Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Résolution sur l'adéquation de la protection des données à caractère personnel assurée par le Japon

2018/2979(RSP)

Le Parlement européen a adopté par 516 voix pour, 26 contre et 11 abstentions, une résolution déposée par la commission des libertés civiles, de la justice et des affaires intérieures sur l’adéquation de la protection des données à caractère personnel assurée par le Japon.

Rappelant que l’Union et le Japon ont entamé, en janvier 2017, des discussions en vue de faciliter le transfert de données à caractère personnel à des fins commerciales au moyen du tout premier «constat mutuel d’adéquation», le Parlement a pris acte de l’analyse détaillée fournie par la Commission dans son projet de décision en ce qui concerne les garanties applicables au traitement des données par des opérateurs économiques ainsi qu’à l’accès aux données par les pouvoirs publics japonais en particulier dans le domaine des services répressifs et de la sécurité nationale. Il a également pris acte de la préparation en parallèle, par le Japon, de la reconnaissance du niveau de protection des données à caractère personnel transférées depuis le Japon vers l’Union au titre de l’article 23 de la loi sur la protection des informations personnelles, ce qui aboutirait, à l’échelle mondiale, au tout premier constat mutuel d’adéquation et à la création de la plus grande zone de libre circulation de flux de données sécurisés.

Le Parlement a estimé qu’à la suite de l’adoption des modifications apportées à la loi sur la protection des informations personnelles, qui est entrée en vigueur le 30 mai 2017, et de l’adoption du RGPD en 2016, les systèmes japonais et européens de protection des données convergent fortement au regard des principes, des garanties et des droits individuels, ainsi que des mécanismes de surveillance et de contrôle de l’application. Il a attiré notamment l’attention sur la création d’une autorité de surveillance indépendante, la commission de protection des informations personnelles.

Cependant, les députés ont aussi noté l’avis du comité européen de la protection des données qui, dans son avis du 5 décembre 2018, recense plusieurs sujets de préoccupation, tels que la protection des données à caractère personnel transférées depuis l’Union vers le Japon tout au long de leur cycle de vie. Ils ont souligné plusieurs aspects du projet de décision nécessitant des clarifications, ou pour lesquels des préoccupations subsistent.

Clarifications nécessaires

  • le Parlement a noté que la définition du terme «données à caractère personnel» dans la loi japonaise ne recouvre pas les données «dont une décision du gouvernement a déterminé, au vu de leur méthode de traitement, qu’elles comportaient peu de risques de porter atteinte aux droits et intérêts d’une personne physique». Bien que ce principe s’applique dans des situations très limitées, il a invité la Commission à déterminer si ce principe fondé sur les risques est compatible avec celui de l’Union, en vertu duquel tout traitement de données à caractère personnel relève du droit sur la protection des données.
  • le Parlement a estimé qu’à la lumière du référentiel d’adéquation du comité européen de la protection des données, des précisions complémentaires sur le démarchage commercial étaient nécessaires, compte tenu de l’absence de dispositions spécifiques dans la loi japonaise, pour démontrer le niveau équivalent de protection des données personnelles au Japon.
  • en ce qui concerne la prise de décision et le profilage automatisés, le Parlement a noté que, contrairement à ce qui est prévu dans le droit de l’Union, ni la loi japonaise ni les lignes directrices ne prévoient de dispositions juridiques, et que seules certaines règles sectorielles régissent cette question, sans fournir de cadre juridique global et complet doté de garanties fondamentales solides qui protègent de la prise de décision et du profilage automatisés. Il a demandé à la Commission d’expliquer quelles sont exactement, à cet égard, les dispositions du cadre juridique japonais en matière de protection des données qui permettent de garantir une protection équivalente. Il a estimé que cette question était particulièrement pertinente à la lumière des cas récents de profilage dans l’affaire Facebook-Cambridge Analytica.
  • étant au courant des informations parues dans les médias selon lesquelles l’agence japonaise de renseignement ferait de la surveillance de masse indiscriminée, le Parlement s’est dit préoccupé par l’absence de toute mention, dans le projet de décision d’exécution, de cette surveillance de masse indiscriminée. Il a demandé à la Commission de fournir davantage d’informations sur la surveillance de masse au Japon et s’est dit fortement préoccupé par le risque que cette surveillance de masse ne puisse satisfaire aux critères permettant d’établir une équivalence substantielle définis par la Cour de justice dans son arrêt dans l’affaire Schrems (C-362/14). 

Conclusions

Les députés ont demandé à la Commission de fournir davantage d’explications et d’éléments de preuve en ce qui concerne les points susmentionnés, y compris ceux recensés par le comité européen de la protection des données, afin de prouver que le cadre juridique japonais en matière de protection des données garantit un niveau de protection suffisant qui soit substantiellement équivalent à celui garanti par le cadre juridique de l’Union en matière de protection des données.

En dernier lieu, les députés ont souligné l’importance de cette décision d’adéquation, susceptible de faire jurisprudence pour de futurs partenariats avec d’autres pays qui ont adopté un cadre juridique moderne en matière de protection des données, déclarant que la décision d’adéquation pourrait attirer l’attention du monde entier sur les avantages extrêmement concrets qu’offre la convergence vers les normes rigoureuses de l’Union en matière de protection des données.