Le risque de fuite d'informations personnelles dans les entreprises et la réparation des dommages
Les risques entourant la gestion d’entreprise comprennent des crises de gestion, des accidents dus à des violations de l’obligation de sécurité de l’entreprise, mais ces dernières années, la fuite d’informations personnelles et le risque d’indemnisation pour les dommages qui en résultent sont également devenus un problème majeur.
Tokyo Shoko Research a rapporté qu’en 2019, 66 entreprises cotées et leurs filiales ont annoncé des accidents de fuite ou de perte d’informations personnelles, avec 86 incidents et 9 031 734 informations personnelles divulguées. Si l’on ajoute les entreprises non cotées, les entreprises étrangères, les agences gouvernementales, les municipalités, les écoles, etc., le nombre pourrait augmenter de manière astronomique.
Parmi les accidents de fuite ou de perte d’informations personnelles, le plus grand à ce jour est toujours celui de Benesse Holdings (Benesse Corporation), où 35,04 millions d’informations personnelles ont été divulguées par l’acquisition illégale d’informations client par un employé sous-traitant en juillet 2014 (année 26 de l’ère Heisei). Cependant, en 2019 (année 1 de l’ère Reiwa), il y a eu de nouveaux développements dans certains procès concernant cet incident.
En examinant le problème de Benesse, nous réfléchirons aux risques de fuite d’informations personnelles et d’indemnisation des dommages pour les entreprises.
Qu’est-ce que l’incident de fuite d’informations personnelles de Benesse?
Autour de juin 2014, les clients de Benesse ont commencé à recevoir des courriers directs de la société d’éducation à distance “Just System”. Cela a conduit à une augmentation soudaine des demandes de renseignements sur la possibilité que les informations personnelles enregistrées uniquement chez Benesse soient utilisées, ou que des informations personnelles aient été divulguées par Benesse.
Le 27 juin, Benesse a commencé une enquête interne et a signalé l’incident à la police et au ministère de l’Économie, du Commerce et de l’Industrie le 30 juin. Le 9 juillet, lors d’une conférence de presse, ils ont annoncé que des informations personnelles, telles que les noms des enfants et des parents, les adresses, les numéros de téléphone, le sexe, et les dates de naissance des clients de services tels que Zemi, avaient été divulguées.
Le 17 juillet, un ingénieur système de 39 ans, qui avait été chargé de gérer le système de base de données de l’entreprise et avait accès aux informations des clients, a été arrêté. Il avait été détaché par une entreprise sous-traitante à laquelle la société Synform, une entreprise affiliée à Benesse qui gérait les informations des clients, avait sous-traité. Il a été accusé d’avoir emporté des informations personnelles et de les avoir vendues à une entreprise de listes de diffusion.
En septembre, Benesse a tenu une conférence de presse et a annoncé que le nombre de cas de fuite d’informations clients était de 35,04 millions. Ils avaient déjà préparé 20 milliards de yens pour indemniser les victimes de la fuite d’informations personnelles. Ils ont également annoncé qu’ils enverraient des lettres d’excuses aux clients concernés par la fuite confirmée et qu’ils offriraient une compensation sous forme de bons d’une valeur de 500 yens (un cadeau d’argent électronique ou une carte de livre utilisable dans tout le pays) selon le choix du client, ou qu’ils feraient un don de 500 yens par cas de fuite à la Fondation Benesse pour les enfants, qui a été créée pour soutenir les enfants touchés par cette fuite.
En réponse à cela, plusieurs groupes d’avocats ont été formés par certaines des victimes et des poursuites collectives ont été intentées. En 2019, il y a eu plusieurs développements concernant cette affaire. En ce qui concerne l’affaire pénale, le procès pénal contre l’ingénieur système accusé d’avoir emporté des informations personnelles et d’avoir enfreint la loi sur la prévention de la concurrence déloyale (reproduction et divulgation de secrets commerciaux) a été conclu par un jugement définitif de la Haute Cour de Tokyo le 21 mars 2017 (2017), condamnant l’accusé à une peine de prison de deux ans et demi sans sursis et à une amende de 3 millions de yens.
Le jugement de la Cour suprême et l’appel renvoyé
Un homme a intenté une action en justice contre Benesse pour demander une indemnité de 100 000 yens pour le préjudice moral subi suite à la fuite de son nom, de son adresse, de son numéro de téléphone, etc. La Cour suprême a annulé le jugement de la cour d’appel d’Osaka, qui était la cour de première instance, et a renvoyé l’affaire, estimant que l’examen n’avait pas été suffisamment approfondi.
Le tribunal de district de Kobe, Himeji Branch, qui était la cour de première instance avant le renvoi, a rejeté la demande de l’homme le 2 décembre 2015, après avoir reconnu comme un fait indiscutable que le nom de l’homme géré par Benesse avait été divulgué, mais sans preuve suffisante pour établir que cela était dû à la négligence de Benesse.
En réponse à cela, l’homme a fait appel et la cour d’appel (jugement de la Haute Cour d’Osaka du 29 juin 2016) a reconnu que le nom, le sexe, la date de naissance, le code postal, l’adresse, le numéro de téléphone et le nom du tuteur (le nom de l’appelant) de l’enfant de l’appelant, gérés par l’appelé, avaient été divulgués. Cependant, la cour a rejeté l’appel au motif qu’il n’y avait aucune preuve de dommages dépassant ce sentiment de malaise.
Le jugement de la Cour suprême
Lorsque l’appelant a demandé l’acceptation de l’appel, la Cour suprême l’a accepté et a annulé le jugement original, estimant qu’il était illégal de ne pas avoir suffisamment examiné le point concernant l’existence et le degré du préjudice moral de l’appelant dû à l’atteinte à la vie privée par la Haute Cour d’Osaka, et a renvoyé l’affaire à la Haute Cour pour un examen plus approfondi de l’existence et du degré du préjudice moral de l’appelant et de la négligence de l’appelé (jugement de la Cour suprême du 23 octobre 2017).
https://monolith-law.jp/reputation/privacy-invasion[ja]
Le jugement de l’appel renvoyé
La Haute Cour d’Osaka (jugement du 20 novembre 2019) a jugé que l’employé en question avait obtenu illégalement des informations personnelles en utilisant un smartphone compatible MTP pour transférer des données via une communication MTP en le connectant au port USB d’un ordinateur professionnel à l’aide d’un câble USB, et les avait vendues à un marchand de listes. La société Shinform avait le devoir de prendre des mesures appropriées pour empêcher l’employé d’accéder aux informations personnelles en question, mais elle a négligé de le faire. Benesse a violé son devoir de supervision appropriée envers Shinform, qui avait été autorisé à utiliser les informations personnelles en question, et a donc été jugé responsable des dommages causés par la fuite d’informations par l’employé (Article 719, paragraphe 1, première partie du Code civil japonais).
Ensuite, en violation de l’article 22 de la loi japonaise sur la protection des informations personnelles, qui stipule que “lorsqu’un opérateur de traitement d’informations personnelles confie tout ou partie du traitement des données personnelles, il doit exercer une supervision nécessaire et appropriée sur la personne à qui le traitement a été confié afin de garantir la sécurité de la gestion des données personnelles confiées”, tout en reconnaissant que la vie privée a été violée, compte tenu du fait que l’adresse, le nom et le numéro de téléphone de l’appelant ont été divulgués sur des sites Web, etc., il a ordonné le paiement de 1 000 yens en dommages-intérêts.
Ce procès est le troisième à reconnaître la responsabilité de Benesse. Comme nous l’avons écrit au début de cet article, “En 2019, il y a eu de nouveaux développements dans plusieurs procès concernant cette affaire”, les trois jugements reconnaissant la responsabilité de Benesse ont tous été rendus en 2019.
https://monolith-law.jp/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]
Le premier cas judiciaire reconnaissant la responsabilité de Benesse
Jugement de première instance
Un homme a demandé des dommages-intérêts pour le stress mental qu’il a subi lorsque Benesse a divulgué ses informations personnelles ainsi que celles de sa femme et de son fils à l’extérieur. Pour la première fois, la responsabilité de Benesse a été reconnue dans le jugement d’appel basé sur un acte illégal.
Le jugement de première instance (Tribunal de district de Yokohama, 16 février 2017 (2017)) a reconnu que Benesse avait manqué à son devoir de diligence, mais a rejeté la demande contre Benesse car il n’y avait pas de preuve concrète qu’elle avait enfreint son obligation de comprendre comment les données personnelles étaient traitées. Par conséquent, l’homme et les autres ont fait appel.
En première instance, bien que Benesse ait reçu une recommandation basée sur l’article 34, paragraphe 1, de la loi japonaise sur la protection des informations personnelles pour avoir négligé ses obligations en vertu des articles 20 et 22 de la même loi et pour avoir causé cette fuite d’informations, la recommandation basée sur ce paragraphe n’est faite que lorsqu’il est jugé nécessaire de protéger les droits et intérêts de l’individu. Il ne nécessite pas l’existence ou la violation d’une obligation de prévoir ou d’éviter les conséquences au moment de la fuite d’informations. Par conséquent, le simple fait qu’une recommandation ait été faite n’est pas suffisant pour reconnaître que Benesse était en faute en vertu de l’article 709 du Code civil japonais au moment de la fuite d’informations.
Jugement d’appel
En réponse à cela, le tribunal d’appel, la Cour supérieure de Tokyo (jugement du 27 juin 2019 (2019)), a présumé que ce n’était pas un crime complexe qui nécessitait l’application de connaissances avancées ou l’utilisation de techniques spéciales, mais simplement un crime simple qui a été commis sur un coup de tête parce qu’il était possible de transférer des données en connectant un smartphone à un ordinateur professionnel avec un câble USB commercial pour le charger. Il a été reconnu que la société Synform avait été négligente en ne prenant pas de mesures de contrôle d’écriture pour les smartphones compatibles MTP, et que Benesse, qui avait confié la gestion d’un grand nombre d’informations personnelles, avait été négligente en ne supervisant pas correctement le sous-traitant en matière de gestion des informations personnelles au moment de la fuite. Ces actes illégaux commis par les deux sociétés ont été jugés comme une faute conjointe (article 719, paragraphe 1, première partie du Code civil japonais).
Ensuite, il a été déclaré que “il est naturel pour les appelants de ne pas vouloir que ces informations personnelles soient divulguées à d’autres personnes qu’ils ne désirent pas, donc ces informations personnelles sont des informations concernant la vie privée des appelants et sont donc protégées par la loi. Par cette fuite, les appelants ont vu leur vie privée violée”. Sur cette base, après la découverte de la fuite, des mesures ont été prises immédiatement pour prévenir l’expansion des dommages causés par la fuite d’informations, et un rapport d’enquête basé sur les rapports et les instructions à l’agence de supervision a été effectué. De plus, une lettre d’excuses a été envoyée aux clients qui étaient susceptibles d’avoir eu une fuite d’informations, et un bon d’une valeur de 500 yens a été distribué en fonction du choix. Compte tenu du fait que les appelants ont chacun reçu un cadeau d’argent électronique de 500 yens, Benesse a été ordonné de payer à chacun 2000 yens de dommages-intérêts.
Deuxième cas judiciaire reconnaissant la responsabilité de Benesse
Le verdict d’un procès dans lequel 13 clients ont réclamé un total de 980 000 yens de dommages et intérêts à l’entreprise et à ses sociétés affiliées a été rendu le 6 septembre 2019 (année 2019 du calendrier grégorien) par le tribunal de district de Tokyo. Benesse et la société Shinform ont été condamnées à payer 3 000 yens par personne (3 300 yens pour une personne), soit un total de 42 300 yens.
Le tribunal n’a pas reconnu la responsabilité de l’employeur de Benesse envers la société Shinform, comme le demandaient les plaignants, car il s’agit d’une entité juridique distincte. Cependant, la société Shinform n’a pas révisé les paramètres de son logiciel de sécurité, ce qui a permis le transfert de données d’un ordinateur professionnel à un smartphone compatible MTP. Par conséquent, il est juste de dire qu’il y a eu négligence en violation de l’obligation de contrôle de l’écriture des informations. En confiant la gestion d’un grand nombre d’informations clients pour le développement du système en question, Benesse aurait dû assumer une obligation de supervision de la sélection des sous-traitants en vertu du principe de bonne foi, y compris envers les clients, y compris les plaignants. Le tribunal a reconnu un acte illicite conjoint (article 719, paragraphe 1, première partie, du Code civil japonais) et a ordonné le paiement de dommages et intérêts aux plaignants.
https://monolith-law.jp/reputation/employer-liability-responsibility-in-defamation[ja]
Dans ce jugement également, l’article 22 de la loi japonaise sur la protection des informations personnelles, qui stipule que “lorsqu’un opérateur de traitement d’informations personnelles confie tout ou partie du traitement des données personnelles, il doit exercer une supervision nécessaire et appropriée sur la personne à qui le traitement a été confié afin de garantir la sécurité des données personnelles confiées”, a été cité. Il a également été souligné que les “supervisions nécessaires et appropriées” des directives du ministère de l’Économie, du Commerce et de l’Industrie de l’année Heisei 21 (2009 du calendrier grégorien) comprennent la sélection appropriée des sous-traitants, la conclusion de contrats nécessaires pour faire respecter les mesures de sécurité en vertu de l’article 20 de la loi sur la protection des informations personnelles, et la compréhension de la manière dont les données personnelles confiées sont traitées par le sous-traitant.
Résumé
Initialement, Benesse avait préparé un fonds de 20 milliards de yens pour indemniser les victimes, mais cela s’est avéré insuffisant. En novembre 2014, l’Association Japonaise pour la Promotion de la Société de l’Information et de l’Économie a révoqué le “Privacy Mark”, un label accordé aux entreprises qui gèrent correctement les informations personnelles, que Benesse Holdings avait obtenu. En avril 2015, le nombre de membres des programmes “Shinken Seminar” et “Kodomo Challenge” était de 2,71 millions, soit une baisse de 940 000 par rapport à la même période de l’année précédente. Les résultats consolidés pour la période d’avril à juin ont montré une baisse de 7% du chiffre d’affaires par rapport à la même période de l’année précédente, et une baisse de 88% du bénéfice d’exploitation. Le résultat d’exploitation est passé d’un bénéfice de 3,91 milliards de yens l’année précédente à une perte de 430 millions de yens. Le risque d’indemnisation pour fuite d’informations personnelles peut devenir une question de vie ou de mort pour une entreprise.