La protection des données personnelles au Japon

données perso

Depuis 2003, le Japon s’est progressivement doté d’un cadre de protection des données personnelles, complété en 2018 dans la perspective des accords de reconnaissance mutuels conclus avec l’UE, ayant vocation à faciliter la circulation des données. Le Japon s’est également engagé dans de nombreux fora internationaux afin de promouvoir la coopération et l’échange de bonnes pratiques et a adhéré au système de protection des données de l’APEC. Le Japon cherche, dans le cadre de sa présidence du G20, à promouvoir à l'échelle internationale un concept de "libre circulation des données fondée sur la confiance" entre les acteurs.

1. La protection des données personnelles au Japon remonte à 2003

1.1. Adopté en 2003 et une première fois amendé en 2017, le texte fondateur au Japon est le Protection of Personal Information Act (APPI), qui vise à « protéger les droits et les intérêts des individus tout en considérant l’utilité des informations personnelles, notamment pour la création de nouvelles industries, la réalisation d’une société économique dynamique et une meilleure qualité de vie pour la population japonaise. » (Article 1). Il encadre, en ce sens, la collecte, l’utilisation et le transfert des données « personnelles », « personnelles sensibles » et « anonymisées ». En particulier, le consentement de l’usager est requis préalablement à la collecte de ses données, à nouveau, en cas de modification substantielle de leur utilisation, ainsi qu’en cas de transfert à un tiers ou vers l’étranger (à l’exception des pays faisant l’objet d’une reconnaissance d’adéquation avec le Japon). L’usager doit également être dûment tenu informé de leur aﬀectation. L’APPI a, par ailleurs, créé la Personal Information Protection Commission (PPC), chargée de superviser sa mise en œuvre, ainsi que celle des normes internationales de protection des données. Elle peut, le cas échéant, exiger des réformes de certains organismes (à la suite d’enquêtes internes), sous peine de sanction par les tribunaux - le non-respect des dispositions de l’APPI, en l'absence de réformes internes justifiées, expose les responsables à six mois de prison et/ou à des amendes allant de 2500€ à 3000€. Elle a également pour mission de reconnaitre l’adéquation des systèmes de protection de pays tiers (à l’instar de la Commission européenne dans le cadre de l’article 103 du RGPD).

1.2. Bien qu’ayant constitué un réel progrès, les amendements apportés à l’APPI en 2017, ne permettaient toujours pas de garantir un niveau de protection équivalent à celui du RGPD. En eﬀet, l’APPI retenait une définition restreinte des « données personnelles sensibles » (n’incluant pas l’orientation sexuelle et l’appartenance à un syndicat) et des données « anonymisées » (sans requérir l'irrévocabilité de l’anonymat), ou encore n’exigeait pas des entreprises de communiquer les informations personnelles d’un individu, à sa demande, si ces données étaient utilisées pendant moins de 6 mois.

2. Afin d’obtenir une décision d’adéquation avec l'Union européenne, la Commission de protection des informations personnelles (PPC) a fait récement converger la réglementation japonaise vers les standards de protection européens

2.1. Dans le cadre des négociations pour une reconnaissance d’adéquation mutuelle, la PPC a dû adopter, en septembre 2018, un ensemble de normes additionnelles afin de faire correspondre le système japonais au cadre de protection européen. Le gouvernement japonais a également dû assurer à la Commission européenne qu’il n’accéderait aux données personnelles que de manière justifiée et proportionnelle à l’ordre public. Pour autant, des diﬀérences subsistent entre les deux dispositifs. Ainsi, la Cour Suprême japonaise n’a pas reconnu les principes du droit à l’oubli (arrêt de juillet 2018), du droit au contrôle de ses propres informations ou encore la possibilité pour un utilisateur d’engager une procédure judiciaire afin d’avoir accès à ses informations personnelles. Ces décisions n’ont toutefois pas été considérées par la Commission européenne comme des obstacles majeurs à la protection des données. Par ailleurs, un plan gouvernemental publié le 25 avril 2019 à l’initiative de la PPC, prévoit une révision de l’APPI en 2020 sur les sujets suivants : la possibilité pour les utilisateurs de refuser l’utilisation de leurs données à des fins publicitaires ou encore l’instauration d'un droit à l’oubli (soit la suppression sur demande de ses informations personnelles par l’utilisateur). Des consultations, menées par la PPC, sont en cours sur ce sujet.

2.2. Depuis le 1er février 2019, les décisions d’adéquation respectives entre le Japon et l’Union européenne sont eﬀectives. Ces décisions permettent le transfert des données personnelles sans procédure d’autorisation individuelle. La collecte, l’utilisation et le transfert des données sont alors soumis à la réglementation nationale de protection des données. En cas de diﬀérend sur le territoire japonais, la PPC a des pouvoirs de médiation, d’enquêtes, et, le cas échéant, peut requérir de l’organisme traitant les données l’adoption de réformes internes. En dernier recours, la justice japonaise est également compétente pour juger de la bonne application des règles additionnelles d’adéquation adoptées en 2018.

3. Le Japon s’est engagé dans la promotion de la protection des données, y compris personnelles, dans le monde

3.1. En décembre 2016, le Japon a adopté le système CBPR (Cross Border Privacy Rules system) de l’APEC. Ce système est comparable à celui du Privacy Shield, établi entre l’Union Européenne et les Etats-Unis. Il permet le transfert transfrontalier de données personnelles, sans consentement additionnel de l’utilisateur, ni démarche administrative supplémentaire, aux entreprises certifiées. Cette certification est accordée par des autorités nationales indépendantes (le JIPDEC au Japon, le TRUSTE aux Etats-Unis) lorsqu’un niveau minimal de protection des données personnelles est garanti par l’entreprise.

3.2. Depuis 2016, le Japon s’est aussi investi dans la coopération internationale et l’échange de bonnes pratiques. La PPC a, par exemple, adhéré au GPEN -Global Privacy Enforcement Network créé en 2007 sur recommandation de l’OCDE-, dont les membres coopèrent afin d’améliorer la protection et le transfert transfrontalier des données (au moyen d’études par exemple). La PPC a également rejoint les APPA -Asia Pacific Privacy Authorities-, un groupe d’échanges entre institutions nationales de régulation, ayant pour objectif de former des partenariats et de formuler des recommandations. Elle a, enfin, adopté en 2016 un plan (« New Initiatives for Ensuring Smooth Cross-Border Personal Data Flows ») qui tendait déjà à renforcer le dialogue avec l’UE et les Etats-Unis.

3.3. Le Japon a, enfin, décidé de faire de la bonne gouvernance mondiale des données l’une des priorités de sa présidence du G20, en promouvant notamment le concept de Data Free Flow with Trust. Cette notion vise à encourager la circulation transfrontalière des données tout en garantissant leur protection suﬃsante, afin de développer une relation de confiance entre les diﬀérents acteurs (Etats, utilisateurs, entreprises). Le Japon espère aboutir à un accord de principe du G20 pour lancer une négociation dans le cadre de l'OMC, la "Osaka Track".