MONOLITH LAW OFFICE+81-3-6262-3248Jours ouvrables 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

Qu'est-ce que la révision de la Loi sur les entreprises de télécommunications de l'ère Reiwa 5 (2023) ? Explication détaillée sur la régulation des cookies

General Corporate

Qu'est-ce que la révision de la Loi sur les entreprises de télécommunications de l'ère Reiwa 5 (2023) ? Explication détaillée sur la régulation des cookies

Dans la révision de la loi japonaise sur les télécommunications (Loi sur les Télécommunications Japonaise) qui doit entrer en vigueur en 2023 (5ème année de l’ère Reiwa), divers changements de règles seront mis en œuvre pour assurer une fourniture de services en douceur et protéger les utilisateurs, compte tenu des changements environnementaux entourant les entreprises de télécommunications. Parmi ceux-ci, la réglementation concernant les cookies est particulièrement remarquable.

Actuellement, un grand nombre de services en ligne utilisent des cookies, et la manière dont la révision de la loi japonaise sur les télécommunications affectera l’exploitation de ces services en ligne est une préoccupation majeure pour de nombreuses entreprises. De grands changements sont également attendus dans le marketing Web à l’avenir.

Cet article présente la loi japonaise sur les télécommunications qui a été révisée en juin 2022 et qui entrera en vigueur avant le 17 juin 2023, ainsi que les règlements d’application de la loi japonaise sur les télécommunications qui ont été établis en conséquence. Nous expliquerons également en détail la réglementation très attendue sur les cookies.

Résumé de la révision de la loi japonaise sur les télécommunications

Résumé de la révision de la loi japonaise sur les télécommunications

La loi japonaise sur les télécommunications vise à réguler de manière appropriée et rationnelle les opérations des entreprises de télécommunications, à promouvoir une concurrence équitable entre elles et à protéger les intérêts des utilisateurs, compte tenu de la nature publique de l’entreprise de télécommunications (Article 1 de la loi japonaise sur les télécommunications). Pour le dire plus simplement, elle vise à assurer que les services de télécommunications tels que l’internet et les téléphones mobiles sont fournis de manière fluide, afin de garantir les intérêts des utilisateurs et la commodité du public.

Les entreprises de télécommunications sont celles qui fournissent des infrastructures de communication d’information telles que le téléphone et l’internet. Dans cette révision, les modifications suivantes ont été mises en œuvre, y compris l’élargissement de la portée des entreprises concernées :

  • Universaliser les services de communication comme l’électricité, le gaz et l’eau
  • Inclure les moteurs de recherche et les réseaux sociaux comme sujets de déclaration
  • Établir une concurrence équitable entre les grands opérateurs de téléphonie mobile et les SIM à bas prix

Depuis 2020, le télétravail, les réunions Web, l’éducation à distance, etc. se sont généralisés. Aujourd’hui, l’environnement Internet peut être considéré comme une infrastructure accessible à tous, plutôt qu’un service choisi par l’individu, comme l’électricité ou le gaz. Dans cette révision, un système de subventions a été créé pour assurer un service stable même dans les régions où les fournisseurs d’Internet ne peuvent pas réaliser de bénéfices, afin d’éliminer les disparités de communication entre les régions.

La portée des “entreprises de télécommunications” a également changé. Les grands services de recherche et les réseaux sociaux, qui n’étaient pas inclus auparavant, sont maintenant réglementés. En d’autres termes, si vous dépassez une certaine taille, comme Google et d’autres grands moteurs de recherche, ou Twitter, Instagram et d’autres réseaux sociaux, vous devez vous déclarer en tant qu’entreprise de télécommunications.

Voici les conditions pour les entreprises qui sont nouvellement soumises à déclaration :

  1. Service de télécommunication d’information de recherche (comme Google) : plus de 10 millions d’utilisateurs et un service de recherche transversal
  2. Service de télécommunication équivalent à une médiation (comme Twitter) : plus de 10 millions d’utilisateurs et principalement destiné à faciliter les échanges entre utilisateurs non spécifiés

De plus, il a été clairement stipulé que des obligations telles que la présentation de la méthode de calcul des tarifs seront imposées afin de réaliser une concurrence équitable entre les trois grandes entreprises de téléphonie mobile et les autres MVNO, etc.

Qu’est-ce que la “Information spécifique d’utilisateur” nouvellement créée ?

Selon le Règlement d’application de la Loi japonaise sur les entreprises de télécommunications (Règlement d’application de la Loi sur les entreprises de télécommunications), un nouveau concept appelé “Information spécifique d’utilisateur” a été créé. Les entreprises de télécommunications qui fournissent des services de télécommunications ayant un impact significatif sur les intérêts des utilisateurs sont soumises à cette réglementation. Plus précisément, les entreprises avec plus de 10 millions d’utilisateurs actifs par mois pour les services gratuits, et plus de 5 millions pour les services payants, sont concernées par cette réglementation. Cela inclut les opérateurs de téléphonie fixe et mobile, les fournisseurs de services d’accès à Internet, ainsi que les services de recherche tels que Google et les réseaux sociaux tels que Twitter.

“Information spécifique d’utilisateur” fait référence à des informations telles que les secrets de communication tels que les e-mails et les enregistrements téléphoniques, les identifiants d’utilisateur et les numéros qui peuvent identifier l’utilisateur (Règlement d’application de la Loi sur les entreprises de télécommunications[ja] Articles 2-2 et 22-2-21). Les informations stockées dans les cookies sont également incluses dans cette “Information spécifique d’utilisateur”. Les entreprises ont les obligations suivantes concernant le traitement de ces informations (même règlement, Article 22-2-22) :

  1. Établissement et déclaration de règles de traitement
  2. Établissement et publication de politiques de traitement
  3. Auto-évaluation de la situation de traitement chaque année fiscale, et réflexion de celle-ci dans les règles et politiques de traitement
  4. Nomination et déclaration d’un gestionnaire général au moment mentionné ci-dessus
  5. Rapport en cas de fuite

Les entreprises qui traitent des informations spécifiques d’utilisateur ont l’obligation d’établir et de publier leur politique de traitement. De plus, elles doivent effectuer une auto-évaluation des tendances technologiques et des risques d’attaques cybernétiques, et réviser leur politique en conséquence si nécessaire.

De plus, elles sont tenues de nommer un gestionnaire général ayant au moins trois ans d’expérience et de signaler sans délai au Ministre des Affaires générales en cas de fuite d’informations concernant plus de 1 000 utilisateurs.

En outre, l’établissement de règles d’envoi externe, communément appelées régulations sur les cookies, est probablement le point le plus impactant de cette révision. Nous allons expliquer cela plus en détail ci-dessous.

La réglementation explicite des Cookies

La réglementation explicite des Cookies

Qu’est-ce qu’un cookie ? Ses avantages et problèmes

Un cookie est un mécanisme qui permet de stocker les informations des utilisateurs qui visitent un site sur leur navigateur. Pour expliquer plus en détail, il s’agit d’un fichier que le serveur Web enregistre sur le dispositif de l’utilisateur (PC, smartphone, tablette, etc.) lorsqu’il accède au serveur Web. Le serveur Web peut consulter le cookie stocké sur le dispositif de l’utilisateur lorsqu’il reçoit un accès de celui-ci.

Grâce à cela, lorsque vous accédez à un site de service Web que vous avez déjà utilisé, le système peut reconnaître que vous êtes un utilisateur qui a déjà visité. Par exemple, lorsque vous faites des achats sur un site de commerce électronique, vous avez probablement déjà vécu l’expérience de “mettre un produit que vous aimez dans votre panier, parcourir une autre page de produit pendant un moment, puis regarder à nouveau votre panier pour trouver le produit que vous avez mis précédemment”. En fait, ce mécanisme utilise des cookies.

Un cookie est, pour le dire simplement, un ensemble de données qui regroupe diverses informations sur l’utilisateur, telles que l’ID pour identifier l’utilisateur, la date et l’heure de la visite du site, le nombre de visites, etc. Les cookies peuvent identifier les utilisateurs, ce qui permet de fournir les informations les plus appropriées lorsque l’utilisateur visite le site pour la deuxième fois ou plus.

En utilisant des cookies, il est également possible de collecter des informations personnelles sans le consentement de l’utilisateur. En collectant des informations sur quel utilisateur accède à quel site Web à partir de quel dispositif, il est possible d’analyser les goûts et les préférences de l’utilisateur.

Cependant, la plupart des utilisateurs ne peuvent pas savoir quand et quelles données les cookies enregistrent, et quelles données ils envoient au serveur. Les données des cookies peuvent être utilisées par des entreprises tierces à des fins commerciales sans que l’utilisateur en soit conscient. Par conséquent, du point de vue de la violation de la vie privée, les cookies ont été désignés comme des “informations personnelles associées” par la révision de la loi japonaise sur la protection des informations personnelles en avril 2022 (2022 en calendrier grégorien).

Jusqu’à présent, de nombreux opérateurs de sites Web ont utilisé des cookies pour comprendre les informations des utilisateurs et ont lancé des approches de marketing plus précises et efficaces. Cependant, dans de nombreux pays étrangers, y compris l’UE, l’utilisation des cookies pour violer la vie privée a été un problème, et des mesures ont été prises. En particulier, ceux qui ont visité des sites Web dans l’UE ont probablement remarqué que des messages demandant leur consentement à l’utilisation des cookies sont affichés.

Les Cookies de première partie et de troisième partie

Les Cookies de première partie et de troisième partie

Les cookies peuvent être principalement divisés en deux types : les cookies de première partie et les cookies de troisième partie.

Un cookie de première partie est un cookie qui est directement émis par le domaine du site Web que l’utilisateur visite. En d’autres termes, c’est un cookie pour lequel le “domaine émetteur du cookie” est le “domaine du site Web visité”. Le terme “première partie” signifie “partie concernée”. On parle de cookies de première partie car l’échange de cookies se fait entre le serveur du site Web visité par le spectateur et l’appareil de l’utilisateur.

En revanche, un cookie de troisième partie est un cookie qui est émis par un serveur autre que celui du site Web visité par le spectateur (une tierce partie). L’échange de données à l’aide de cookies ne se fait pas seulement entre le serveur du site Web visité par le spectateur et l’appareil de l’utilisateur, mais aussi avec d’autres serveurs. C’est pourquoi on parle de cookies de troisième partie.

La principale cible de la régulation des cookies dans la révision de la loi japonaise sur les télécommunications commerciales est l’utilisation des cookies de troisième partie.

Les cookies de troisième partie peuvent recueillir des informations sur l’historique de navigation de l’utilisateur sur plusieurs domaines. Si l’on peut obtenir l’historique de navigation d’un appareil, il devient possible de profiler les intérêts de l’utilisateur de cet appareil. Si les préférences d’un utilisateur sont profilées et utilisées pour la publicité sans que l’utilisateur en soit conscient, cela peut entraîner une sensation d’inquiétude chez l’utilisateur et poser des problèmes du point de vue de la vie privée. Beaucoup de gens ont probablement fait l’expérience de voir de plus en plus de publicités pour des sites qu’ils ont visités par le passé ou pour des produits connexes.

Au Japon, jusqu’à présent, il n’existait pas de règles juridiques réglementant directement l’utilisation des cookies. Dans le rapport d’étude sur les effets économiques et la protection des utilisateurs de la publicité ciblée par comportement, publié par l’Institut de recherche sur la politique de l’information et de la communication du ministère des Affaires intérieures et des Communications en mars 2010, il a été suggéré que les entreprises qui utilisent la publicité ciblée devraient expliciter leur utilisation et obtenir le consentement préalable. Comme le suggère le terme “souhaitable”, il n’y avait pas de contrainte juridique claire.

La révision actuelle de la loi japonaise sur les télécommunications commerciales va plus loin que le “souhaitable” et stipule clairement que cela “doit être fait”. On peut donc considérer qu’il s’agit d’un mouvement visant à établir de nouvelles règles juridiques réglementant directement l’utilisation des cookies.

Contenu de la réglementation sur les cookies

L’article 27-12 de la loi japonaise sur les télécommunications modifiée stipule que “lors de la fourniture de services de télécommunication à un utilisateur, lorsqu’il est prévu d’effectuer une communication d’instruction de transmission d’information qui fait de l’équipement de télécommunication de l’utilisateur la destination de la transmission, conformément aux dispositions du règlement du ministère des Affaires générales, il faut au préalable informer l’utilisateur du contenu de l’information concernant l’utilisateur qui sera transmise par la fonction de transmission d’information activée par ladite communication d’instruction de transmission d’information, de l’équipement de télécommunication qui sera la destination de la transmission de ladite information et d’autres questions définies par le règlement du ministère des Affaires générales, ou mettre l’utilisateur dans une situation où il peut facilement obtenir ces informations”.

C’est une disposition légale un peu complexe, mais pour résumer :

  • Lors de la fourniture de services de télécommunication (c’est-à-dire de services en ligne) à un utilisateur,
  • Lorsqu’il est prévu d’effectuer une communication d’instruction de transmission d’information qui fait de l’équipement de télécommunication de l’utilisateur (ordinateur ou smartphone) la destination de la transmission,

Il faut informer l’utilisateur de certaines choses ou le mettre dans une situation où il peut facilement obtenir ces informations.

Alors, qu’est-ce que ces “choses spécifiques” que l’utilisateur doit être informé ?

Selon l’article 27-12 de la loi japonaise sur les télécommunications modifiée et l’article 22-2-29 du règlement d’application de la loi japonaise sur les télécommunications modifiée, lorsqu’il est prévu d’effectuer une telle communication d’instruction de transmission d’information, les éléments suivants doivent être notifiés à l’utilisateur ou l’utilisateur doit être mis dans une situation où il peut facilement obtenir ces informations :

  • Le contenu de “l’information concernant l’utilisateur” à transmettre
  • Le nom / la dénomination de la personne qui traite “l’information concernant l’utilisateur” en utilisant le serveur de destination
  • L’objectif de l’utilisation de “l’information concernant l’utilisateur” à transmettre

En d’autres termes, lors de l’utilisation de cookies qui sont soumis à la réglementation sur les cookies, il faut mettre en place un système pour informer l’individu des informations collectées par les cookies, de la destination de la transmission et de l’objectif de l’utilisation, ou bien publier une politique de cookies, par exemple, pour que l’utilisateur puisse facilement obtenir ces informations.

Quatre exceptions à la réglementation sur les cookies

Article 27-12 de la loi japonaise sur les télécommunications (loi modifiée sur les télécommunications) stipule qu’il n’est pas nécessaire d’informer l’utilisateur ou de le rendre facilement conscient des questions spécifiées dans les quatre cas suivants :

Premièrement, les informations définies par le ministère des Affaires intérieures et des Communications comme nécessaires pour afficher correctement les codes, les sons ou les images transmis dans le service de télécommunication concerné sur l’écran de l’équipement de télécommunication de l’utilisateur, ou pour transmettre lors de l’utilisation du service de télécommunication par l’utilisateur.

Selon l’article 22-2-30 du règlement d’application de la loi japonaise sur les télécommunications (loi modifiée sur les télécommunications), les éléments suivants sont applicables :

  • Informations véritablement nécessaires pour fournir le service
  • Informations nécessaires pour réafficher les informations saisies par l’utilisateur lors de l’utilisation du service (y compris les informations d’authentification)
  • Informations nécessaires pour détecter et atténuer les dommages causés par des actes frauduleux
  • Informations nécessaires pour une gestion appropriée du serveur

Deuxièmement, le code d’identification que l’opérateur de télécommunications ou l’opérateur de l’entreprise numéro trois a envoyé à l’équipement de télécommunications de l’utilisateur lors de la fourniture du service de télécommunications à l’utilisateur, et qui est transmis à l’équipement de télécommunications de l’opérateur de télécommunications ou de l’opérateur de l’entreprise numéro trois en tant que destination de transmission par la fonction de transmission d’informations activée par la communication d’instruction de transmission d’informations.

C’est un peu compliqué, mais cela suppose que “l’ID que notre entreprise a envoyé au dispositif de l’utilisateur est envoyé à notre serveur”. En d’autres termes, seuls les cookies tiers sont soumis à la réglementation, tandis que les cookies de première partie sont une exception.

Troisièmement, les informations que l’utilisateur a accepté d’être envoyées à son équipement de télécommunications.

La phrase souvent vue “Acceptez-vous l’utilisation de cookies ?” est pour cette clause. Pour les utilisateurs qui ont accepté, cette notification, etc., n’est pas nécessaire.

Quatrièmement, les informations pour lesquelles l’utilisateur n’a pas demandé l’application des mesures prescrites par (…) si la communication d’instruction de transmission d’informations correspond à toutes les conditions suivantes.

Cela signifie le cas où des mesures d’opt-out sont prises, permettant à l’utilisateur de refuser à tout moment la collecte et l’utilisation d’informations sur les cookies.

Résumé : Consultez un expert pour les mesures de révision de la loi japonaise sur les télécommunications

En raison du développement rapide des services en ligne, des révisions législatives sont très fréquemment effectuées dans ce domaine. Étant donné l’ampleur des changements, il y a peu de documentation et il n’est pas facile de comprendre et de répondre aux dernières informations.

Nous vous recommandons de prendre des mesures concernant la loi japonaise sur les télécommunications et les règles qui y sont associées, tout en obtenant les conseils d’un expert.

Présentation des mesures proposées par notre cabinet

Le cabinet d’avocats Monolith possède une riche expérience dans les domaines de l’IT, et plus particulièrement de l’Internet et du droit. La loi japonaise révisée sur les télécommunications (la “Loi japonaise sur les télécommunications”) est complexe et peut être difficile à comprendre pour ceux qui ne sont pas des experts. Pour mener vos activités en toute légalité, un contrôle juridique est nécessaire. N’hésitez pas à nous consulter. Vous trouverez plus de détails dans l’article ci-dessous.

Domaines de pratique du cabinet d’avocats Monolith : Affaires corporatives pour IT et startups[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Retourner En Haut