Transferts de données à l’international : le Japon reconnu comme offrant un niveau de protection adéquat (eu)
Monde > Droit privé > Droit du numérique > Protection des données personnelles
Bénédicte Deleporte : Avocat au barreau de Paris
Mars 2019
Le 23 janvier 2019, la Commission européenne a d’adopté une décision d’adéquation avec le Japon. [1]
Le Japon a publié une décision réciproque d’adéquation pour l’Union européenne, ces deux décisions prenant effet ce même jour.
En pratique, cette décision d’adéquation avec le Japon signifie que les entreprises européennes pourront désormais transférer des données personnelles depuis l’Union européenne vers le Japon en application de l’article 45 du RGPD, sans autre formalité.
Les transferts de données personnelles à l’international et la notion d’adéquation
Depuis la directive du 24 octobre 1995 sur la protection des données, les organismes peuvent librement transférer des données personnelles d’un Etat membre à un autre au sein de l’Union européenne (sous réserve cependant de respecter la réglementation en matière de protection des données).
Les transferts de données vers des pays situés à l’extérieur de l’UE restent toutefois soumis à des règles strictes.
Ce principe reste applicable avec le RGPD.
Les organismes européens souhaitant transférer des données vers une société située en dehors de l’UE, et son cocontractant doivent soit signer les Clauses contractuelles types (CCT) de la Commission, soit signer un contrat ad hoc de transfert des données, validé par une autorité de contrôle.
Les partie peuvent également se soumettre à un code de conduite approuvé, assorti d’engagements contraignants des parties, ou mettre en oeuvre un mécanisme de certification approuvé, également assorti d’engagements contraignants. [2]
Enfin, si les deux entités appartiennent à un même groupe de sociétés, elles peuvent faire approuver des Règles d’entreprise contraignantes (Binding corporate rules - BCR).[3]
Certains pays tiers à l’UE peuvent cependant être reconnus comme offrant un niveau de protection adéquat aux données transférées depuis l’UE.
La reconnaissance de l’adéquation du niveau de protection est déterminée par la Commission européenne, sur la base des critères énoncés à l’article 45 du RGPD.
Ces critères vont au-delà de l’existence d’une réglementation locale sur la protection des données personnelles et portent sur, outre l’existence et le fonctionnement effectif d’une autorité de contrôle indépendante, sur l’état de droit dans le pays tiers et sur les engagements internationaux pris par ce pays.
Concernant l’état de droit, la Commission prend notamment en considération le respect des droits de l'homme et des libertés fondamentales, l'accès des autorités publiques aux données à caractère personnel, et les droits effectifs et opposables dont bénéficient les personnes concernées dans ce pays tiers. [4]
La procédure d’adéquation est organisée en quatre étapes :
1- une proposition d’adéquation émise par la Commission européenne,
2- un avis rendu par le Conseil européen de la protection des données (CEPD),
3- un accord des représentants des Etats membres, et 4- l’adoption de la décision d’adéquation par la Commission.
Comme nous le verrons pour la décision d’adéquation du Japon, cette procédure peut prendre plusieurs années avant que le pays soit reconnu comme offrant un niveau de protection adéquat.
En vertu de l’article 45 du RGPD, la décision d’adéquation signifie que les entreprises européennes peuvent librement transférer des données personnelles depuis l’Union européenne vers le pays reconnu comme adéquat, sans autre formalité, de la même manière que les transferts intra-européens.
Le Parlement européen et le Conseil peuvent demander à la Commission de modifier ou supprimer une décision d’adéquation en cas de non respect de ses engagements par le pays tiers.
Il existe par ailleurs un mécanisme de suivi, pour s’assurer du respect de la décision d’adéquation par le pays tiers. Par exemple, le Privacy Shield, mécanisme d’adéquation mis en place avec les Etats-Unis, est revu tous les ans.
[5] Ainsi, une décision d’adéquation peut être accordée par la Commission. Elle peut également être suspendue si les autorités du pays tiers ne se conforment pas, ou plus, à la décision.
Historique de la procédure d’adéquation du Japon
La première loi de protection des données japonaise date de 2005.
Une autorité de contrôle indépendante (Personal Information Protection Commission - PPC) a été créée en 2016. [6]
Une nouvelle loi de protection des données est entrée en vigueur le 30 mai 2017.
[7] La loi de 2017 a intégré de nouveaux concepts dans le droit japonais, tels que les notions de données sensibles et d’anonymisation des données, et prend globalement en compte le RGPD.
La Commission européenne, constatant que le droit japonais de la protection des données personnelles s’était rapproché des concepts du droit européen, a débuté les discussions d’adéquation avec le Japon il y a deux ans, en janvier 2017.
Un accord de principe a été conclu en juillet de la même année, en parallèle avec la conclusion de l’accord de partenariat économique entre l’Union européenne et le Japon.
Un projet de décision d’adéquation a ensuite été publié par la Commission en septembre 2018 ayant abouti à son adoption en janvier 2019.
Les principaux éléments de la décision d’adéquation concernant le Japon
La loi japonaise n’étant pas identique au RGPD, le Japon a dû mettre en place des “règles supplémentaires” afin d’atténuer les différences entre les deux systèmes de droit de la protection des données.
[8] Ces règles supplémentaires concernent plus particulièrement les données sensibles, l’exercice des droits individuels par les personnes concernées, et les conditions dans lesquelles les données personnelles en provenance de l’Union européenne peuvent ensuite être transférées vers un autre pays tiers à l’UE.
Ces règles s’appliqueront aux entreprises japonaises destinataires de données personnelles en provenance de l’UE. De son côté, le Japon n’a pas imposé de règles supplémentaires aux entreprises européennes qui importeraient des données en provenance du Japon.
La décision d’adéquation comporte également un engagement du gouvernement japonais relatif à l’accès aux données par les autorités publiques japonaises aux fins de procédures pénales et de la sécurité nationale.
L’accès et le traitement de données personnelles en provenance de l’UE dans ces domaines doivent être limités, proportionnés et soumis à une procédure de surveillance et de recours indépendants.
Enfin, la décision comprend un mécanisme de traitement des plaintes des personnes concernées européennes, géré et contrôlé par la PPC.
Il est prévu qu’un réexamen de l’application de la décision soit réalisé après deux ans, puis tous les quatre ans, pour évaluer son fonctionnement effectif, notamment concernant les règles supplémentaires.
Cette décision d’adéquation devrait ainsi faciliter les transferts de données vers le Japon, 3é puissance économique mondiale comptant 127 millions d’habitants.
Il s’agit de la première décision d’adéquation prise depuis l’entrée en application du RGPD, les précédentes décisions ayant été prises en application de la directive d’octobre 1995 sur la protection des données.
A ce jour, seuls 13 pays ou territoires ont été reconnus par la Commission européenne comme offrant un niveau de protection adéquat aux données personnelles.
[9] La Commission a cependant décidé d’étendre cette liste à de nouveaux pays. Cette dynamique viendrait en parallèle des conditions d’application extraterritoriale du RGPD d’une part, et du fait que plusieurs pays envisagent de faire évoluer leur droit de la protection des données personnelles pour se rapprocher des concepts du RGPD d’autre part.[10]
On notera enfin que des discussions d’adéquation sont également en cours depuis deux ans entre l’Union européenne et la Corée du Sud.
Des députés européens se sont rendus à Séoul fin octobre 2018 pour rencontrer les autorités coréennes, y compris la Commission des communications coréenne et l’Agence de l’internet et de la sécurité coréenne (KISA) afin d’avancer vers une décision d’adéquation.
Notes
- ↑ 1 Communiqué de presse de la Commission européenne du 23 janvier 2019
- ↑ 2 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), article 47
- ↑ 3 ) article 46, RGPD
- ↑ 4 article 45 2., RGPD
- ↑ 5 Voir notre article Relations UE-US – Le Privacy Shield renouvelé pour un an
- ↑ 6 https://www.ppc.go.jp/en/
- ↑ 7 ) Act on the protection of personal information : https://www.ppc.go.jp/en/legal/
- ↑ 8 https://ec.europa.eu/info/sites/info/files/annex_adequacy_decision_japan_2.pdf
- ↑ 9 Liste des pays offrant un niveau de protection adéquate : - Europe (hors UE) Andorre, Iles Faroe, Ile de Man, Guernesey, Jersey, Suisse - Amérique : Canada, Etats-Unis (Privacy Shield), Argentine, Uruguay - Asie : Israël, Japon - Océanie : Nouvelle Zélande
- ↑ 10 voir article 3 “Champ d’application territorial”, RGPD