Publié le 24/01/2019 par - 3436 vues Show
La Commission européenne a adopté, ce 23 janvier, une décision d’adéquation concernant le Japon, ouvrant ainsi la voie à la libre circulation des données à caractère personnel entre les deux économies (un tiers du PIB mondial tout de même …). La décision entre en vigueur aujourd’hui, au même titre que la décision équivalente adoptée simultanément par le Japon. L’accord commercial UE-JaponL’accord de partenariat économique UE-Japon et de l’accord de partenariat stratégique UE-Japon, créent une zone ouverte d’échanges commerciaux englobant 635 millions de personnes et comptant pour presque un tiers du PIB mondial total. L’accord de partenariat stratégique est le tout premier accord‑cadre bilatéral entre l’UE et le Japon. L’accord va en particulier:
L’accord contient un chapitre complet sur le commerce et le développement durable, fixe des normes (très rigoureuses selon la Commission européenne) en matière de travail, de sécurité ainsi que de protection de l’environnement et des consommateurs, renforce les engagements de l’UE et du Japon en matière de développement durable et de lutte contre le changement climatique et préserve pleinement les services publics. Il comprend également un chapitre sur les petites et moyennes entreprises (PME), qui est particulièrement pertinent étant donné que 78 % des exportateurs actuels vers le Japon sont des entreprises de petite taille. Et les données personnelles ?On imagine facilement que pareil accord va engendrer un flux important de données personnelles. Or, on connait la règle : il ne peut pas y avoir de transfert vers des pays tiers, à moins de mettre en place un mécanisme qui assure que nonobstant ce transfert, les données personnelles bénéficieront d’une protection équivalente. Il y a différentes manières de garantir ce niveau de protection. L’une d’elles est la reconnaissance « officielle » du système juridique dudit pays par la Commission européenne, qui reconnait que le système dans son ensemble présente un niveau de protection adéquat. C’est ce que l’on appelle une décision d’adéquation. Depuis le GDPR, c’est à la seule Commission européenne qu’il revient de constater que le pays tiers, un territoire ou, un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question, assurent un niveau de protection adéquat. Les critères d’appréciation visent notamment : la primauté du droit, le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle (relevant par exemple de la sécurité publique ou nationale, de la défense, du droit pénal etc.), les règles en matière de protection des données et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou à une organisation internationale, qui sont respectées dans le pays tiers en question ou par l’organisation internationale en question, etc. Conformément à la jurisprudence de l’Union, le Règlement introduit également comme critère l’existence et le fonctionnement effectif d’une autorité de contrôle indépendante disposant notamment de pouvoirs de sanction, d’assistance et de conseils à l’attention des personnes concernées dans l’exercice de leurs droits. L’adéquation du pays de destination implique également d’examiner les engagements internationaux relatifs à la protection des données à caractère personnel pris par le pays tiers ou l’organisation internationale concernée, ainsi que sa participation à des systèmes multilatéraux ou régionaux en matière de protection de données personnelles. La liste des pays reconnus « adéquats » n’est pas longue : à ce jour : Andorra, Argentina, Canada (en partie), Faroe Islands, Guernsey, Israel, Isle of Man, Jersey, New Zealand, Switzerland, Uruguay and the United States of America (en partie : Privacy Shield framework). Le Japon vient de s’y ajouter. La décision relative au JaponLe Japon a récemment modernisé sa législation relative à la protection des données. Grâce à cette mesure, la Commission européenne estime que « la convergence entre les deux systèmes a progressé, comme en témoignent notamment la reconnaissance de la protection des données en tant que droit fondamental, l’adoption d’une série commune de garanties et de droits individuels ainsi que la supervision et l’application de la législation en matière de protection des données par une l’autorité indépendante de protection des données. Le Japon a notamment mis en place des garanties supplémentaires permettant de s’assurer que les données transférées de l’Union vers le Japon bénéficient de garanties de protection conformes aux normes européennes. Ces garanties comprennent:
C’est sur ces bases que la décision (disponible en annexe) a été adoptée. La fin de l’histoire ?On sait, depuis l’annulation du Safe Harbour par la justice européenne, que la CJUE se réserve de vérifier la bonne application des critères d’adéquation par la Commission, et qu’elle n’hésite pas à annuler la décision si elle estime que la Commission s’est montrée trop clémente. Or, les fondamentaux de la loi japonaise en la matière sont sensiblement différents de ce qu’on pratique en Europe. L’une des plus grandes différences tient aux définitions. Il y a en effet trois niveaux de protection différents :
La protection dépend donc de savoir si l’on est face à une « personal information », une « personal data » ou une « retained personal data », avec des conséquences parfois très lourdes : par exemple, l’exigence de base légale pour la collecte ne s’applique qu’à partir du niveau intermédiaire. Les systèmes sont – et restent – fondamentalement différents, ce qui est du reste normal vu leurs traditions respectives. Ces disparités passeront-elles la rampe si le dossier arrive devant la CJUE ? Bien malin celui qui ose un pronostic. Plus d’infos ?Lire la décision d’adéquation (disponible en téléchargement ci-dessous) Droit & Technologies Quels pays sont compatible avec la législation européenne RGPD ?La Commission européenne a reconnu le caractère adéquat du niveau de protection des pays suivants : - l'Andorre; - l'Argentine; - le Canada (pour les traitements soumis à la loi canadienne « Personal Information Protection and Electronic Documentation Act »); - les îles Féroé; - Guernesey; - l'Israël; - l'île de Man; - ...
EstLe RGPD est applicable car la société suisse offre des biens à des personnes dans l'Union.
Quelles autorités assurent la protection en France ?La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité de contrôle en France. Pour toute préoccupation relative à la protection des données, les entreprises françaises doivent généralement se tourner vers la CNIL.
Qui assure la protection des données personnelles en Belgique ?L'ABC garantit la sécurité (intégrité et confidentialité) de vos données personnelles. Elles sont protégées contre les accès et utilisations non autorisés. Toute personne travaillant à l'Autorité est soumise au secret professionnel.
|