Analyses & Etudes
Réforme de la loi sur la protection des informations personnelles au Japon
La Chambre est heureuse d’ouvrir sa rubrique « Analyse » à un article aimablement fourni par Davy le Doussal et Seiro Hatana, avocats enregistrés au Barreau de Tokyo, TMI Associates - membre de la CCI France Japon.
L’évolution exponentielle des techniques de l’information conduit les gouvernements à modifier leurs lois sur la protection des données personnelles à un rythme accéléré.
Si le règlement général sur la protection des données applicable à partir du 25 mai 2018 dans l’Union européenne occupe les services « compliance » des sociétés japonaises, la réforme de la loi japonaise sur la protection des informations personnelles (Personal Information Protection Act) qui sera pleinement effective à compter du 30 mai 2017 ne doit, en ce qui la concerne, pas être ignorée des sociétés françaises opérant au Japon.
La loi japonaise sur la protection des informations personnelles est entrée en vigueur il y a une dizaine d’années environ (en 2005 exactement), mais les circonstances qui prévalaient lors de son adoption ont fortement évolué avec le développement des technologies de l’information et l’évolution du Big Data qui nécessitent le recueil et l’usage toujours plus importants d’informations personnelles, et ce dans un contexte de mondialisation qui entraîne des transferts par-delà les frontières de ces mêmes données.
Souhaitant prendre acte de ces évolutions, la loi japonaise sur les protections personnelles dans sa version modifiée apporte un certain nombre d’éléments nouveaux au cadre législatif et réglementaire actuellement en vigueur au Japon.
1) Un champ d’application élargi
1.1. Au niveau des informations concernées
1.1.1. Une définition plus claire des « informations personnelles »
La loi japonaise sur la protection des informations personnelles définit les « informations personnelles » comme étant « des informations concernant des personnes vivantes qui peuvent identifier des individus en particulier par leur nom, date de naissance ou autre description (y compris des informations pouvant être recoupées facilement avec d'autres informations et, par conséquent, servir à identifier des individus en particulier) », mais cette définition est critiquée au motif qu’elle ne précise pas suffisamment le champ exact qu’elle couvre.
Afin de répondre à cette critique, la réforme vient notamment confirmer que tous les « codes d’identification personnelle » qui peuvent être utilisés pour identifier une individu en particulier consistant en des lettres, numéros, et codes, en ce y compris les données biométriques telles que les empreintes digitales, les données de reconnaissance faciale, certaines données du génome, ainsi que les numéros d’identification individuels attribués à chaque résident japonais (MyNumber) doivent être considérés comme des « informations personnelles ».
1.1.2. Introduction du concept de « données sensibles »
La loi japonaise sur la protection des informations personnelles telle que modifiée introduit également le concept de « données sensibles » dont le contenu est proche de celui connu en Europe. Il s’agit là de données telles que les origines ethniques, la religion, le statut social, les antécédents médicaux, le casier judiciaire et certaines autres informations dont la collecte serait de nature à potentiellement porter atteinte ou causer une discrimination injustifiable.
Afin de procéder à la collecte de telles données sensibles, l’accord de la personne concernée doit être obtenu au préalable, sauf dans certains cas limités expressément prévus par la loi.
Les sociétés opérant dans le domaine de la santé, notamment les start-ups développant des appareils connectés, seront invitées à s’assurer de la conformité de leur pratique avec cette obligation.
1.1.3. Les données anonymisées
La loi japonaise sur les informations personnelles définit et fixe des règles pour l’utilisation des données dites anonymisées, c’est-à-dire des informations qui ont été traitées de manière à rendre impossible l’identification de la personne dont elles sont issues et qu’il est impossible de reconstituer à leur état d’origine, ces deux conditions étant cumulatives. Il ne sera, par ailleurs, pas non plus permis de comparer ces données anonymisées avec d’autres informations afin d’identifier les personnes concernées.
Dès lors que des informations personnelles ont été anonymisées, le consentement des personnes concernées n’est en principe pas requis pour la collecte et le traitement de leurs informations anonymisées, y compris en cas de transfert à une tierce partie, sous réserve du respect toutefois de certaines conditions de publicité concernant les informations qui sont anonymées et les mesures entourant leur transfert aux tierces parties.
Le recours aux données anonymisées est en particulier crucial pour les sociétés du Big Data dont les activités sont fondées sur les analyses des données personnelles.
1.2. Extension du champ des entreprises concernées
La loi japonaise sur les informations personnelles s’appliquait jusqu’à maintenant aux grandes entreprises qui géraient des bases de données contenant des informations personnelles concernant plus de 5.000 personnes n’importe quel jour sur les six derniers mois passés.
Désormais, son champ d’application s’étendra à tous les opérateurs économiques qui gèrent des bases de données contenant des informations personnelles, indépendamment du nombre de personnes concernées.
Les petites entreprises seront donc désormais soumises au respect de la loi japonaise sur la protection des informations personnelles.
2) Une prise en compte de la dimension internationale
2.1. Affirmation d’un champ d’application extraterritorial
Si la loi japonaise sur la protection des informations personnelles a naturellement vocation à s’appliquer aux opérateurs économiques établis sur le territoire japonais, elle sera également applicable à toute société qui, pour la fourniture de biens ou de services à une personne au Japon, acquiert et traite les informations personnelles relatives à une personne située sur le territoire japonais (ou les informations anonymisées issues des informations personnelles de cette personne).
Cet élément de la réforme pourrait en particulier concerner les sociétés françaises qui développent des activités de commerce en ligne à destination des consommateurs japonais.
2.2. Transferts en dehors du Japon
Le transfert d’informations personnelles relatives à des personnes situées au Japon est désormais encadré et autorisé si (i) la personne concernée a donné son accord, si (ii) la tierce personne récipiendaire des informations personnelles est située dans un Etat disposant d’un cadre législatif et règlement en matière de données personnelles équivalent à celui du Japon ou encore si (iii) cette tierce personne dispose d’un système interne de protection des données personnelles satisfaisant les critères fixés par la Commission pour la Protection des Informations Personnelles, l’équivalent japonais de la CNIL française.
3) Un contrôle plus strict
3.1. La mise en place d’une autorité unique de supervision et de contrôle
La loi japonaise sur les informations personnelles telle qu’amendée met en place une Commission pour la Protection des Informations Personnelles. Cette commission est un organisme indépendant qui a pour mission de surveiller et de superviser de manière globale le respect de la législation en vigueur. Elle succède à la Commission pour la Protection des Informations Spécifiques qui avait été instaurée en 2016 pour assurer le contrôle de l’utilisation du numéro d’identification individuel attribué à chaque résident japonais (MyNumber). Jusqu’à maintenant, le rôle de supervision du respect de la réglementation applicable en matière de données personnelles appartenait à chacun des ministères concernés dans leurs domaines de compétences respectifs, ce qui n’était pas sans causer des problèmes de cohérence dans l’application des textes.
La Commission pour la Protection des Informations Personnelles sera par ailleurs compétente en matière de médiation en cas de plainte liée à l’utilisation du numéro d’identification individuel attribué à chaque résident japonais (MyNumber).
3.2. Les sanctions
La Commission pour la Protection des Informations Personnelles pourra demander à toute personne qui collecte des informations personnelles des informations sur la collecte et les éventuels transferts de ces informations personnelles afin d’éviter tout usage inapproprié desdites informations. Sur la base de la loi sur la protection des informations personnelles, des sanctions pénales d’un an de prison avec travaux ou une amende pouvant atteindre 500.000 yens pourront désormais être prononcées en cas de fourniture ou d’usage inapproprié des informations personnelles contenues dans une base de données en vue de l’obtention d’un avantage injustifié.