UE - Japon : Vers une circulation plus libre des données personnelles !

Le 23 janvier 2019, la Commission Européenne a adopté une “décision d’adéquation” concernant le Japon. Le même jour, le Japon a également adopté sa propre décision d’adéquation concernant l’Union Européenne.

Ce faisant, le Japon et l’Union européenne ont reconnu comme “adéquat” leurs systèmes respectifs de protection des données personnelles. Ces deux décisions sont entrées en vigueur le jour même, ouvrant ainsi la possibilité d’une libre circulation des données personnelles sur la base de garanties fortes, aux fins de leur protection.

Suite à ces décisions, Mme Věra Jourová, commissaire chargée de la justice, des consommateurs et de l’égalité des gens, a déclaré ce qui suit :

Cette décision d'adéquation donne naissance au plus grand espace au monde de flux sécurisés de données. Les Européens bénéficieront de normes strictes en matière de protection de la vie privée lorsque leurs données seront transférées vers le Japon. Nos entreprises jouiront également d'un accès privilégié à un marché de 127 millions de consommateurs. Les investissements dans la protection de la vie privée sont payants. En outre, cet accord servira d'exemple aux futurs partenariats dans ce domaine stratégique et contribuera à édicter des normes mondiales [1].

 Ainsi, le but clairement affiché est l’établissement clair d’une protection des données au Japon comme dans l’Union Européenne, permettant ainsi des transferts de données libres entre ces deux régions. 

 Pour rappel, le Règlement Général sur la Protection des Données (“RGPD”) impose que :

Tout transfert de données à caractère personnel en dehors de l’Union Européenne doive respecter des conditions telles qu’elles permettent de garantir les droits et libertés des personnes concernées, et la protection de leurs données [2].

 Il y a ensuite plusieurs mécanismes qui sont considérés comme permettant assurer une niveau de protection suffisant lors d’un transfert.

 Celui qui nous intéresse est celui prévu à l’article 45 du RGPD. Il prévoit en effet qu’un transfert de données à caractère personnel vers un pays tiers peut avoir lieu «lorsque la Commission a constaté par voie de décision que le pays tiers (...) assure un niveau de protection adéquat». Cet article vient ajouter alors le coeur d’une telle décision : « un tel transfert ne nécessite pas d’autorisation spécifique» [3]

Ainsi, les transferts internationaux entre l’Union Européenne et le Japon sont rendus possibles sans la nécessité d’une autorisation spécifique à l’autorité de protection des données à caractère personnel du pays concerné. Cette affirmation est toutefois à nuancer, puisque l’article 13 du RGPD oblige cependant le responsable à informer les personnes physiques « de son intention d’effectuer des transferts vers des pays tiers et de l’existence d’une décision d’adéquation [4]». 

 Cette décision d’adéquation est donc lourde de conséquences. De ce fait, elle a pu prendre un peu de temps avant d’être prise. Cette décision remonte d’abord à des discussions entre l’Union Européenne et le Japon, qui rentre dans le cadre d’une stratégie poursuivie par l’UE dans la domaine de la protection des données à caractère personnel et des flux de données internationaux. C’est ce qui est mentionné dans la communication, en janvier 2017, intitulée « Échange et protection de données à caractère personnel à l’ère de la mondialisation [5]». 

 Il y a ensuite eu des pourparlers entre l’UE et le Japon concernant la possibilité d’une décision d’adéquation, qui ont abouti le 17 juillet 2018 [6], deux mois après l’entrée en vigueur du RGPD sur lequel repose désormais le principe d’adéquation. La procédure a été d’abord été lancée en septembre 2018, puis l’EDPB (Comité européen de protection des données, anciennement connu sous le nom du « Groupe de l’Article 29», ou « G29») a adopté son opinion sur la décision d’adéquation en relevant l’importance de cette décision. En effet, il s’agit de la première décision d’adéquation rendue sous l’égide du RGPD [7]. Ensuite, la décision a été adoptée par le Parlement Européen le 13 décembre 2018, et enfin par la Commission Européenne le 23 janvier 2019 [8].

Durant ce délai, le Japon a dû mettre en place des garanties supplémentaires, conformes aux normes européennes, afin d’assurer la protection des données à caractère personnel lorsqu’elles sont transférées de l’Union Européenne vers le Japon.

Les garanties mises en place par le Japon sont les suivantes [9]:

  •  Un ensemble de règles supplémentaires qui vont permettre de réduire certaines différences entre les deux systèmes de protection des données : l’on pense notamment aux différences notables concernant la protection des données sensibles (ces dernières n’étant pas identiques dans les deux systèmes [10]).

Ces règles vont également renforcer « l’exercice des droits individuels et les conditions selon lesquelles les données de l’Union Européenne peuvent être transférées ultérieurement depuis le Japon vers un pays tiers [11]».

  • Le gouvernement japonais a fourni des assurances à la Commission Européenne concernant l’accès aux données par les autorités publiques japonaises « aux fins des procédures pénales et de la sécurité nationale [12]». Il est à noter que ces utilisations de données seront évidemment limitée par les caractères nécessaire et proportionné de ces utilisations.

  • Enfin, il y a la mise en place d’un mécanisme de traitement des plaintes, afin notamment de permettre des enquêtes sur les plaintes des citoyens européennes concernant « l’accès à leurs données par les autorités publiques japonaises, et à les traiter [13]». 

 

Il est également important de noter que les décisions d’adéquations adoptées par l’Union Européenne et le Japon complètent l’accord de partenariat économique UE - Japon [14]. Ce dernier entrera en vigueur dans le mois de février 2019. 

Dans deux ans, un premier réexamen conjoint sera réalisé par l’Union Européenne et par le Japon afin de vérifier que les décisions d’adéquations sont respectées, mais surtout qu’elles garantissent une protection suffisante des données à caractère personnel dans les deux systèmes [15]. Ensuite, cet examen sera réalisé au moins une fois tous les quatre ans.

Article par Lolita Huber-Froment, Consultant juridique @ Gerrish Legal

Février 2019

Notes :

[1]http://europa.eu/rapid/press-release_IP-19-421_fr.htm

[2]https://www.digitemis.com/2019/01/25/transfert-donnees-personnelles-hors-ue-la-commission-europeenne-adopte-une-decision-dadequation-concernant-le-japon/

[3]https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre5#Article45

[4]https://www.nextinpact.com/brief/rgpd---la-commission-europeenne-rend-une-decision-d-adequation-concernant-le-japon-7472.htm

[5]http://europa.eu/rapid/press-release_MEMO-17-15_en.htm

[6]http://europa.eu/rapid/press-release_IP-18-4501_fr.htm

[7]https://cnpd.public.lu/fr/actualites/international/2019/Janvier2018/adequation-japon.html

[8]https://cnpd.public.lu/fr/actualites/international/2019/Janvier2018/adequation-japon.html

[9]http://europa.eu/rapid/press-release_IP-19-421_fr.htm

[10]PPC, Proposition des lignes directrices sur le traitement des données provenant de l’UE dans le cadre de la décision d’adéquation, p.4, 25 avr. 2018.

[11]http://europa.eu/rapid/press-release_IP-19-421_fr.htm

[12]Ibid

[13]Ibid

[14]http://europa.eu/rapid/press-release_IP-18-6749_fr.htm

[15]https://www.digitemis.com/2019/01/25/transfert-donnees-personnelles-hors-ue-la-commission-europeenne-adopte-une-decision-dadequation-concernant-le-japon/