Accord UE-Japon pour libérer les transferts de données personnelles

Sushield 11
Accès libre
image dediée
Crédits : maxkabakov/iStock/Thinkstock
Loi
Marc Rees

Le Japon et la Commission européenne ont bouclé les discussions en vue d'un accord sur l’échange de données personnelles. En substance, les deux entités s'apprêtent à considérer leur niveau de protection de la vie privée comme équivalent de part et d’autre, autorisant ainsi une fluidité des transferts.

En janvier 2017, la Commission européenne et le Japon posaient les premières pierres à cet accord. Une décision d’adéquation est une condition majeure à la libéralisation des données personnelles entre deux zones. Elle suppose que le niveau de protection offert par les législations respectives soit considéré comme équivalent.

Aujourd’hui, Haruhi Kumazawa, commissaire japonais à la protection des données personnelles, et Věra Jourová, commissaire européenne à la justice, ont finalisé ces pourparlers. « Cet accord  d'adéquation mutuelle créera la plus grande zone de transfert de données sécurisée au monde, basée sur un niveau élevé de protection des données personnelles » assurent les deux parties dans un communiqué commun

Adossé à un accord de libre échange économique, cet instrument est présenté comme gagnant-gagnant pour les citoyens européens et japonais. Ils « bénéficieront d'une forte protection de leurs données personnelles », tandis que « les entreprises bénéficieront de transferts de données sûrs et libres vers leurs économies respectives ».

« Les données sont le carburant de l'économie mondiale et cet accord permettra leur circulation entre nous en toute sécurité au profit de nos citoyens et de nos économies » a tenu à préciser la commissaire européenne. Cependant, tout n’est pas encore achevé.

Concrètement, l’APPI ou Japanese Act on the Protection of Personal Information (APPI) devra être réformé, s'agissant entre autres de la question des données sensibles, du transfert des données de l’UE vers des pays tiers depuis le Japon ou encore de l'exercice des droits individuels en matière d'accès et de rectification. L’accord ne sera opérationnel qu’à l’automne 2018, selon les estimations. 

Pour sa part, la Commission devra obtenir l’avis du comité européen de la protection des données, ou encore une décision d’adéquation du Collège des commissaires européens, avant d’espérer pourvoir adopter plus formellement sa décision finale.

L'encadrement prévu par le RGPD

Le RGPD, expliqué ligné par ligne dans notre trilogie, encadre ce régime. Lors de l'adoption d’un tel acte d'adéquation, « il y a lieu de tenir compte de critères clairs et objectifs, telles que les activités de traitement spécifiques et le champ d'application des normes juridiques applicables et de la législation en vigueur dans le pays tiers » explique par exemple le considérant 104.

Le pays tiers, ici le Japon, a l’obligation d’offrir des garanties « pour assurer un niveau adéquat de protection essentiellement équivalent à celui qui est garanti dans l'Union ».

L’article 45 exige au surplus un contrôle indépendant de la protection des données outre des mécanismes de coopération, sans oublier des droits effectifs pour les personnes physiques, en particulier celui de saisir la justice.

La Commission doit aussi réexaminer périodiquement sa décision. La petite remarque ne doit rien au hasard. Elle avait été rappelée par la justice européenne lors de l’invalidation, fin 2015, du Safe Harbor, le fameux accord de transfert des données signé avec les États-Unis en 2000.

L'exécutif communautaire avait alors bêtement oublié de le remettre en cause alors que, treize ans plus tard, éclataient au grand jour les révélations Snowden… Dans le cas présent, Bruxelles effectuera sa première analyse dans deux ans puis tous les quatre ans.

Une obligation d'information pour les responsables de traitement

Cet accord va avoir aussi des effets sur les obligations d’information que doivent fournir les responsables de traitement. L’article 13 oblige en effet ceux-ci à alerter les personnes concernées de leur intention d’effectuer des transferts vers des pays tiers et de l’existence d’une décision d’adéquation.

D’autres pays profitent déjà de ce régime comme Andorre, l’Argentine, Israël, la Nouvelle-Zélande ou encore la Suisse et l’Uruguay. Le cas du Canada et des États-Unis est plus particulier. Pour ce dernier, le Privacy Shield (né des cendres du Safe Harbor) est une décision d’adéquation partielle puisque seules les entreprises s'engageant à respecter ses principes contraignants bénéficient d’une telle liberté de transferts. 

Pour les autres pays, l’absence d’adéquation n’empêche pas le transfert de données puisque d’autres véhicules sont prévus par le RGPD comme les accords d’entreprises. Plus ponctuels, ils n’offrent cependant pas le même niveau de liberté que la décision attendue cet automne.


chargement
Chargement des commentaires...