Le Japon est un « pays adéquat » pour la protection des données personnelles
Publié le 24/01/2019 par Etienne Wery
La Commission européenne a adopté, ce 23 janvier, une décision d’adéquation concernant le Japon, ouvrant ainsi la voie à la libre circulation des données à caractère personnel entre les deux économies (un tiers du PIB mondial tout de même …). La décision entre en vigueur aujourd’hui, au même titre que la décision équivalente adoptée simultanément par le Japon.
L’accord commercial UE-Japon
L’accord de partenariat économique UE-Japon et de l’accord de partenariat stratégique UE-Japon, créent une zone ouverte d’échanges commerciaux englobant 635 millions de personnes et comptant pour presque un tiers du PIB mondial total. L’accord de partenariat stratégique est le tout premier accord‑cadre bilatéral entre l’UE et le Japon.
L’accord va en particulier:
- supprimer les droits sur de nombreux fromages comme le gouda et le cheddar (actuellement taxés à près de 30 %) ainsi que sur les exportations de vin (actuellement taxées à 15 % en moyenne);
- permettre à l’UE d’accroître sensiblement ses exportations de viande bovine et ouvrir des possibilités supplémentaires d’exportation de produits à base de porc;
- garantir la protection au Japon de plus de 200 indications géographiques (IG), des spécialités alimentaires traditionnelles européennes de qualité, ainsi que la protection d’une sélection d’indications géographiques japonaises dans l’UE;
- éliminer les droits de douane sur les produits industriels dans des secteurs où l’UE est très compétitive, comme les cosmétiques, les produits chimiques, le textile et l’habillement;
- garantir l’adhésion du Japon aux normes internationales en matière automobile, ce qui facilitera considérablement les exportations européennes de voitures vers le Japon;
- ouvrir les marchés de services, en particulier pour les services financiers, le commerce électronique, les télécommunications et les transports;
- garantir l’accès des entreprises de l’UE aux grands marchés publics dans 54 grandes villes japonaises; éliminer les obstacles aux marchés publics dans le secteur ferroviaire, important du point de vue économique.
L’accord contient un chapitre complet sur le commerce et le développement durable, fixe des normes (très rigoureuses selon la Commission européenne) en matière de travail, de sécurité ainsi que de protection de l’environnement et des consommateurs, renforce les engagements de l’UE et du Japon en matière de développement durable et de lutte contre le changement climatique et préserve pleinement les services publics.
Il comprend également un chapitre sur les petites et moyennes entreprises (PME), qui est particulièrement pertinent étant donné que 78 % des exportateurs actuels vers le Japon sont des entreprises de petite taille.
Et les données personnelles ?
On imagine facilement que pareil accord va engendrer un flux important de données personnelles.
Or, on connait la règle : il ne peut pas y avoir de transfert vers des pays tiers, à moins de mettre en place un mécanisme qui assure que nonobstant ce transfert, les données personnelles bénéficieront d’une protection équivalente.
Il y a différentes manières de garantir ce niveau de protection. L’une d’elles est la reconnaissance « officielle » du système juridique dudit pays par la Commission européenne, qui reconnait que le système dans son ensemble présente un niveau de protection adéquat. C’est ce que l’on appelle une décision d’adéquation.
Depuis le GDPR, c’est à la seule Commission européenne qu’il revient de constater que le pays tiers, un territoire ou, un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question, assurent un niveau de protection adéquat.
Les critères d’appréciation visent notamment : la primauté du droit, le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle (relevant par exemple de la sécurité publique ou nationale, de la défense, du droit pénal etc.), les règles en matière de protection des données et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou à une organisation internationale, qui sont respectées dans le pays tiers en question ou par l’organisation internationale en question, etc.
Conformément à la jurisprudence de l’Union, le Règlement introduit également comme critère l’existence et le fonctionnement effectif d’une autorité de contrôle indépendante disposant notamment de pouvoirs de sanction, d’assistance et de conseils à l’attention des personnes concernées dans l’exercice de leurs droits.
L’adéquation du pays de destination implique également d’examiner les engagements internationaux relatifs à la protection des données à caractère personnel pris par le pays tiers ou l’organisation internationale concernée, ainsi que sa participation à des systèmes multilatéraux ou régionaux en matière de protection de données personnelles.
La liste des pays reconnus « adéquats » n’est pas longue : à ce jour : Andorra, Argentina, Canada (en partie), Faroe Islands, Guernsey, Israel, Isle of Man, Jersey, New Zealand, Switzerland, Uruguay and the United States of America (en partie : Privacy Shield framework).
Le Japon vient de s’y ajouter.
La décision relative au Japon
Le Japon a récemment modernisé sa législation relative à la protection des données. Grâce à cette mesure, la Commission européenne estime que « la convergence entre les deux systèmes a progressé, comme en témoignent notamment la reconnaissance de la protection des données en tant que droit fondamental, l’adoption d’une série commune de garanties et de droits individuels ainsi que la supervision et l’application de la législation en matière de protection des données par une l’autorité indépendante de protection des données.
Le Japon a notamment mis en place des garanties supplémentaires permettant de s’assurer que les données transférées de l’Union vers le Japon bénéficient de garanties de protection conformes aux normes européennes. Ces garanties comprennent:
- Un ensemble de règles (règles supplémentaires) qui permettront de réduire certaines différences entre les deux systèmes de protection des données. Ces garanties supplémentaires renforceront, par exemple, la protection des données sensibles, l’exercice des droits individuels et les conditions selon lesquelles les données de l’UE peuvent être transférées ultérieurement depuis le Japon vers un autre pays tiers. Ces règles supplémentaires seront contraignantes pour les entreprises japonaises qui importent des données de l’UE et pourront être invoquées par l’autorité indépendante japonaise de protection des données et les juridictions japonaises.
- Le gouvernement japonais a également fourni des assurances à la Commission en ce qui concerne l’accès aux données par les autorités publiques japonaises aux fins des procédures pénales et de la sécurité nationale, garantissant que toute utilisation des données à caractère personnel à ces fins serait limitée à ce qui est nécessaire et proportionnée, et soumise à des mécanismes de surveillance et de recours indépendants.
- Un mécanisme de traitement des plaintes visant à enquêter sur les plaintes des Européens concernant l’accès à leurs données par les autorités publiques japonaises, et à les traiter. Ce nouveau mécanisme sera géré et contrôlé par l’autorité indépendante japonaise de protection des données.
C’est sur ces bases que la décision (disponible en annexe) a été adoptée.
La fin de l’histoire ?
On sait, depuis l’annulation du Safe Harbour par la justice européenne, que la CJUE se réserve de vérifier la bonne application des critères d’adéquation par la Commission, et qu’elle n’hésite pas à annuler la décision si elle estime que la Commission s’est montrée trop clémente.
Or, les fondamentaux de la loi japonaise en la matière sont sensiblement différents de ce qu’on pratique en Europe.
L’une des plus grandes différences tient aux définitions. Il y a en effet trois niveaux de protection différents :
- Un premier niveau, qui présente des garanties élémentaires, pour les « personal information ».
- Un niveau intermédiaire, avec des garanties supplémentaires, pour les « personal data ».
- Un niveau supérieur, avec des droits reconnus (dont : accès, rectification et opposition), pour les « retained personal data » (qui sont, dit succinctement, les « personal information » lorsqu’elles sont conservées plus de six mois).
La protection dépend donc de savoir si l’on est face à une « personal information », une « personal data » ou une « retained personal data », avec des conséquences parfois très lourdes : par exemple, l’exigence de base légale pour la collecte ne s’applique qu’à partir du niveau intermédiaire.
Les systèmes sont – et restent – fondamentalement différents, ce qui est du reste normal vu leurs traditions respectives. Ces disparités passeront-elles la rampe si le dossier arrive devant la CJUE ? Bien malin celui qui ose un pronostic.
Plus d’infos ?
Lire la décision d’adéquation (disponible en téléchargement ci-dessous)