Nos données personnelles sont-elles protégées au Japon ?

Suite à l’affaire Snowden, le journaliste Fabrice Epelboin a qualifié la France de « colonie américaine » sur le plan technologique. Toute l’Union Européenne (UE) est dans le même cas, dans la mesure où les plus gros prestataires de services numériques sont américains. Consciente de son état, elle cherche depuis plusieurs années à diversifier ses partenaires, afin de sortir du joug d’outre-Atlantique. Ainsi, en janvier 2017, l’UE a entamé des négociations avec le Japon dans l’optique de créer la plus grande zone de flux de données du monde, entre les 446 millions d’Européens et les 127 millions de Japonais.

L’accord bipartite a été finalisé le 17 juillet 2018, avant d’être validé par la Commission Européenne le 24 janvier 2019. La condition sine qua non de cette validation était que le Japon adopta un régime de protection de données personnelles adéquat au RGPD, s’appliquant tant pour les Japonais que pour les Européens dont les données sont traitées par des opérateurs nippons. Tel fut le cas, et étudions ce régime plus en détail.

Le texte fondateur japonais en la matière, le Protection of Personal Information Act (APPI), a été adopté en 2003. L’APPI encadrait le traitement de données personnelles et a rendu obligatoire le consentement préalable des Japonais à ces traitements. En 2016, une autorité de contrôle, nommée la Personal Information Protection Commission (PPC), a été mise en place. En 2017, inspiré par les travaux préliminaires du RGPD, le Japon a amendé l’APPI en lui ajoutant des sanctions pécuniaires élevées en cas de non-respect des conditions de traitement et en instaurant la notion de données sensibles, avec son corollaire de la limitation de traitement. Néanmoins, ces amendements ont été jugés insuffisants pour être en adéquation avec le RGPD. Dès lors, la PPC a mis en place une série de réformes à compter de septembre 2018, qui ont permis au Japon d’atteindre cette adéquation, tout en conservant quelques spécificités.

En ce qui concerne les points de rapprochement, la loi nippone considère à présent l’orientation sexuelle et l’appartenance comme des données sensibles, ce qui n’était pas le cas avant. En cas d’anonymisation, l’anonymat est désormais irrévocable, ce qui, encore une fois, n’était pas possible auparavant. Les droits d’accès et de rectification furent établis. Le gouvernement nippon a également pris l’engagement de n’accéder aux données personnelles que de manière justifiée et proportionnelle à l’ordre public. Plus spécifiquement, les données personnelles en provenance de l’UE, leur traitement et accès doivent être limités, proportionnés, et faire l’objet de recours indépendants, portés devant la PPC. De son côté, le Japon n’a exigé aucune mesure particulière de l’UE pour le traitement des données japonaises, le RGPD étant suffisant.

Les points de divergence principaux sont que le Japon ne reconnaît ni le droit à l’oubli, ni le droit de rectification, et ne donne pas la possibilité à un client d’engager une procédure judiciaire afin d’avoir accès à ses informations personnelles. La Commission Européenne a toutefois estimé que ces divergences ne constituaient pas un obstacle majeur à l’adéquation.

Par son accord avec le Japon, l’UE a concrétisé sa volonté de s’affirmer comme le leader mondial de la protection des données. Elle a contraint un pays étranger à s’aligner sur le RGPD, afin de protéger ses internautes tout en leur donnant accès à pléthore de nouveaux services numériques. Continuant sur sa lancée d’ouverture commerciale avec l’Asie, l’UE a débuté des négociations avec la  Corée du Sud en octobre 2018 afin d’aboutir à un accord similaire.

EL MAMOUNI Habib

M2 Cyberjustice, Promotion 2019/2020

Laisser un commentaire