loi actuelle, ont été modifiées pour inclure l’obligation de “fournir des informations à l’individu sur le nom du pays destinataire, l’existence ou non d’un système de protection des informations personnelles dans le pays destinataire, etc. lors de l’obtention du consentement”. De plus, les conditions qui étaient “l’entreprise a mis en place un système conforme aux normes” ont été modifiées pour inclure l’obligation de “vérifier régulièrement la situation de traitement par l’entreprise destinataire et de fournir des informations connexes à la demande de l’individu”.

Résumé

À propos de la 'Pénalité' de la loi japonaise sur la protection des informations personnelles révisée en 2022

La révision de la loi japonaise sur la protection des informations personnelles en 2022, qui est la première révision législative basée sur la “disposition de révision tous les trois ans”, a entraîné l’expansion de l’arrêt d’utilisation et de l’effacement, l’interdiction de l’utilisation inappropriée, l’amélioration de la fourniture d’informations concernant le transfert transfrontalier, la création de “informations traitées anonymement”, etc. Cela a permis de renforcer la protection et l’utilisation des droits et intérêts des individus, de répondre aux nouveaux risques associés à l’augmentation du flux de données transfrontalières, et de s’adapter à l’ère de l’IA et des Big Data.

Présentation des mesures prises par notre cabinet

Le cabinet d’avocats Monolis est un cabinet d’avocats spécialisé dans l’IT, et plus particulièrement dans les aspects juridiques de l’Internet. La loi japonaise sur la protection des données personnelles, qui vient d’être révisée, attire beaucoup d’attention, et le besoin de vérifications juridiques est de plus en plus important. Notre cabinet propose des solutions en matière de propriété intellectuelle. Vous trouverez plus de détails dans l’article ci-dessous.

https://monolith.law/practices/corporate[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Explication des cas juridiques où le secret commercial et la concurrence déloyale n'ont pas été reconnus

Explication des cas juridiques où le secret commercial et la concurrence déloyale n'ont pas été .

General Corporate

Régulation des expressions publicitaires pour les cosmétiques sur les pages de destination des sites de commerce électronique, etc.

Régulation des expressions publicitaires pour les cosmétiques sur les pages de destination des s.

General Corporate

Qu'est-ce que le devoir de confidentialité d'un avocat ? Explication de la portée de l'exclusion du devoir de confidentialité et des sanctions

Qu'est-ce que le devoir de confidentialité d'un avocat ? Explication de la portée de l'exclusion.

General Corporate

Ne pas échouer! À propos des lois à connaître pour les 'M&A individuels

Ne pas échouer! À propos des lois à connaître pour les 'M&A individuels

General Corporate

La relation entre la 'Loi japonaise sur la protection des informations personnelles' et l'atteinte à la vie privée

La relation entre la 'Loi japonaise sur la protection des informations personnelles' et l'attein.

General Corporate

Leçons de gestion de crise et le rôle des avocats à partir de la fuite d'informations de l'Université Keio

Leçons de gestion de crise et le rôle des avocats à partir de la fuite d'informations de l'Unive.

General Corporate

Quels sont les points à vérifier dans un contrat de gestion déléguée des réseaux sociaux (SNS) ?

Quels sont les points à vérifier dans un contrat de gestion déléguée des réseaux sociaux (SNS) ?

General Corporate

Qu'est-ce que le système de facturation 'Japanese Invoice System'? Points importants que les opérateurs doivent noter, expliqués de manière simple

Qu'est-ce que le système de facturation 'Japanese Invoice System'? Points importants que les opé.

General Corporate

Les avis sont-ils également soumis à la réglementation de la 'Loi japonaise sur les produits pharmaceutiques et les dispositifs médicaux' ? Explication des lois connexes

Les avis sont-ils également soumis à la réglementation de la 'Loi japonaise sur les produits pha.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Retourner En Haut