| Published date | 19 March 2019 |
| Official Gazette Publication | Gazzetta ufficiale dell’Unione europea, L 76, 19 marzo 2019,Journal officiel de l’Union européenne, L 76, 19 mars 2019 |
| 19.3.2019 | FR | Journal officiel de l'Union européenne | L 76/1 |
DÉCISION D’EXÉCUTION (UE) 2019/419 DE LA COMMISSION
du 23 janvier 2019
constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le Japon en vertu de la loi sur la protection des informations à caractère personnel
[notifiée sous le numéro C(2019) 304]
(Texte présentant de l'intérêt pour l'EEE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (1) (RGPD), et notamment son article 45, paragraphe 3,
après consultation du Contrôleur européen de la protection des données,
1. INTRODUCTION
| (1) | Le règlement (UE) 2016/679 fixe les règles applicables au transfert de données à caractère personnel, par des responsables du traitement ou des sous-traitants au sein de l’Union européenne, vers des pays tiers et à des organisations internationales, dans la mesure où ces transferts relèvent de son champ d’application. Les règles relatives aux transferts internationaux de données à caractère personnel sont définies au chapitre V dudit règlement, plus précisément aux articles 44 à 50. La circulation des données à caractère personnel en provenance ou à destination de pays non membres de l’Union européenne est nécessaire au développement de la coopération internationale et des échanges internationaux, tout en garantissant que le niveau de protection des données à caractère personnel au sein de l’Union européenne n’est pas compromis. |
| (2) | En vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679, la Commission peut décider, par voie d’actes d’exécution, qu’un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale, assure un niveau de protection adéquat. Dans cette circonstance, les transferts de données à caractère personnel vers ce pays tiers, ce territoire, ce secteur ou cette organisation internationale peuvent avoir lieu sans qu’il soit nécessaire d’obtenir une autre autorisation, comme prévu à l’article 45, paragraphe 1, et au considérant 103 du règlement. |
| (3) | Comme précisé à l’article 45, paragraphe 2, du règlement (UE) 2016/679, l’adoption d’une décision d’adéquation doit reposer sur une analyse approfondie de l’ordre juridique du pays tiers, en ce qui concerne tant les règles applicables aux importateurs de données que les limitations et les garanties en matière d’accès des autorités publiques aux données à caractère personnel. L’évaluation doit déterminer si le pays tiers en question assure un niveau de protection «essentiellement équivalent» à celui qui est garanti dans l’Union [considérant 104 du règlement (UE) 2016/679]. Comme l’a précisé la Cour de justice de l’Union européenne, un niveau de protection identique n’est pas requis (2). En particulier, les moyens auxquels ce pays tiers a recours peuvent être différents de ceux mis en œuvre au sein de l’Union pour autant qu’ils s’avèrent, en pratique, effectifs afin d’assurer un niveau de protection adéquat (3). Le principe d’adéquation n’exige donc pas que l’on reproduise à l’identique les règles de l’Union. Il s’agit plutôt de déterminer si le système étranger offre, dans son ensemble, par l’essence de ses droits en matière de protection de la vie privée et leur mise en œuvre effective, leur opposabilité et le contrôle de leur application, le niveau requis de protection (4). |
| (4) | La Commission a soigneusement analysé la législation et les pratiques japonaises. Sur la base des constatations exposées aux considérants 6 à 175, elle conclut que le Japon assure un niveau de protection adéquat des données à caractère personnel transférées aux organisations relevant du champ d’application de la loi sur la protection des informations à caractère personnel (5), sous réserve des conditions supplémentaires auxquelles la présente décision renvoie. Ces conditions sont définies dans les règles supplémentaires (annexe I) adoptées par la Commission de protection des informations à caractère personnel (PPC) (6) et les déclarations, assurances et engagements officiels formulés par le gouvernement japonais à l’intention de la Commission européenne (annexe II). |
| (5) | La présente décision a pour effet d’autoriser les transferts d’un responsable du traitement ou d’un sous-traitant de l’Espace économique européen (EEE) (7) vers de telles organisations au Japon sans qu’il soit nécessaire d’obtenir une autre autorisation. Elle n’a aucune incidence sur l’application directe des dispositions du règlement (UE) 2016/679 à ces organisations lorsque les conditions de son article 3 sont remplies. |
2. LES RÈGLES APPLICABLES AU TRAITEMENT DES DONNÉES PAR LES OPÉRATEURS ÉCONOMIQUES
2.1. Le cadre japonais de protection des données
| (6) | Le régime juridique régissant la protection de la vie privée et la protection des données au Japon trouve son origine dans la Constitution promulguée en 1946. |
| (7) | L’article 13 de la Constitution dispose ce qui suit: «Tous les citoyens sont respectés en tant qu’individus. Leur droit à la vie et à la liberté ainsi que la poursuite du bonheur sont, dans la mesure où ils n’interfèrent pas avec le bien-être public, la considération suprême dans la législation et dans d’autres affaires gouvernementales.» |
| (8) | Sur la base de cet article, la Cour suprême japonaise a précisé les droits des individus en matière de protection des informations à caractère personnel. Dans une décision de 1969, elle a reconnu le droit au respect de la vie privée et à la protection des données comme un droit constitutionnel (8). La Cour a notamment estimé que «chaque individu a la liberté d’empêcher que ses informations à caractère personnel soient divulguées à un tiers ou rendues publiques sans raison valable». En outre, dans un arrêt du 6 mars 2008 («Juki-Net») (9), la Cour suprême a considéré que «la liberté des citoyens dans le cadre de leur vie privée doit être protégée contre l’exercice de l’autorité publique et il peut être interprété que chaque individu a, entre autres libertés ayant trait à la vie privée, la liberté d’empêcher que ses informations à caractère personnel soient divulguées à un tiers ou rendues publiques sans raison valable» (10). |
| (9) | Le 30 mai 2003, le Japon a adopté une série de lois dans le domaine de la protection des données: | — | la loi sur la protection des informations à caractère personnel (APPI), |
| — | la loi sur la protection des informations à caractère personnel détenues par des instances administratives (APPIHAO), |
| — | la loi sur la protection des informations à caractère personnel détenues par des agences administratives intégrées (APPI-IAA). |
|
| (10) | Les deux dernières lois (modifiées en 2016) contiennent des dispositions applicables à la protection des informations à caractère personnel par les entités du secteur public. Le traitement des données relevant du champ d’application de ces lois ne fait pas l’objet du constat d’adéquation figurant dans la présente décision, qui est limité à la protection des informations à caractère personnel par des «opérateurs économiques traitant des informations à caractère personnel» (OETIP) au sens de l’APPI. |
| (11) | L’APPI a été réformée ces dernières années. L’APPI modifiée a été promulguée le 9 septembre 2015 et est entrée en vigueur le 30 mai 2017. La loi modifiée a introduit un certain nombre de nouvelles garanties et a renforcé les garanties existantes, rapprochant ainsi le système japonais de protection des données du système européen. Cela comprend, par exemple, une série de droits individuels opposables ou la mise en place d’une autorité de contrôle indépendante (PPC) chargée de la supervision et du contrôle de l’application de l’APPI. |
| (12) | Outre l’APPI, le traitement des informations à caractère personnel relevant du champ d’application de la présente décision est soumis à des modalités d’exécution adoptées sur la base de l’APPI. Il s’agit notamment de la modification de l’arrêté ministériel visant à faire appliquer la loi sur la protection des informations à caractère personnel du 5 octobre 2016, ainsi que desdites règles d’2application de la loi sur la protection des informations à caractère personnel adoptées par la PPC (11). Les deux corpus de règles sont juridiquement contraignants et exécutoires et sont entrés en vigueur en même temps que l’APPI modifiée. |
| (13) | Par ailleurs, le 28 octobre 2016, le cabinet du Japon (composé du Premier ministre et des ministres formant son gouvernement) a adopté une «politique de base» afin de «promouvoir de manière globale et intégrale des mesures relatives à la protection des informations à caractère personnel». Conformément à l’article 7 de l’APPI, la «politique de base» est adoptée sous la forme d’une décision du cabinet et comprend des orientations stratégiques sur l’application de l’APPI, adressées tant au gouvernement central qu’aux autorités locales. |
| (14) | Récemment, par une décision du cabinet adoptée le 12 juin 2018, le gouvernement japonais a modifié la «politique de base». Afin de faciliter les transferts internationaux de données, ladite décision du cabinet délègue à la PPC, en tant qu’autorité compétente en matière de gestion et de mise en œuvre de l’APPI, «le pouvoir de prendre les mesures nécessaires pour combler les divergences entre les systèmes et opérations du Japon et ceux du pays étranger |
...
Get this document and AI-powered insights with a free trial of vLex and Vincent AI
