Japon APPI : Conformité à la protection des informations personnelles

La loi japonaise sur la protection des informations personnelles (APPI — 個人情報の保護に関する法律) est l'un des cadres de protection des données les plus complets d'Asie. Significativement modifié en 2022 (à compter du 1er avril 2022) et soumis à un cycle de révision obligatoire de trois ans, l'APPI a progressivement convergé avec les normes mondiales de protection des données tout en conservant les approches réglementaires typiquement japonaises.

Les modifications de 2022 ont introduit un droit de demande de suppression, la divulgation obligatoire des informations sur les transferts transfrontaliers, des règles sur les informations traitées sous un pseudonyme et une application renforcée avec des sanctions allant jusqu'à 100 millions de yens (660 000 USD) pour les violations par les entreprises. La Commission japonaise de protection des informations personnelles (PPC) est devenue de plus en plus active, publiant des directives, menant des enquêtes et intentant des actions coercitives contre de grandes entreprises nationales et étrangères.

Points clés à retenir

• APPI s'applique aux opérateurs commerciaux traitant des informations personnelles au Japon ; l'application extraterritoriale couvre les opérateurs étrangers collectant des données sur des personnes au Japon
• Les règles de traitement des informations personnelles couvrent la collecte, l'utilisation, la fourniture à des tiers et la gestion de la sécurité.
• Les informations personnelles nécessitant un soin particulier (données sensibles) nécessitent un consentement préalable explicite pour la collecte
• Les transferts transfrontaliers sont restreints — autorisés à des tiers dans des pays bénéficiant d'une protection équivalente, ou avec consentement individuel explicite et divulgation d'informations
• Nouvelles dispositions 2022 : droit de demande de suppression/suspension, notification obligatoire d'opt-out pour la fourniture par des tiers par opt-out, règles de traitement pseudonyme
• Le PPC dispose de larges pouvoirs d'enquête et peut émettre des ordonnances de suspension d'activités.
• Le Japon et l'UE ont des décisions d'adéquation mutuelles — les entités conformes à l'APPI peuvent effectuer des transferts vers/depuis l'UE selon des règles simplifiées
• L'APPI est soumis à un examen obligatoire tous les trois ans — le prochain cycle d'examen s'alignera davantage sur les normes mondiales

---

Cadre et portée de l'APPI

Application territoriale

L'APPI s'applique à :

• Opérateurs commerciaux au Japon traitant des informations personnelles
• Opérateurs étrangers traitant des informations personnelles de personnes au Japon dans le cadre de la fourniture de biens ou de services (article 180 — application extraterritoriale ajoutée dans les amendements de 2022)

L'application extraterritoriale est significative : les entreprises étrangères ayant des utilisateurs japonais sont désormais directement soumises à l'APPI sans avoir de personne morale japonaise. Le PPC peut émettre des ordres aux opérateurs étrangers et fournir des informations aux autorités étrangères.

Qui est un « opérateur commercial de traitement d'informations personnelles » ?

Toute personne qui utilise une base de données d'informations personnelles à des fins commerciales. Auparavant, les opérateurs traitant les données de moins de 5 000 personnes étaient exemptés – l’amendement de 2015 a supprimé cette exemption pour les petits opérateurs. Toutes les entreprises utilisant des bases de données d’informations personnelles à des fins commerciales sont désormais couvertes.

Catégories clés :

• Informations personnelles (個人情報) : informations sur une personne vivante permettant de l'identifier par son nom, sa date de naissance ou toute autre description ; comprend des identifiants uniques (Mon numéro, numéro de passeport, numéro de permis de conduire, données biométriques)
• Données personnelles (個人データ) : Informations personnelles constituant une base de données
• Données personnelles conservées (保有個人データ) : Données personnelles sur lesquelles l'opérateur a le pouvoir de divulguer, de corriger, d'ajouter, de supprimer, d'arrêter l'utilisation, d'éliminer ou d'arrêter la fourniture par des tiers.

---

Obligations fondamentales de l'APPI

Spécification des finalités d'utilisation

L’article 17 exige que les opérateurs économiques précisent les finalités de l’utilisation des informations personnelles de manière aussi précise que possible. Lors de la collecte de renseignements personnels, la finalité doit être :

• Divulgué publiquement à l'avance (sur la politique de confidentialité)
• Ou clairement indiqué à la personne lors de la collecte
• Ou si collecté directement auprès du particulier par écrit, clairement indiqué dans le formulaire

Limitation des finalités : Les renseignements personnels ne doivent pas être utilisés au-delà des fins spécifiées sans le consentement de la personne.

Restrictions de collecte

Les informations personnelles doivent être collectées par des moyens justes et appropriés. Restrictions spécifiques :

• Impossible d'acquérir des informations personnelles par tromperie ou par d'autres moyens inappropriés
• Pour une collecte écrite directe, indiquer clairement la finalité de l'utilisation sur le formulaire
• Utilisation dans le cadre de l'usage spécifié ; le changement d’objectif nécessite une notification ou un consentement

Informations personnelles nécessitant des soins particuliers (要配慮個人情報) : La collecte nécessite un consentement explicite préalable. Cela comprend :

• Course
• Credo (religion ou croyances religieuses)
• Statut social (distinctions formelles du registre de famille pouvant conduire à une discrimination)
• Antécédents médicaux
• Casier judiciaire
• Statut de victime d'un crime
• Handicap physique ou mental
• Informations médicales sur les troubles et les blessures
• Résultats des examens pour les maladies génétiques

Mesures de gestion de la sécurité

L'article 23 exige que les opérateurs commerciaux prennent les mesures nécessaires et appropriées pour la gestion sécurisée des données personnelles afin d'éviter les fuites, les pertes ou les dommages. Les lignes directrices PPC précisent quatre catégories de mesures :

1. Mesures organisationnelles : Établir des politiques de base ; organiser les systèmes de gestion; comprendre l'état de traitement ; réagir à une fuite
2. Mesures relatives au personnel : Formation des employés ; exécuter des accords de confidentialité
3. Mesures physiques : Gérer les entrées/sorties des zones de traitement des données personnelles ; gérer les appareils ; prévenir le vol/la perte
4. Mesures techniques : Contrôle d'accès ; authentification d'accès ; mesures antivirus ; surveillance du système d'information

Restriction sur la fourniture par des tiers

L'article 27 restreint la fourniture de données personnelles à des tiers sans le consentement préalable de l'individu. Exceptions :

• Exigé par la loi
• Protection de la vie humaine, du corps ou des biens lorsque le consentement ne peut être obtenu
• Améliorer la santé publique là où le consentement ne peut être obtenu
• Coopérer avec les entités gouvernementales nationales ou locales
• Base de désinscription : la fourniture par un tiers sans consentement est autorisée si l'opérateur informe le PPC et donne aux individus la possibilité de se désinscrire (avec des exigences de divulgation importantes)

Fourniture par des tiers à des entités étrangères : soumise à des exigences supplémentaires (voir la section Transferts transfrontaliers).

---

Droits individuels

Les modifications de 2022 ont considérablement élargi les droits individuels :

Traitement des plaintes : les opérateurs commerciaux doivent s'efforcer de traiter de manière appropriée et rapide les plaintes concernant le traitement des informations personnelles. Des organismes tiers de règlement des litiges certifiés par le PPC peuvent proposer des solutions alternatives.

Exigences de réponse : APPI ne fixe pas de délai de réponse spécifique en jours calendaires (contrairement aux 30 jours du RGPD). Les opérateurs doivent répondre « sans délai » — Les directives du PPC indiquent que les réponses doivent généralement être fournies dans un délai maximum de 2 à 3 mois pour les demandes complexes.

---

Transferts de données transfrontaliers

L’article 28 restreint la fourniture de données personnelles à l’étranger. La fourniture par des tiers à des destinataires étrangers nécessite l'un des éléments suivants :

1. Consentement individuel : consentement préalable de la personne, après avoir fourni des informations spécifiques sur la destination et le système à l'étranger
2. Pays avec une protection équivalente : transfert vers un pays désigné par décret du cabinet PPC comme ayant un niveau de protection comparable (actuellement : pays de l'UE/EEE dans le cadre de l'accord d'adéquation Japon-UE)
3. Opérateur bénéficiant d'une protection équivalente : Le destinataire étranger a mis en œuvre des mesures de protection des données équivalentes (documentées par le biais d'un contrat, de règles d'entreprise contraignantes ou d'autres moyens)

Divulgation des informations requises pour le consentement : Pour les transferts fondés sur le consentement, l'opérateur doit fournir au préalable à la personne :

• Nom du pays étranger
• Le système de protection des informations personnelles dans ce pays
• Les mesures prises par le tiers pour le traitement des informations personnelles

La page d'informations sur le pays PPC fournit des informations de référence sur les systèmes de protection dans d'autres pays.

Adéquation Japon-UE : le Japon et l'UE ont conclu des accords d'adéquation mutuels : le Japon a une décision d'adéquation de la Commission européenne et le Japon reconnaît les États membres de l'UE comme bénéficiant d'une protection équivalente. Cela simplifie considérablement les flux de données Japon↔UE.

Traitement pseudonyme pour les transferts à l'étranger : les informations traitées de manière pseudonyme peuvent être fournies à des tiers à l'étranger sur une base de désinscription (plutôt que d'exiger un consentement), sous réserve d'une notification PPC et d'une possibilité de désinscription individuelle.

---

Informations de traitement pseudonymes (仮名加工情報)

Les modifications de 2021 ont introduit des informations de traitement pseudonymes (仮名加工情報) – une nouvelle catégorie entre les données personnelles et les informations traitées de manière anonyme. Exigences :

Création : Traiter les informations personnelles en remplaçant les informations d'identification (nom, date de naissance, adresses) par des codes spécifiques ou d'autres mesures qui rendent impossible l'identification de la personne sans d'autres informations.

Utilisations : les informations traitées de manière pseudonyme peuvent être utilisées à des fins d'analyse et de recherche internes sans consentement individuel, ce qui permet l'analyse des données tout en réduisant les risques liés à la vie privée.

Restrictions :

• Ne peut être fourni à des tiers (sauf opérateurs confiés et au sein de groupes de sociétés dans des conditions particulières)
• Ne peut pas être recoupé avec d'autres informations pour identifier des individus.
• Ne peut pas être utilisé pour contacter des individus

Sécurité : Doit être géré de manière aussi sûre que les données personnelles.

---

Informations traitées de manière anonyme (匿名加工情報)

Données véritablement anonymisées qui ne peuvent pas être réidentifiées même avec d’autres informations. Exigences :

• Suivre les normes d'anonymisation spécifiées par PPC (traitement irréversible comprenant : remplacement du nom/adresse, généralisation des données granulaires, suppression des valeurs aberrantes, suppression des informations de liaison)
• Publier les catégories d'informations anonymisées créées
• Peut être fourni à des tiers avec publication de catégories
• Les destinataires ne peuvent pas tenter de ré-identifier les informations

---

Notification de violation (Amendement 2022)

Les modifications de 2022 ont rendu la notification des violations obligatoire (auparavant fortement recommandée). Exigences:

Notification à PPC (Article 26) : requise en cas de fuite, de perte ou de dommage susceptible de nuire aux droits et intérêts individuels, notamment :

• Fuite impliquant des informations personnelles nécessitant des soins particuliers
• Fuite susceptible de provoquer des dommages matériels par utilisation illégale (informations financières/comptes)
• Fuite causée par un usage inapproprié (initié malveillant)
• Fuite affectant 1 000 individus ou plus

Chronologie :

• Rapport préliminaire : dans les 3 à 5 jours ouvrables suivant la prise de connaissance
• Rapport complet : dans les 30 jours (60 jours pour les violations internes malveillantes)

Notification individuelle : Obligatoire pour les mêmes événements de qualification — les individus doivent être informés sans délai.

Contenu de la notification (au PPC et aux particuliers) :

• Aperçu de l'incident
• Types et nombre de personnes concernées et de données personnelles
• Causes et circonstances
• S'il existe un risque de dommages secondaires
• Mesures prises et prévues

---

Application du PPC et sanctions

La Commission de protection des informations personnelles (PPC) (個人情報保護委員会) est l'autorité indépendante de protection des données du Japon. Créé en 2016, le PPC dispose de larges pouvoirs de contrôle.

Pouvoirs administratifs :

• Demandes de rapports/enquêtes des opérateurs économiques (article 146)
• Contrôles sur place
• Orientation et conseils (article 147)
• Recommandations (article 148)
• Ordonnances (article 148, paragraphe 2) — les opérateurs économiques doivent se conformer
• Publication du non-respect (article 148, paragraphe 3)

Pénalités :

• Violation de l'ordonnance PPC : jusqu'à 100 millions de ¥ d'amende pour les entreprises + 1 million de ¥ pour les particuliers
• Défaut de déclaration/fausse déclaration en réponse à une enquête PPC : jusqu'à ¥500 000
• Fourniture illégale d'une base de données tierce : jusqu'à 1 million de ¥ + 300 000 ¥ pour les particuliers + emprisonnement jusqu'à 1 an (pénal)
• Utilisation abusive d'informations personnelles à des fins de profit illégal : Peine pénale jusqu'à 1 an d'emprisonnement

Le PPC est de plus en plus actif : les actions récentes incluent des enquêtes sur de grandes entreprises japonaises, des conseils sur les obligations des opérateurs commerciaux étrangers et une coopération avec les DPA étrangères.

---

Liste de contrôle de conformité APPI

• Applicabilité APPI confirmée (opérations japonaises ou opérateur étranger avec des utilisateurs japonais)
• Politique de confidentialité publiée précisant toutes les finalités d'utilisation
• Objet de la collecte clairement précisé à chaque point de collecte
• Informations personnelles nécessitant des soins particuliers identifiées — consentement explicite préalable obtenu
• Mesures de gestion de la sécurité mises en œuvre (organisationnelles, personnelles, physiques, techniques)
• Évaluation de la mise à disposition par un tiers : consentement ou exception documenté pour chaque partage
• Notification de désinscription déposée auprès de PPC si vous utilisez une base de désinscription pour la fourniture par un tiers
• Mécanisme de transfert transfrontalier déterminé (consentement avec divulgation, ou protection équivalente) -[ ] Registres de mise à disposition par des tiers conservés (pour les demandes de divulgation)
• Procédures de réponse aux droits individuels documentées (divulgation, rectification, suspension, effacement)
• Mécanisme de traitement des plaintes établi
• Procédure de notification de violation documentée (3 à 5 jours préliminaires, 30 jours complets)
• Procédures de traitement pseudonymes/anonymes établies en cas d'utilisation
• Formation des employés sur les obligations APPI terminée
• Désignation de l'opérateur étranger confirmée le cas échéant (notification PPC)

---

Questions fréquemment posées

L'APPI s'applique-t-elle à mon entreprise étrangère ayant des utilisateurs japonais ?

Oui, depuis les modifications de 2022. L'article 180 de l'APPI applique l'APPI aux entreprises étrangères qui traitent des informations personnelles sur des personnes au Japon dans le cadre de la fourniture de biens ou de services. Cela inclut tout site Web, application ou service étranger collectant des données auprès des utilisateurs japonais. Les opérateurs étrangers doivent se conformer à toutes les dispositions APPI applicables et sont soumis à la surveillance du PPC. Le PPC peut émettre des commandes à des opérateurs étrangers et partager des informations avec les homologues étrangers du Japon dans le cadre d'accords d'assistance mutuelle.

Qu'est-ce que les « informations personnelles nécessitant des soins particuliers » et pourquoi sont-elles importantes ?

Les informations personnelles nécessitant un soin particulier (要配慮個人情報) sont l'équivalent des données sensibles d'APPI – des informations dont la collecte pourrait conduire à une discrimination ou à des préjugés injustes. Cela comprend la race, les croyances, le statut social, les antécédents médicaux, le casier judiciaire, le statut de handicap et le statut de victime d'un crime. L'obligation clé : vous devez obtenir un consentement explicite préalable avant de collecter l'une de ces catégories, même si vous auriez autrement des raisons de les collecter. Le consentement implicite, la base de refus et d'autres normes de consentement inférieures ne s'appliquent pas aux informations nécessitant des soins particuliers.

Comment fonctionnent les flux de données Japon-UE dans le cadre de l'accord d'adéquation mutuelle ?

Le Japon et l’UE ont établi l’adéquation mutuelle en 2019 – un accord bilatéral unique. La Commission européenne a adopté une décision d'adéquation pour le Japon, et le Japon a modifié l'APPI pour inclure les données personnelles de l'UE dans son cadre existant (avec des règles supplémentaires). Cela signifie : les transferts UE → Japon sont autorisés sans mécanismes supplémentaires (en vertu de la décision d'adéquation de la CE) ; Les transferts Japon → UE sont autorisés car le Japon traite les pays de l'UE comme des destinations de protection équivalentes. Les deux directions exigent toujours le respect de toutes les obligations APPI (pour le Japon → UE) et de toutes les obligations du RGPD de l'UE (pour l'UE → Japon). Les règles supplémentaires pour les données personnelles de l'UE au Japon incluent des protections supplémentaires correspondant aux exigences du RGPD.

Quels enregistrements l'APPI exige-t-elle pour la fourniture par des tiers ?

L'APPI exige que les opérateurs commerciaux créent des enregistrements lorsqu'ils fournissent des données personnelles à des tiers et lorsqu'ils reçoivent des données personnelles de tiers. Les enregistrements de fourniture doivent inclure : la date de fourniture, le nom et d'autres détails du tiers, les catégories de données personnelles fournies, les circonstances de la fourniture (base juridique) et les informations sur l'individu si elles ont été acquises auprès d'un tiers. Ces dossiers doivent être conservés pendant une période déterminée (3 ans à compter de leur création pour la plupart, 1 an pour les cas où les dossiers peuvent être partagés avec des individus sur demande). Les particuliers peuvent demander la divulgation de ces enregistrements de fourniture par des tiers.

Quand une DPIA ou une évaluation des facteurs relatifs à la vie privée est-elle requise dans le cadre de l'APPI ?

L'APPI n'impose pas spécifiquement d'évaluations d'impact sur la protection des données (DPIA) comme le fait le RGPD de l'UE. Cependant, le PPC a publié des lignes directrices encourageant les PIA volontaires pour les activités de traitement à haut risque, notamment : les nouveaux systèmes ou services impliquant une collecte de données personnelles à grande échelle, les projets de transfert transfrontalier, les nouvelles utilisations de données sensibles et le profilage ou la prise de décision automatisée. La réalisation d’ÉFVP est considérée comme une bonne pratique par le PPC et témoigne de la responsabilité organisationnelle. Pour les entreprises soumises à la fois à l'APPI et au RGPD, les exigences obligatoires en matière d'AIPD du RGPD s'appliqueront aux activités de traitement liées à l'UE.

---

Prochaines étapes

L'APPI du Japon continue d'évoluer au cours de son cycle d'examen obligatoire de trois ans — l'examen de 2025 devrait aligner davantage l'APPI sur les normes internationales. Construire un programme de conformité qui répond aux mises à jour continues, tout en satisfaisant aux obligations actuelles, nécessite à la fois une expertise technique et une connaissance juridique.

L'équipe d'ECOSIRE aide les entreprises souhaitant entrer et se développer sur le marché japonais à mettre en œuvre des pratiques de données conformes à l'APPI, des politiques de confidentialité pour les utilisateurs japonais et des mécanismes de transfert de données transfrontaliers.

Commencez : Services ECOSIRE

Avertissement : ce guide est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. APPI est soumis à des révisions et des modifications régulières. Consultez un conseiller juridique japonais qualifié pour obtenir des conseils spécifiques à votre organisation.