Cet article est une contribution de Maître Jaesik Moon du cabinet Choi & Lee. Si vous souhaitez partager du contenu de qualité destiné aux startups sous forme de contribution, veuillez contacter l'équipe éditoriale de Venture Square à l'adresse editor@venturesquare.net.
À moins d'être une entreprise unipersonnelle, il existe une loi à laquelle toutes les entreprises ne peuvent se soustraire : la Loi sur la protection des renseignements personnels. Non seulement les entreprises B2C qui ciblent le grand public, mais aussi les entreprises B2B qui emploient des salariés doivent inévitablement obtenir les renseignements personnels de leurs employés. Elles sont donc soumises à la Loi sur la protection des renseignements personnels. Par conséquent, toute entreprise ne devrait jamais négliger cette loi.
La Loi sur la protection des renseignements personnels régit toutes les questions relatives à la collecte, au stockage, à l'utilisation, à la communication ou à la cession à des tiers, à la destruction, au traitement et à la protection des renseignements personnels. Cet article traite de la distinction entre « communication de renseignements personnels à des tiers » et « cession de traitement de renseignements personnels », qui peuvent poser problème lors du transfert de renseignements personnels à d'autres entreprises ou personnes. Ces deux notions sont similaires : les renseignements personnels collectés ne sont pas utilisés au sein de notre entreprise, mais transférés à une autre entreprise ou personne. Cependant, les exigences légales et les réglementations correspondantes diffèrent sensiblement selon la méthode applicable, et il est difficile de les distinguer en pratique.
1. Distinction entre « fourniture d'informations personnelles à des tiers » et « délégation de tâches de traitement d'informations personnelles »
La distinction entre « communication de renseignements personnels à un tiers » et « délégation de traitement de renseignements personnels » repose sur la question de savoir au bénéfice de qui les renseignements personnels sont traités. Dans le premier cas, les renseignements personnels sont traités au bénéfice du tiers destinataire du transfert, et dans le second, au bénéfice du donneur d'ordre qui les transfère. Notre Cour suprême définit clairement le premier cas comme « lorsque des renseignements personnels sont transférés à des fins de traitement et au bénéfice du destinataire des renseignements au-delà de la finalité initiale de la collecte et de l'utilisation des renseignements personnels », et le second comme « lorsque des renseignements personnels sont transférés à des fins de traitement et au bénéfice du donneur d'ordre liées à la finalité initiale de la collecte et de l'utilisation des renseignements personnels » (Décision de la Cour suprême 2016do13263, 7 avril 2017).
Bien que cela puisse paraître simple à dire, cela l'est plus difficile en pratique. Par exemple, qu'en est-il si une entreprise de centre commercial conclut un contrat avec un centre d'appels distinct pour répondre aux demandes de service client et transfère les informations personnelles de ces derniers ? En effet, le centre d'appels gère le service client de l'entreprise de centre commercial et transfère les informations personnelles pour son propre compte. Il ne s'agit donc pas d'une prestation de service à un tiers, mais d'une prestation de traitement. Si le centre d'appels reçoit les informations personnelles du client de l'entreprise de centre commercial pour promouvoir et commercialiser sa propre entreprise, il s'agit de son propre travail et de son propre bénéfice, il s'agit donc d'une prestation de service à un tiers.
La Cour suprême et la Commission de protection des renseignements personnels ont publié des lignes directrices expliquant que la fourniture et la délégation à des tiers doivent être distinguées en considérant de manière exhaustive le but et la méthode d'acquisition des renseignements personnels, si une compensation a été reçue, s'il y a une gestion et une supervision réelles du fiduciaire, l'impact sur la nécessité de protéger les renseignements personnels de la personne concernée ou de l'utilisateur, et qui a réellement besoin d'utiliser les renseignements personnels.
2. Comparaison entre « fourniture d'informations personnelles à des tiers » et « délégation de tâches de traitement d'informations personnelles »
Alors, si nous avons réussi à faire la distinction entre ces deux-là, voyons ce qu'il faut garder à l'esprit dans chaque cas.
Premièrement, les exigences de légalité du transfert de données personnelles. En cas de « communication de données personnelles à un tiers », les exigences des articles 17 et 18 de la loi sur la protection des données personnelles doivent être respectées. La légalité n'est garantie que si la personne concernée y consent, si une disposition légale particulière s'y applique ou si la sécurité publique l'exige. Toutefois, en cas de « traitement de données personnelles », les détails du traitement et du mandataire doivent être divulgués de manière facilement vérifiable, par exemple par publication sur un site web, dans un journal ou dans un lieu facilement visible, comme les locaux commerciaux (article 26, paragraphe 2, de la loi sur la protection des données personnelles). (Toutefois, en cas de traitement de données à caractère personnel, une notification individuelle à la personne concernée est requise).
Ensuite, comme la partie responsable des informations personnelles transférées est différente, il est important de confirmer si vous êtes la partie responsable de la gestion et de la supervision de ces informations. En cas de « délégation de traitement d'informations personnelles », comme expliqué ci-dessus, les informations personnelles étant confiées au dépositaire pour les besoins de son travail et de ses intérêts personnels, la responsabilité en incombe à ce dernier. En revanche, en cas de « communication d'informations personnelles à un tiers », le consentement de la personne concernée ou des exigences distinctes doivent être respectées. Le transfert étant effectué indépendamment du travail ou des intérêts du dépositaire, la responsabilité de la gestion et de la supervision des informations personnelles transférées incombe au tiers qui les a reçues. En conséquence, si la personne concernée subit un dommage en raison de la fuite des informations personnelles, etc., dans le cas de « fourniture d'informations personnelles à un tiers », cela variera en fonction de la responsabilité ou de la portée du fournisseur et du destinataire, mais dans le cas de « délégation de traitement des informations personnelles », le fiduciaire est en principe responsable, et si le fiduciaire est en faute, le fiduciaire peut demander une indemnisation au fiduciaire.
Enfin, en cas de « mandat de traitement de données personnelles », le mandat doit prendre la forme d'un document reprenant son contenu. Autrement dit, un contrat doit être établi entre le mandant et le fiduciaire. Ce contrat doit inclure tous les points suivants, conformément à l'article 26, paragraphe 1, de la loi sur la protection des données personnelles et à l'article 8, paragraphe 1, du décret d'application de la même loi : 1) Interdiction de traiter les données personnelles à d'autres fins que l'exécution du mandat ; 2) Questions relatives aux mesures de protection techniques et administratives ; 3) Finalité et étendue du mandat ; 4) Questions relatives aux restrictions de réaffectation ; 5) Questions relatives aux mesures de sécurité, telles que les restrictions d'accès ; 6) Questions relatives à la supervision, telles que l'inspection de l'état de gestion des données personnelles détenues ; et 7) Questions relatives à la responsabilité, telles que l'indemnisation des dommages en cas de manquement du fiduciaire à ses obligations. Dans le cas de « fourniture d'informations personnelles à un tiers », un contrat peut bien sûr être conclu entre le fournisseur et le destinataire aux fins d'un partenariat commercial, mais comme vu ci-dessus, le consentement de la personne concernée par les informations personnelles concernées ou des exigences distinctes doivent être respectées, et puisque la loi sur la protection des informations personnelles réglemente le destinataire, un contrat distinct tel que celui ci-dessus n'est pas nécessairement requis.
Suite à la récente fuite d'informations personnelles de SK Telecom, non seulement les dirigeants de l'entreprise, mais aussi les consommateurs semblent s'intéresser davantage aux données personnelles. Il est donc nécessaire d'accorder une plus grande attention aux mesures de conformité liées à la protection et à la gestion des données personnelles.
Récemment, en juillet de cette année, la Commission de protection des renseignements personnels a préparé un « Guide intégré sur le traitement des renseignements personnels » reprenant le contenu de la Loi sur la protection des renseignements personnels, entièrement révisée en 2023, et incluant le contenu de divers guides publiés précédemment. Le contenu de ce guide est également référencé dans cet article (le « Guide intégré sur le traitement des renseignements personnels » de la Commission de protection des renseignements personnels, 2025.7, peut être téléchargé sur le site web de la Commission ). Ce guide vous sera d'une grande utilité pour vos activités de traitement des renseignements personnels.
- Voir plus de colonnes connexes
You must be logged in to post a comment.