{"id":72641,"date":"2025-07-25T17:54:36","date_gmt":"2025-07-25T08:54:36","guid":{"rendered":"https:\/\/monolith.law\/fr\/?p=72641"},"modified":"2025-07-29T11:36:47","modified_gmt":"2025-07-29T02:36:47","slug":"personal-information-cloud-exceptions","status":"publish","type":"post","link":"https:\/\/monolith.law\/fr\/it\/personal-information-cloud-exceptions","title":{"rendered":"Qu&#8217;est-ce que &#8220;l&#8217;exception cloud&#8221; dans la loi sur la protection des donn\u00e9es personnelles ? Explication bas\u00e9e sur des exemples concrets de directives administratives re\u00e7ues par les fournisseurs de services cloud."},"content":{"rendered":"\n<p>Les entreprises traitant des donn\u00e9es personnelles sont soumises \u00e0 diverses r\u00e9glementations concernant la gestion de ces informations en vertu de la loi japonaise sur la protection des donn\u00e9es personnelles. Nos donn\u00e9es personnelles sont \u00e9troitement li\u00e9es \u00e0 notre vie priv\u00e9e et incluent des informations cruciales relatives \u00e0 nos caract\u00e9ristiques physiques et \u00e0 nos biens, il est donc naturel que des r\u00e8gles strictes soient \u00e9tablies.<\/p>\n\n\n\n<p>Cependant, cette loi pr\u00e9voit \u00e9galement certaines exceptions. L&#8217;une d&#8217;elles est ce que l&#8217;on appelle &#8220;l&#8217;exception du cloud&#8221;.<\/p>\n\n\n\n<p>Alors, qu&#8217;est-ce que &#8220;l&#8217;exception du cloud&#8221; ? Cet article explique clairement ce concept en se basant sur le cas de MK System, qui a re\u00e7u des directives administratives en l&#8217;an 6 de l&#8217;\u00e8re Reiwa (2024), et d\u00e9taille les conditions d&#8217;application de &#8220;l&#8217;exception du cloud&#8221;.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/fr\/it\/personal-information-cloud-exceptions\/#Principes_et_exceptions_lors_de_la_fourniture_de_donnees_personnelles_a_des_tiers_sous_le_droit_japonais\" title=\"Principes et exceptions lors de la fourniture de donn\u00e9es personnelles \u00e0 des tiers sous le droit japonais\">Principes et exceptions lors de la fourniture de donn\u00e9es personnelles \u00e0 des tiers sous le droit japonais<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/fr\/it\/personal-information-cloud-exceptions\/#Principes_de_la_loi_sur_la_protection_des_donnees_personnelles_lors_de_la_fourniture_de_donnees_personnelles_a_des_tiers_au_Japon\" title=\"Principes de la loi sur la protection des donn\u00e9es personnelles lors de la fourniture de donn\u00e9es personnelles \u00e0 des tiers au Japon\">Principes de la loi sur la protection des donn\u00e9es personnelles lors de la fourniture de donn\u00e9es personnelles \u00e0 des tiers au Japon<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/fr\/it\/personal-information-cloud-exceptions\/#Qu%E2%80%99est-ce_que_l%E2%80%99exception_du_cloud_sous_le_droit_japonais\" title=\"Qu&#8217;est-ce que l&#8217;exception du cloud sous le droit japonais ?\">Qu&#8217;est-ce que l&#8217;exception du cloud sous le droit japonais ?<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/fr\/it\/personal-information-cloud-exceptions\/#Orientation_administrative_a_l%E2%80%99encontre_de_la_societe_MK_System_sous_le_droit_japonais\" title=\"Orientation administrative \u00e0 l&#8217;encontre de la soci\u00e9t\u00e9 MK System sous le droit japonais\">Orientation administrative \u00e0 l&#8217;encontre de la soci\u00e9t\u00e9 MK System sous le droit japonais<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/fr\/it\/personal-information-cloud-exceptions\/#Resume_du_cas\" title=\"R\u00e9sum\u00e9 du cas\">R\u00e9sum\u00e9 du cas<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/fr\/it\/personal-information-cloud-exceptions\/#Contenu_de_l%E2%80%99orientation_administrative\" title=\"Contenu de l&#8217;orientation administrative\">Contenu de l&#8217;orientation administrative<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/fr\/it\/personal-information-cloud-exceptions\/#Alerte_de_la_Commission_de_Protection_des_Donnees_Personnelles_au_Japon\" title=\"Alerte de la Commission de Protection des Donn\u00e9es Personnelles au Japon\">Alerte de la Commission de Protection des Donn\u00e9es Personnelles au Japon<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/fr\/it\/personal-information-cloud-exceptions\/#Points_de_vigilance_pour_les_fournisseurs_de_services_cloud_au_Japon\" title=\"Points de vigilance pour les fournisseurs de services cloud au Japon\">Points de vigilance pour les fournisseurs de services cloud au Japon<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/monolith.law\/fr\/it\/personal-information-cloud-exceptions\/#Verifier_a_nouveau_si_les_conditions_d%E2%80%99exception_pour_le_cloud_sont_remplies\" title=\"V\u00e9rifier \u00e0 nouveau si les conditions d&#8217;exception pour le cloud sont remplies\">V\u00e9rifier \u00e0 nouveau si les conditions d&#8217;exception pour le cloud sont remplies<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/monolith.law\/fr\/it\/personal-information-cloud-exceptions\/#Si_les_conditions_d%E2%80%99exception_pour_le_cloud_ne_sont_pas_remplies_il_faut_repondre_a_la_supervision_du_sous-traitant\" title=\"Si les conditions d&#8217;exception pour le cloud ne sont pas remplies, il faut r\u00e9pondre \u00e0 la supervision du sous-traitant\">Si les conditions d&#8217;exception pour le cloud ne sont pas remplies, il faut r\u00e9pondre \u00e0 la supervision du sous-traitant<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/monolith.law\/fr\/it\/personal-information-cloud-exceptions\/#Resume_Consultez_un_avocat_pour_la_protection_des_donnees_personnelles_sur_les_services_cloud\" title=\"R\u00e9sum\u00e9 : Consultez un avocat pour la protection des donn\u00e9es personnelles sur les services cloud\">R\u00e9sum\u00e9 : Consultez un avocat pour la protection des donn\u00e9es personnelles sur les services cloud<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/monolith.law\/fr\/it\/personal-information-cloud-exceptions\/#Presentation_des_mesures_proposees_par_notre_cabinet\" title=\"Pr\u00e9sentation des mesures propos\u00e9es par notre cabinet\">Pr\u00e9sentation des mesures propos\u00e9es par notre cabinet<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Principes_et_exceptions_lors_de_la_fourniture_de_donnees_personnelles_a_des_tiers_sous_le_droit_japonais\"><\/span>Principes et exceptions lors de la fourniture de donn\u00e9es personnelles \u00e0 des tiers sous le droit japonais<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2025\/05\/b220cbcc20a6fcb8115bfe357ec9f5f6.jpg\" alt=\"Principes et exceptions lors de la fourniture de donn\u00e9es personnelles \u00e0 des tiers sous le droit japonais\" class=\"wp-image-137683\" \/><\/figure>\n\n\n\n<p>Examinons d&#8217;abord les principes et les exceptions relatifs \u00e0 la fourniture de donn\u00e9es personnelles \u00e0 des tiers, tels qu&#8217;\u00e9tablis par la loi japonaise sur la protection des informations personnelles.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Principes_de_la_loi_sur_la_protection_des_donnees_personnelles_lors_de_la_fourniture_de_donnees_personnelles_a_des_tiers_au_Japon\"><\/span>Principes de la loi sur la protection des donn\u00e9es personnelles lors de la fourniture de donn\u00e9es personnelles \u00e0 des tiers au Japon<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Lorsqu&#8217;un op\u00e9rateur de traitement de donn\u00e9es personnelles utilise des services cloud, il est consid\u00e9r\u00e9 comme ayant &#8220;confi\u00e9 tout ou partie du traitement des donn\u00e9es personnelles&#8221; (selon l&#8217;article 27, paragraphe 5, point 1 de la loi sur la protection des donn\u00e9es personnelles), et doit donc, conform\u00e9ment \u00e0 l&#8217;article 25 de la m\u00eame loi, exercer une supervision n\u00e9cessaire et appropri\u00e9e sur le fournisseur de services cloud. C&#8217;est le principe de base sous le r\u00e9gime juridique japonais.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Qu%E2%80%99est-ce_que_l%E2%80%99exception_du_cloud_sous_le_droit_japonais\"><\/span>Qu&#8217;est-ce que l&#8217;exception du cloud sous le droit japonais ?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Cette exception est ce que l&#8217;on appelle l&#8217;\u00ab exception du cloud \u00bb.<\/p>\n\n\n\n<p>Les \u00ab fournisseurs de services cloud \u00bb dans ce contexte d\u00e9signent principalement les entreprises qui fournissent des infrastructures IT telles que le stockage et les serveurs (IaaS\/PaaS) et qui h\u00e9bergent et traitent les donn\u00e9es d&#8217;autres entreprises via Internet. Les fournisseurs suivants sont des exemples concrets :<\/p>\n\n\n\n<ul>\n<li>Amazon Web Services (AWS) : fourni par l&#8217;Am\u00e9ricain Amazon, largement adopt\u00e9 par de nombreuses entreprises japonaises.<\/li>\n\n\n\n<li>Microsoft Azure : service d&#8217;infrastructure cloud de Microsoft, avec de nombreux cas d&#8217;adoption par les agences gouvernementales.<\/li>\n\n\n\n<li>Google Cloud Platform (GCP) : fourni par Google, avec des points forts dans le traitement de l&#8217;IA et des big data.<\/li>\n<\/ul>\n\n\n\n<p>L&#8217;exception du cloud concerne les entreprises qui d\u00e9veloppent des syst\u00e8mes sur l&#8217;infrastructure cloud (IaaS ou PaaS) de ces fournisseurs de services cloud et qui fournissent ces syst\u00e8mes \u00e0 leurs clients sous forme de SaaS (Software as a Service), lorsqu&#8217;elles traitent des donn\u00e9es personnelles.<\/p>\n\n\n\n<p>Dans la FAQ sur les \u00ab lignes directrices concernant la loi sur la protection des informations personnelles \u00bb de la Commission de protection des informations personnelles, il est mentionn\u00e9 au point 7-53 ce qui suit concernant les fournisseurs de services cloud :<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<p>(Lorsque cela ne correspond pas \u00e0 un tiers) Q7-53 Si un op\u00e9rateur de traitement des informations personnelles utilise un syst\u00e8me d&#8217;information qui traite des donn\u00e9es \u00e9lectroniques contenant des donn\u00e9es personnelles, comme dans le cas d&#8217;un contrat de services cloud avec un prestataire externe, doit-il obtenir le \u00ab consentement de la personne concern\u00e9e \u00bb (Article 27, paragraphe 1 de la loi) comme s&#8217;il avait fourni des donn\u00e9es personnelles \u00e0 un tiers ? Ou bien, est-il consid\u00e9r\u00e9 comme ayant \u00ab confi\u00e9 tout ou partie du traitement des donn\u00e9es personnelles \u00bb (Article 27, paragraphe 5, point 1 de la loi) et doit-il superviser le fournisseur de services cloud conform\u00e9ment \u00e0 l&#8217;Article 25 de la loi ?<\/p>\n\n\n\n<p><br>A7-53 Il existe de nombreuses formes de services cloud, mais la question de savoir si l&#8217;utilisation d&#8217;un service cloud constitue une fourniture \u00e0 un tiers n\u00e9cessitant le consentement de la personne concern\u00e9e (Article 27, paragraphe 1) ou une d\u00e9l\u00e9gation (Article 27, paragraphe 5, point 1) d\u00e9pend non pas de la pr\u00e9sence de donn\u00e9es personnelles dans les donn\u00e9es \u00e9lectroniques stock\u00e9es, mais plut\u00f4t de savoir si le fournisseur de services cloud traite effectivement des donn\u00e9es personnelles. Si le fournisseur de services cloud n&#8217;est pas cens\u00e9 traiter les donn\u00e9es personnelles, alors l&#8217;op\u00e9rateur de traitement des informations personnelles n&#8217;est pas consid\u00e9r\u00e9 comme ayant fourni des donn\u00e9es personnelles et n&#8217;a donc pas besoin d&#8217;obtenir le consentement de la personne concern\u00e9e. De plus, dans le cas mentionn\u00e9 ci-dessus, comme il n&#8217;est pas consid\u00e9r\u00e9 comme ayant fourni des donn\u00e9es personnelles, cela ne correspond pas non plus \u00e0 une situation o\u00f9 \u00ab tout ou partie du traitement des donn\u00e9es personnelles est confi\u00e9&#8230; \u00e0 un tiers \u00bb (Article 27, paragraphe 5, point 1), et il n&#8217;y a donc pas d&#8217;obligation de superviser le fournisseur de services cloud conform\u00e9ment \u00e0 l&#8217;Article 25 de la loi. Les mesures de s\u00e9curit\u00e9 \u00e0 prendre par l&#8217;op\u00e9rateur de traitement des informations personnelles lorsque le fournisseur de services cloud n&#8217;est pas cens\u00e9 traiter les donn\u00e9es personnelles sont d\u00e9crites au point Q7-54. Un cas o\u00f9 le fournisseur de services cloud n&#8217;est pas cens\u00e9 traiter les donn\u00e9es personnelles pourrait \u00eatre, par exemple, lorsque les clauses contractuelles stipulent que le prestataire externe ne traitera pas les donn\u00e9es personnelles stock\u00e9es sur le serveur et que des contr\u00f4les d&#8217;acc\u00e8s appropri\u00e9s sont en place. Pour la relation avec l&#8217;Article 28 de la loi, voir Q12-3.<\/p>\n<cite><a href=\"https:\/\/www.ppc.go.jp\/personalinfo\/faq\/APPI_QA\/\" target=\"_blank\" rel=\"noreferrer noopener\">FAQ sur les lignes directrices concernant la loi sur la protection des informations personnelles[ja]<\/a><em>\uff5cCommission de protection des informations personnelles<\/em><\/cite><\/blockquote>\n\n\n\n<p>En d&#8217;autres termes, si l&#8217;utilisateur d&#8217;un service cloud remplit les conditions d&#8217;exception, il n&#8217;est pas n\u00e9cessaire de superviser le fournisseur de services cloud. Pour \u00eatre \u00e9ligible \u00e0 l&#8217;exception du cloud, les deux conditions suivantes doivent \u00eatre remplies :<\/p>\n\n\n\n<ul>\n<li>Les clauses contractuelles doivent stipuler que le prestataire externe ne traitera pas les donn\u00e9es personnelles stock\u00e9es sur le serveur.<\/li>\n\n\n\n<li>Des contr\u00f4les d&#8217;acc\u00e8s appropri\u00e9s doivent \u00eatre mis en place.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Orientation_administrative_a_l%E2%80%99encontre_de_la_societe_MK_System_sous_le_droit_japonais\"><\/span>Orientation administrative \u00e0 l&#8217;encontre de la soci\u00e9t\u00e9 MK System sous le droit japonais<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Le 25 mars de l&#8217;ann\u00e9e Reiwa 6 (2024), la Commission de Protection des Donn\u00e9es Personnelles du Japon a \u00e9mis une orientation \u00e0 la soci\u00e9t\u00e9 MK System en vertu de l&#8217;article 147 de la loi japonaise sur la protection des donn\u00e9es personnelles. Cet \u00e9v\u00e9nement, qui a entra\u00een\u00e9 une fuite d&#8217;informations affectant environ 7,5 millions de personnes, a incit\u00e9 la Commission \u00e0 publier une alerte intitul\u00e9e &#8220;Points d&#8217;attention pour les fournisseurs de services cloud en tant qu&#8217;op\u00e9rateurs de traitement des donn\u00e9es personnelles selon la loi sur la protection des donn\u00e9es personnelles&#8221;.<\/p>\n\n\n\n<p>R\u00e9f\u00e9rence : <a href=\"https:\/\/www.ppc.go.jp\/news\/careful_information\/240325_alert_cloud_service_provider\/\" target=\"_blank\" rel=\"noreferrer noopener\">Commission de Protection des Donn\u00e9es Personnelles | Points d&#8217;attention pour les fournisseurs de services cloud en tant qu&#8217;op\u00e9rateurs de traitement des donn\u00e9es personnelles selon la loi sur la protection des donn\u00e9es personnelles[ja]<\/a><\/p>\n\n\n\n<p>Examinons l&#8217;orientation administrative sp\u00e9cifique donn\u00e9e \u00e0 la soci\u00e9t\u00e9 MK System concernant l&#8217;exception de cloud dans la loi sur la protection des donn\u00e9es personnelles.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Resume_du_cas\"><\/span>R\u00e9sum\u00e9 du cas<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>La soci\u00e9t\u00e9 MK System Co., Ltd. a d\u00e9velopp\u00e9 un syst\u00e8me de soutien aux op\u00e9rations de s\u00e9curit\u00e9 sociale et de gestion du personnel en utilisant les serveurs de Tencent Cloud en Chine, et a fourni ses services \u00e0 des utilisateurs tels que des bureaux de consultants en s\u00e9curit\u00e9 sociale.<\/p>\n\n\n\n<p>En juin de l&#8217;ann\u00e9e Reiwa 5 (2023), le serveur a \u00e9t\u00e9 victime d&#8217;un acc\u00e8s non autoris\u00e9, et il y a eu un risque de fuite de donn\u00e9es personnelles g\u00e9r\u00e9es (telles que les noms, dates de naissance, sexe, adresses, num\u00e9ros de pension de base, num\u00e9ros d&#8217;assurance emploi et My Numbers des employ\u00e9s des entreprises et des \u00e9tablissements clients des consultants en s\u00e9curit\u00e9 sociale, etc.).<\/p>\n\n\n\n<p>Lorsque nous appliquons les relations entre ces trois entit\u00e9s aux directives, cela donne ce qui suit :<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td>Position selon les directives<\/td><td>Entreprise<\/td><td>Contenu<\/td><\/tr><tr><td>Commanditaire<\/td><td>Utilisateurs tels que les consultants en s\u00e9curit\u00e9 sociale (entreprises traitant des informations personnelles)<\/td><td>Responsables de la gestion des donn\u00e9es personnelles des clients (entreprises et individus)<\/td><\/tr><tr><td>Sous-traitant<\/td><td>MK System Co., Ltd.<\/td><td>Fournit un syst\u00e8me qui remplace et soutient les op\u00e9rations de consultants en s\u00e9curit\u00e9 sociale dans le cloud. Traite les donn\u00e9es personnelles selon les instructions des clients.<\/td><\/tr><tr><td>Sous-sous-traitant<\/td><td>Tencent Cloud (Chine)<\/td><td>Infrastructure cloud sous-trait\u00e9e par MK System. Peut correspondre \u00e0 une fourniture \u00e0 l&#8217;\u00e9tranger.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>La Commission de protection des informations personnelles a jug\u00e9 que les mesures de gestion de la s\u00e9curit\u00e9 technique de MK System \u00e9taient insuffisantes.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Contenu_de_l%E2%80%99orientation_administrative\"><\/span>Contenu de l&#8217;orientation administrative<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>La Commission de protection des donn\u00e9es personnelles a mis en \u0153uvre une orientation administrative comprenant des directives bas\u00e9es sur l&#8217;article 147 de la loi japonaise sur la protection des donn\u00e9es personnelles, ainsi que la collecte de rapports en vertu de l&#8217;article 146, paragraphe 1, de la m\u00eame loi.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Alerte_de_la_Commission_de_Protection_des_Donnees_Personnelles_au_Japon\"><\/span>Alerte de la Commission de Protection des Donn\u00e9es Personnelles au Japon<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>La Commission de Protection des Donn\u00e9es Personnelles au Japon a \u00e9galement publi\u00e9 une alerte concernant les points \u00e0 prendre en compte lorsque les fournisseurs de services cloud sont consid\u00e9r\u00e9s comme des op\u00e9rateurs de traitement de donn\u00e9es personnelles en vertu de la loi japonaise sur la protection des donn\u00e9es personnelles (<a href=\"https:\/\/www.ppc.go.jp\/news\/careful_information\/240325_alert_cloud_service_provider\/\" target=\"_blank\" rel=\"noreferrer noopener\">Points \u00e0 noter pour les fournisseurs de services cloud lorsqu&#8217;ils sont consid\u00e9r\u00e9s comme des op\u00e9rateurs de traitement de donn\u00e9es personnelles selon la loi sur la protection des donn\u00e9es personnelles (Alerte)[ja]<\/a>).<\/p>\n\n\n\n<p>Cette alerte s&#8217;adresse principalement aux utilisateurs de services cloud, leur rappelant de d\u00e9terminer si l&#8217;utilisation de ces services correspond \u00e0 une sous-traitance de la gestion des donn\u00e9es personnelles (selon l&#8217;article 27, paragraphe 5, point 1 de la loi sur la protection des donn\u00e9es personnelles). Si c&#8217;est le cas, les op\u00e9rateurs de traitement de donn\u00e9es personnelles qui utilisent les services cloud doivent exercer une supervision n\u00e9cessaire et appropri\u00e9e sur leurs sous-traitants.<\/p>\n\n\n\n<p>Concernant le syst\u00e8me MK, il a \u00e9t\u00e9 d\u00e9termin\u00e9 que l&#8217;exception cloud n&#8217;\u00e9tait pas applicable pour les trois raisons suivantes, et qu&#8217;il \u00e9tait donc n\u00e9cessaire d&#8217;exercer une supervision appropri\u00e9e, car il s&#8217;agit d&#8217;un op\u00e9rateur de traitement de donn\u00e9es personnelles manipulant des donn\u00e9es personnelles.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote\">\n<ul>\n<li>Les conditions d&#8217;utilisation stipulent que le fournisseur de services cloud peut effectuer des actions n\u00e9cessaires telles que la surveillance, l&#8217;analyse et l&#8217;enqu\u00eate sur les donn\u00e9es, etc., lorsqu&#8217;il le juge n\u00e9cessaire pour la maintenance et l&#8217;exploitation, et que, sauf dans certains cas, il ne peut pas utiliser ni divulguer les donn\u00e9es sur le syst\u00e8me \u00e0 des tiers sans autorisation, permettant ainsi au fournisseur de services cloud d&#8217;utiliser les donn\u00e9es personnelles des utilisateurs dans des cas sp\u00e9cifiques.<\/li>\n\n\n\n<li>Le fournisseur de services cloud d\u00e9tient un ID de maintenance et est en mesure d&#8217;acc\u00e9der aux donn\u00e9es personnelles des utilisateurs du service cloud, sans mesures de contr\u00f4le d&#8217;acc\u00e8s technique pour pr\u00e9venir le traitement.<\/li>\n\n\n\n<li>Apr\u00e8s avoir \u00e9chang\u00e9 une confirmation \u00e9crite avec l&#8217;utilisateur du service cloud, le fournisseur a effectivement trait\u00e9 les donn\u00e9es personnelles de l&#8217;utilisateur.<\/li>\n<\/ul>\n<cite><a href=\"https:\/\/www.ppc.go.jp\/files\/pdf\/240325_alert_cloud_service_provider.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">Points \u00e0 noter pour les fournisseurs de services cloud lorsqu&#8217;ils sont consid\u00e9r\u00e9s comme des op\u00e9rateurs de traitement de donn\u00e9es personnelles selon la loi sur la protection des donn\u00e9es personnelles (Alerte) | Commission de Protection des Donn\u00e9es Personnelles[ja]<\/a><br><\/cite><\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Points_de_vigilance_pour_les_fournisseurs_de_services_cloud_au_Japon\"><\/span>Points de vigilance pour les fournisseurs de services cloud au Japon<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith.law\/wp-content\/uploads\/2025\/05\/7d8b9299c2a15a801c04913ba0d80d99.jpg\" alt=\"Points de vigilance pour les fournisseurs de services cloud\" class=\"wp-image-137684\" \/><\/figure>\n\n\n\n<p>Compte tenu des probl\u00e8mes juridiques et des directives administratives et alertes que nous avons expliqu\u00e9s jusqu&#8217;\u00e0 pr\u00e9sent, quels sont les points que les fournisseurs de services cloud, tels que MK System mentionn\u00e9 dans l&#8217;exemple pr\u00e9c\u00e9dent, doivent-ils prendre en consid\u00e9ration ?<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Verifier_a_nouveau_si_les_conditions_d%E2%80%99exception_pour_le_cloud_sont_remplies\"><\/span>V\u00e9rifier \u00e0 nouveau si les conditions d&#8217;exception pour le cloud sont remplies<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Tout d&#8217;abord, il convient de v\u00e9rifier \u00e0 nouveau si les services que vous fournissez r\u00e9pondent aux conditions d&#8217;exception pour le cloud.<\/p>\n\n\n\n<p>Suite \u00e0 l&#8217;alerte \u00e9mise par la Commission de protection des donn\u00e9es personnelles, les entreprises utilisant des services cloud pourraient examiner si le fournisseur de services cloud respecte les conditions d&#8217;exception pour le cloud.<\/p>\n\n\n\n<p>Par cons\u00e9quent, les fournisseurs de services cloud doivent \u00e9galement s&#8217;assurer qu&#8217;ils r\u00e9pondent bien aux conditions d&#8217;exception pour le cloud.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Si_les_conditions_d%E2%80%99exception_pour_le_cloud_ne_sont_pas_remplies_il_faut_repondre_a_la_supervision_du_sous-traitant\"><\/span>Si les conditions d&#8217;exception pour le cloud ne sont pas remplies, il faut r\u00e9pondre \u00e0 la supervision du sous-traitant<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Si les conditions d&#8217;exception pour le cloud ne sont pas remplies, il faudra r\u00e9pondre \u00e0 la supervision des utilisateurs du service cloud (dans ce cas, les bureaux de conseillers en travail social et les entreprises utilisant les services fournis par MK System).<\/p>\n\n\n\n<p>La supervision par les utilisateurs du service cloud comprendra les actions suivantes, telles que d\u00e9crites dans les lignes directrices relatives \u00e0 la loi sur la protection des donn\u00e9es personnelles (Partie g\u00e9n\u00e9rale) 3-4-4 Supervision du sous-traitant (en relation avec l&#8217;article 25 de la loi) :<\/p>\n\n\n\n<ul>\n<li>S\u00e9lection appropri\u00e9e du sous-traitant : Il est n\u00e9cessaire de v\u00e9rifier que les mesures de gestion de la s\u00e9curit\u00e9 du sous-traitant sont \u00e9quivalentes \u00e0 celles exig\u00e9es par l&#8217;article 23 de la loi et par ces lignes directrices pour le donneur d&#8217;ordre.<\/li>\n\n\n\n<li>Conclusion d&#8217;un contrat de sous-traitance : Il est souhaitable d&#8217;\u00e9tablir un contrat qui permet au donneur d&#8217;ordre de comprendre de mani\u00e8re raisonnable la situation de traitement des donn\u00e9es personnelles confi\u00e9es.<\/li>\n\n\n\n<li>Compr\u00e9hension de la situation de traitement des donn\u00e9es personnelles chez le sous-traitant : \u00c9valuer de mani\u00e8re appropri\u00e9e par des audits r\u00e9guliers.<\/li>\n<\/ul>\n\n\n\n<p>Si les mesures de gestion de la s\u00e9curit\u00e9 du sous-traitant sont inappropri\u00e9es, il y a un risque que le contrat soit r\u00e9sili\u00e9, et le sous-traitant pourrait \u00eatre contraint de prendre les mesures de s\u00e9curit\u00e9 n\u00e9cessaires ou de se soumettre \u00e0 des audits r\u00e9guliers.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Resume_Consultez_un_avocat_pour_la_protection_des_donnees_personnelles_sur_les_services_cloud\"><\/span>R\u00e9sum\u00e9 : Consultez un avocat pour la protection des donn\u00e9es personnelles sur les services cloud<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Dans cet article, nous avons expliqu\u00e9 les risques encourus par les fournisseurs de services cloud qui ne respectent pas les exceptions relatives au cloud, en nous basant sur les directives administratives publi\u00e9es en mars 2025 (Reiwa 7) par la Commission de protection des donn\u00e9es personnelles du Japon.<\/p>\n\n\n\n<p>\u00c0 la suite d&#8217;une fuite d&#8217;informations dans ce cas pr\u00e9cis, la Commission de protection des donn\u00e9es personnelles a \u00e9mis un avertissement aux utilisateurs de services cloud. Ce message d&#8217;alerte concerne non seulement les utilisateurs de services cloud, mais aussi les entreprises fournissant ces services, qui doivent r\u00e9examiner les services qu&#8217;elles proposent et \u00eatre attentives aux charges potentielles qui pourraient survenir.<\/p>\n\n\n\n<p>Compte tenu de cette directive administrative, si vous avez des inqui\u00e9tudes concernant les risques auxquels votre entreprise pourrait \u00eatre expos\u00e9e et les mesures \u00e0 prendre, il est recommand\u00e9 de consulter un avocat sp\u00e9cialis\u00e9 dans la protection des donn\u00e9es personnelles sous le droit japonais.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Presentation_des_mesures_proposees_par_notre_cabinet\"><\/span>Pr\u00e9sentation des mesures propos\u00e9es par notre cabinet<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Le cabinet d&#8217;avocats Monolith est un cabinet juridique dot\u00e9 d&#8217;une riche exp\u00e9rience dans les domaines de l&#8217;IT, et plus particuli\u00e8rement d&#8217;Internet et du droit. \u00c0 une \u00e9poque o\u00f9 de nombreuses entreprises IT d\u00e9ploient leurs activit\u00e9s en utilisant des services cloud tels qu&#8217;AWS, la fuite d&#8217;informations personnelles est devenue un aspect incontournable de la gestion des risques dans la conduite des affaires. En cas de fuite d&#8217;informations personnelles, l&#8217;impact sur les activit\u00e9s d&#8217;une entreprise peut \u00eatre d\u00e9vastateur. Notre cabinet poss\u00e8de une expertise sp\u00e9cialis\u00e9e dans la pr\u00e9vention des fuites d&#8217;informations et les strat\u00e9gies de r\u00e9ponse. Vous trouverez plus de d\u00e9tails dans l&#8217;article ci-dessous.<\/p>\n\n\n\n<p>Domaines d&#8217;intervention du cabinet Monolith : <a href=\"https:\/\/monolith.law\/personalinformation\" target=\"_blank\" rel=\"noreferrer noopener\">Affaires juridiques li\u00e9es \u00e0 la protection des informations personnelles sous le droit japonais[ja]<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les entreprises traitant des donn\u00e9es personnelles sont soumises \u00e0 diverses r\u00e9glementations concernant la gestion de ces informations en vertu de la loi japonaise sur la protection des donn\u00e9es personne [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":72792,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[19,51],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/posts\/72641"}],"collection":[{"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/comments?post=72641"}],"version-history":[{"count":3,"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/posts\/72641\/revisions"}],"predecessor-version":[{"id":72793,"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/posts\/72641\/revisions\/72793"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/media\/72792"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/media?parent=72641"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/categories?post=72641"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/fr\/wp-json\/wp\/v2\/tags?post=72641"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}