Qu'est-ce que "l'exception cloud" dans la loi sur la protection des données personnelles ? Explication basée sur des exemples concrets de directives administratives reçues par les fournisseurs de services cloud.
Les entreprises traitant des données personnelles sont soumises à diverses réglementations concernant la gestion de ces informations en vertu de la loi japonaise sur la protection des données personnelles. Nos données personnelles sont étroitement liées à notre vie privée et incluent des informations cruciales relatives à nos caractéristiques physiques et à nos biens, il est donc naturel que des règles strictes soient établies.
Cependant, cette loi prévoit également certaines exceptions. L’une d’elles est ce que l’on appelle “l’exception du cloud”.
Alors, qu’est-ce que “l’exception du cloud” ? Cet article explique clairement ce concept en se basant sur le cas de MK System, qui a reçu des directives administratives en l’an 6 de l’ère Reiwa (2024), et détaille les conditions d’application de “l’exception du cloud”.
Principes et exceptions lors de la fourniture de données personnelles à des tiers sous le droit japonais
Examinons d’abord les principes et les exceptions relatifs à la fourniture de données personnelles à des tiers, tels qu’établis par la loi japonaise sur la protection des informations personnelles.
Principes de la loi sur la protection des données personnelles lors de la fourniture de données personnelles à des tiers au Japon
Lorsqu’un opérateur de traitement de données personnelles utilise des services cloud, il est considéré comme ayant “confié tout ou partie du traitement des données personnelles” (selon l’article 27, paragraphe 5, point 1 de la loi sur la protection des données personnelles), et doit donc, conformément à l’article 25 de la même loi, exercer une supervision nécessaire et appropriée sur le fournisseur de services cloud. C’est le principe de base sous le régime juridique japonais.
Qu’est-ce que l’exception du cloud sous le droit japonais ?
Cette exception est ce que l’on appelle l’« exception du cloud ».
Les « fournisseurs de services cloud » dans ce contexte désignent principalement les entreprises qui fournissent des infrastructures IT telles que le stockage et les serveurs (IaaS/PaaS) et qui hébergent et traitent les données d’autres entreprises via Internet. Les fournisseurs suivants sont des exemples concrets :
- Amazon Web Services (AWS) : fourni par l’Américain Amazon, largement adopté par de nombreuses entreprises japonaises.
- Microsoft Azure : service d’infrastructure cloud de Microsoft, avec de nombreux cas d’adoption par les agences gouvernementales.
- Google Cloud Platform (GCP) : fourni par Google, avec des points forts dans le traitement de l’IA et des big data.
L’exception du cloud concerne les entreprises qui développent des systèmes sur l’infrastructure cloud (IaaS ou PaaS) de ces fournisseurs de services cloud et qui fournissent ces systèmes à leurs clients sous forme de SaaS (Software as a Service), lorsqu’elles traitent des données personnelles.
Dans la FAQ sur les « lignes directrices concernant la loi sur la protection des informations personnelles » de la Commission de protection des informations personnelles, il est mentionné au point 7-53 ce qui suit concernant les fournisseurs de services cloud :
(Lorsque cela ne correspond pas à un tiers) Q7-53 Si un opérateur de traitement des informations personnelles utilise un système d’information qui traite des données électroniques contenant des données personnelles, comme dans le cas d’un contrat de services cloud avec un prestataire externe, doit-il obtenir le « consentement de la personne concernée » (Article 27, paragraphe 1 de la loi) comme s’il avait fourni des données personnelles à un tiers ? Ou bien, est-il considéré comme ayant « confié tout ou partie du traitement des données personnelles » (Article 27, paragraphe 5, point 1 de la loi) et doit-il superviser le fournisseur de services cloud conformément à l’Article 25 de la loi ?
FAQ sur les lignes directrices concernant la loi sur la protection des informations personnelles[ja]|Commission de protection des informations personnelles
A7-53 Il existe de nombreuses formes de services cloud, mais la question de savoir si l’utilisation d’un service cloud constitue une fourniture à un tiers nécessitant le consentement de la personne concernée (Article 27, paragraphe 1) ou une délégation (Article 27, paragraphe 5, point 1) dépend non pas de la présence de données personnelles dans les données électroniques stockées, mais plutôt de savoir si le fournisseur de services cloud traite effectivement des données personnelles. Si le fournisseur de services cloud n’est pas censé traiter les données personnelles, alors l’opérateur de traitement des informations personnelles n’est pas considéré comme ayant fourni des données personnelles et n’a donc pas besoin d’obtenir le consentement de la personne concernée. De plus, dans le cas mentionné ci-dessus, comme il n’est pas considéré comme ayant fourni des données personnelles, cela ne correspond pas non plus à une situation où « tout ou partie du traitement des données personnelles est confié… à un tiers » (Article 27, paragraphe 5, point 1), et il n’y a donc pas d’obligation de superviser le fournisseur de services cloud conformément à l’Article 25 de la loi. Les mesures de sécurité à prendre par l’opérateur de traitement des informations personnelles lorsque le fournisseur de services cloud n’est pas censé traiter les données personnelles sont décrites au point Q7-54. Un cas où le fournisseur de services cloud n’est pas censé traiter les données personnelles pourrait être, par exemple, lorsque les clauses contractuelles stipulent que le prestataire externe ne traitera pas les données personnelles stockées sur le serveur et que des contrôles d’accès appropriés sont en place. Pour la relation avec l’Article 28 de la loi, voir Q12-3.
En d’autres termes, si l’utilisateur d’un service cloud remplit les conditions d’exception, il n’est pas nécessaire de superviser le fournisseur de services cloud. Pour être éligible à l’exception du cloud, les deux conditions suivantes doivent être remplies :
- Les clauses contractuelles doivent stipuler que le prestataire externe ne traitera pas les données personnelles stockées sur le serveur.
- Des contrôles d’accès appropriés doivent être mis en place.
Orientation administrative à l’encontre de la société MK System sous le droit japonais
Le 25 mars de l’année Reiwa 6 (2024), la Commission de Protection des Données Personnelles du Japon a émis une orientation à la société MK System en vertu de l’article 147 de la loi japonaise sur la protection des données personnelles. Cet événement, qui a entraîné une fuite d’informations affectant environ 7,5 millions de personnes, a incité la Commission à publier une alerte intitulée “Points d’attention pour les fournisseurs de services cloud en tant qu’opérateurs de traitement des données personnelles selon la loi sur la protection des données personnelles”.
Examinons l’orientation administrative spécifique donnée à la société MK System concernant l’exception de cloud dans la loi sur la protection des données personnelles.
Résumé du cas
La société MK System Co., Ltd. a développé un système de soutien aux opérations de sécurité sociale et de gestion du personnel en utilisant les serveurs de Tencent Cloud en Chine, et a fourni ses services à des utilisateurs tels que des bureaux de consultants en sécurité sociale.
En juin de l’année Reiwa 5 (2023), le serveur a été victime d’un accès non autorisé, et il y a eu un risque de fuite de données personnelles gérées (telles que les noms, dates de naissance, sexe, adresses, numéros de pension de base, numéros d’assurance emploi et My Numbers des employés des entreprises et des établissements clients des consultants en sécurité sociale, etc.).
Lorsque nous appliquons les relations entre ces trois entités aux directives, cela donne ce qui suit :
| Position selon les directives | Entreprise | Contenu |
| Commanditaire | Utilisateurs tels que les consultants en sécurité sociale (entreprises traitant des informations personnelles) | Responsables de la gestion des données personnelles des clients (entreprises et individus) |
| Sous-traitant | MK System Co., Ltd. | Fournit un système qui remplace et soutient les opérations de consultants en sécurité sociale dans le cloud. Traite les données personnelles selon les instructions des clients. |
| Sous-sous-traitant | Tencent Cloud (Chine) | Infrastructure cloud sous-traitée par MK System. Peut correspondre à une fourniture à l’étranger. |
La Commission de protection des informations personnelles a jugé que les mesures de gestion de la sécurité technique de MK System étaient insuffisantes.
Contenu de l’orientation administrative
La Commission de protection des données personnelles a mis en œuvre une orientation administrative comprenant des directives basées sur l’article 147 de la loi japonaise sur la protection des données personnelles, ainsi que la collecte de rapports en vertu de l’article 146, paragraphe 1, de la même loi.
Alerte de la Commission de Protection des Données Personnelles au Japon
La Commission de Protection des Données Personnelles au Japon a également publié une alerte concernant les points à prendre en compte lorsque les fournisseurs de services cloud sont considérés comme des opérateurs de traitement de données personnelles en vertu de la loi japonaise sur la protection des données personnelles (Points à noter pour les fournisseurs de services cloud lorsqu’ils sont considérés comme des opérateurs de traitement de données personnelles selon la loi sur la protection des données personnelles (Alerte)[ja]).
Cette alerte s’adresse principalement aux utilisateurs de services cloud, leur rappelant de déterminer si l’utilisation de ces services correspond à une sous-traitance de la gestion des données personnelles (selon l’article 27, paragraphe 5, point 1 de la loi sur la protection des données personnelles). Si c’est le cas, les opérateurs de traitement de données personnelles qui utilisent les services cloud doivent exercer une supervision nécessaire et appropriée sur leurs sous-traitants.
Concernant le système MK, il a été déterminé que l’exception cloud n’était pas applicable pour les trois raisons suivantes, et qu’il était donc nécessaire d’exercer une supervision appropriée, car il s’agit d’un opérateur de traitement de données personnelles manipulant des données personnelles.
Points à noter pour les fournisseurs de services cloud lorsqu’ils sont considérés comme des opérateurs de traitement de données personnelles selon la loi sur la protection des données personnelles (Alerte) | Commission de Protection des Données Personnelles[ja]
- Les conditions d’utilisation stipulent que le fournisseur de services cloud peut effectuer des actions nécessaires telles que la surveillance, l’analyse et l’enquête sur les données, etc., lorsqu’il le juge nécessaire pour la maintenance et l’exploitation, et que, sauf dans certains cas, il ne peut pas utiliser ni divulguer les données sur le système à des tiers sans autorisation, permettant ainsi au fournisseur de services cloud d’utiliser les données personnelles des utilisateurs dans des cas spécifiques.
- Le fournisseur de services cloud détient un ID de maintenance et est en mesure d’accéder aux données personnelles des utilisateurs du service cloud, sans mesures de contrôle d’accès technique pour prévenir le traitement.
- Après avoir échangé une confirmation écrite avec l’utilisateur du service cloud, le fournisseur a effectivement traité les données personnelles de l’utilisateur.
Points de vigilance pour les fournisseurs de services cloud au Japon
Compte tenu des problèmes juridiques et des directives administratives et alertes que nous avons expliqués jusqu’à présent, quels sont les points que les fournisseurs de services cloud, tels que MK System mentionné dans l’exemple précédent, doivent-ils prendre en considération ?
Vérifier à nouveau si les conditions d’exception pour le cloud sont remplies
Tout d’abord, il convient de vérifier à nouveau si les services que vous fournissez répondent aux conditions d’exception pour le cloud.
Suite à l’alerte émise par la Commission de protection des données personnelles, les entreprises utilisant des services cloud pourraient examiner si le fournisseur de services cloud respecte les conditions d’exception pour le cloud.
Par conséquent, les fournisseurs de services cloud doivent également s’assurer qu’ils répondent bien aux conditions d’exception pour le cloud.
Si les conditions d’exception pour le cloud ne sont pas remplies, il faut répondre à la supervision du sous-traitant
Si les conditions d’exception pour le cloud ne sont pas remplies, il faudra répondre à la supervision des utilisateurs du service cloud (dans ce cas, les bureaux de conseillers en travail social et les entreprises utilisant les services fournis par MK System).
La supervision par les utilisateurs du service cloud comprendra les actions suivantes, telles que décrites dans les lignes directrices relatives à la loi sur la protection des données personnelles (Partie générale) 3-4-4 Supervision du sous-traitant (en relation avec l’article 25 de la loi) :
- Sélection appropriée du sous-traitant : Il est nécessaire de vérifier que les mesures de gestion de la sécurité du sous-traitant sont équivalentes à celles exigées par l’article 23 de la loi et par ces lignes directrices pour le donneur d’ordre.
- Conclusion d’un contrat de sous-traitance : Il est souhaitable d’établir un contrat qui permet au donneur d’ordre de comprendre de manière raisonnable la situation de traitement des données personnelles confiées.
- Compréhension de la situation de traitement des données personnelles chez le sous-traitant : Évaluer de manière appropriée par des audits réguliers.
Si les mesures de gestion de la sécurité du sous-traitant sont inappropriées, il y a un risque que le contrat soit résilié, et le sous-traitant pourrait être contraint de prendre les mesures de sécurité nécessaires ou de se soumettre à des audits réguliers.
Résumé : Consultez un avocat pour la protection des données personnelles sur les services cloud
Dans cet article, nous avons expliqué les risques encourus par les fournisseurs de services cloud qui ne respectent pas les exceptions relatives au cloud, en nous basant sur les directives administratives publiées en mars 2025 (Reiwa 7) par la Commission de protection des données personnelles du Japon.
À la suite d’une fuite d’informations dans ce cas précis, la Commission de protection des données personnelles a émis un avertissement aux utilisateurs de services cloud. Ce message d’alerte concerne non seulement les utilisateurs de services cloud, mais aussi les entreprises fournissant ces services, qui doivent réexaminer les services qu’elles proposent et être attentives aux charges potentielles qui pourraient survenir.
Compte tenu de cette directive administrative, si vous avez des inquiétudes concernant les risques auxquels votre entreprise pourrait être exposée et les mesures à prendre, il est recommandé de consulter un avocat spécialisé dans la protection des données personnelles sous le droit japonais.
Présentation des mesures proposées par notre cabinet
Le cabinet d’avocats Monolith est un cabinet juridique doté d’une riche expérience dans les domaines de l’IT, et plus particulièrement d’Internet et du droit. À une époque où de nombreuses entreprises IT déploient leurs activités en utilisant des services cloud tels qu’AWS, la fuite d’informations personnelles est devenue un aspect incontournable de la gestion des risques dans la conduite des affaires. En cas de fuite d’informations personnelles, l’impact sur les activités d’une entreprise peut être dévastateur. Notre cabinet possède une expertise spécialisée dans la prévention des fuites d’informations et les stratégies de réponse. Vous trouverez plus de détails dans l’article ci-dessous.
Domaines d’intervention du cabinet Monolith : Affaires juridiques liées à la protection des informations personnelles sous le droit japonais[ja]
Category: IT
Tag: ITTerms of Use
