Données personnelles : l’UE et le Japon ont leur Privacy Shield bilatéral

C’était l’ultime étape d’un processus officiellement amorcé voilà cinq ans : l’Union européenne et le Japon ont signé, ce mardi à Tokyo, un ambitieux accord de libre-échange* qui devrait entrer en application à l’horizon 2019.

Un dispositif complémentaire avait été entériné la veille pour encadrer les transferts de données personnelles entre les deux pôles économiques. Il doit prendre effet au cours de l’automne, sous réserve d’approbation par les États membres.

Le Japon et l’UE – à laquelle s’ajoutent l’Islande, le Liechtenstein et la Norvège – reconnaissent, par cette « décision d’adéquation », qu’ils apportent l’un l’autre suffisamment de garanties en matière de protection de ces données. Les entreprises pourront s’en prévaloir sans solliciter davantage d’autorisations.

Cette reconnaissance mutuelle est une première pour Bruxelles, qui n’avait jusqu’alors signé que des accords unilatéraux. Avec une douzaine de territoires en l’occurrence : Andorre, l’Argentine, les îles Féroé, Guernesey, Israël, Jersey, l’île de Man, la Nouvelle-Zélande, la Suisse, l’Uruguay… ainsi que le Canada et les États-Unis.

Ces deux derniers pays font l’objet de décisions d’adéquation « partielles ». Dans le premier cas, ne sont concernées que les entités privées relevant de la législation nationale (Personal Information Protection and Electronic Documents Act).

Dans le deuxième cas, un mécanisme d’autocertification a été mis en place : le Privacy Shield. Il implique, pour les entreprises désirant acheminer vers les États-Unis des données d’une entité européenne, de s’inscrire sur un registre tenu par l’administration américaine. Il leur faut dépendre des pouvoirs de contrôle et d’exécution de la Commission fédérale du commerce (FTC) ou du département du Transport (DoT), ce qui exclut entre autres les opérateurs télécoms.

Les engagements du Japon

En vigueur depuis le 1^er août 2016, le Privacy Shield succède au Safe Harbor, invalidé le 6 octobre 2015 par la Cour de justice de l’Union européenne. Il fait l’objet de critiques. Tout particulièrement de la part des Cnil européennes, mais pas que. Le Parlement est lui aussi monté au créneau, appelant la Commission à envisager une suspension si les États-Unis ne se conforment pas au règles de l’UE en matière de protection des données personnelles.

Les relations sont moins tendues avec le Japon, qui a récemment modernisé sa législation avec, à la clé, des garde-fous similaires à ceux que pose le RGPD.

Des engagements ont été pris en parallèle. L’extension de la définition des données « sensibles » en fait partie, tout comme le renforcement de l’exercice des droits d’accès et de rectification. Les conditions de transfert vers des pays tiers seront également durcies.

* Cet accord commercial vise notamment à une réduction des tarifs douaniers du Japon sur des produits agroalimentaires comme le vin et le fromage. Il comporte aussi un volet services, entre finance, e-commerce, télécoms et transport. Son entrée en application est prévue pour 2019.

Crédit photo : jutoart via Visualhunt.com / CC BY-NC-SA