En juin 2020, le gouvernement japonais a promulgué un amendement à l’APPI. La nouvelle version modifiée de l’APPI entrera en vigueur le 1er avril 2022. Comme d’autres lois sur la confidentialité des données dans le monde, l’APPI vise à protéger les données personnelles des citoyens japonais.
Avec une autre révision qui a eu lieu en 2015, il est essentiel pour les organisations utilisant des données personnelles au Japon de revoir leur compréhension et leurs pratiques afin d’assurer une conformité totale avec la dernière APPI.
Qu’est-ce que l’APPI ?
La LPPI, ou Loi sur la protection des renseignements personnels, a été adoptée pour la première fois en 2003. En effet, il s’agissait de l’une des premières réglementations en matière de protection des données en Asie. Plutôt que de remplacer la loi, comme d’autres législatures ont choisi de le faire, le Japon a révisé la loi en septembre 2015, à la suite de nombreuses violations de données très médiatisées.
La nouvelle refonte de 2015 a introduit la Commission de protection des informations personnelles (PIPC), une agence indépendante chargée de protéger les droits et les intérêts des individus en matière de confidentialité des données. Il encourage également une utilisation appropriée et efficace des données personnelles.
À l’instar d’autres législations sur la protection des données, telles que le RGPD, l’APPI s’applique à toutes les entreprises qui proposent des biens et des services au Japon, quel que soit leur emplacement réel. C’est ce qu’on appelle une portée extraterritoriale .
La version de 2003 de la loi ne s’appliquait qu’à une organisation ayant au moins 5 000 personnes identifiables dans sa base de données au cours des six mois précédents. Toutefois, des modifications récentes font maintenant en sorte que la Loi s’applique à toutes les organisations qui traitent des renseignements personnels à des fins commerciales, quel que soit le nombre de personnes.
Quoi de neuf dans la modification de 2020 ?
L’APPI modifié de 2020 n’entrera pas en vigueur avant le printemps 2022, mais cela ne signifie pas que les entreprises ne devraient pas se préparer.
Il y a quatre changements clés à prendre en compte :
1. Notification de violation de données
Les organisations sont tenues d’informer à la fois la Commission de protection des informations personnelles (PIPC) et les personnes concernées de toute violation de données susceptible de porter atteinte aux droits et intérêts des personnes concernées.
Selon l’amendement, cela comprend :
- Atteintes à la protection des données impliquant des renseignements personnels sensibles
- Violations de données avec risque de dommages matériels
- Violations de données probablement commises à des fins d’utilisation inappropriée, par exemple une cyberattaque
- Violations de données impliquant plus de 1 000 personnes concernées
2. Données pseudonymisées
Ici, les organisations qui traitent des données pseudonymisées n’auront pas besoin de se conformer à certaines obligations, comme les demandes de la personne concernée de cesser d’utiliser les données personnelles.
Pour pseudonymiser les données, les informations personnelles ne doivent pas contenir :
- Descriptions de personnes spécifiques, par exemple, nom ou âge
- Codes d’identification individuels
- Descriptions susceptibles de causer des dommages matériels
3. Fourniture de données à des tiers
Auparavant, la personne concernée doit être informée de la fourniture de données personnelles à des tiers. Désormais, en vertu de l’APPI modifié, les organisations doivent confirmer qu’un destinataire a reçu le consentement de la personne concernée avant le transfert.
Le consentement doit être documenté, ainsi que la date de fourniture, le nom et l’adresse du destinataire et les catégories de renseignements fournis. Ces registres doivent être conservés pendant trois ans.
4. Transferts internationaux
Avant d’effectuer un transfert transfrontalier à des tiers en dehors du Japon, la personne concernée doit être informée. Les informations fournies doivent inclure :
- Nom du pays dans lequel les données doivent être transférées
- Le système de protection des informations personnelles du pays de destination
- Mesures de protection des données à prendre par l’importateur de données
Lorsqu’une organisation (l’exportateur de données) effectue un transfert transfrontalier, elle doit :
- Procéder à une confirmation périodique de l’état des données personnelles et de l’état des systèmes affectant le traitement des données par l’importateur de données
- Évaluer les mesures d’atténuation en cas de problème
- Évaluer les mesures à prendre pour assurer le bon traitement continu des données
Quels sont les droits des citoyens japonais en vertu de l’APPI ?
L’APPI consacre plusieurs droits des citoyens concernant leurs données personnelles. Il s’agit notamment des éléments suivants :
- Le droit de demander à une organisation de cesser l’utilisation ou le transfert de ses données personnelles si l’organisation n’a plus de raison valable d’utiliser les données, si une violation de données s’est produite ou si le traitement de ces données enfreint les droits de la personne concernée.
- Droit d’accès aux données personnelles qu’une organisation souhaite supprimer dans un délai de six mois.
- Le droit de demander l’accès aux registres relatifs aux transferts de données à des tiers
- Le droit de demander à une organisation de corriger, de réviser, d’amender ou de supprimer les données personnelles relatives à la personne concernée
- Le droit de demander une copie de toute information personnelle relative à la personne concernée.
Sanctions en vertu de l’APPI
Selon l’APPI, les personnes concernées peuvent contacter le PIPC pour les informer d’une violation. Le PIPC contactera ensuite l’organisation et lui demandera de rectifier la situation. Le non-respect de cette consigne entraînera des actions et des pénalités ultérieures.
Actuellement, le PIPC peut imposer des sanctions allant jusqu’à 100 000 000 yens japonais (907 715 dollars) ou une sanction pénale pouvant aller jusqu’à 1 an de prison.
De plus, en vertu du droit privé d’action, les citoyens japonais peuvent poursuivre en justice les organisations qui violent leurs droits en matière de données.
Conclusion
Avec un récent pic de cybercriminalité et une série de violations de données très médiatisées, l’amendement à l’APPI met le Japon en conformité avec d’autres réglementations mondiales sur la confidentialité des données. Par exemple, des cas comme le « scandale Rikunabi », dans lequel les données personnelles de 7 893 étudiants inscrits ont été fournies à des entreprises clientes sans le consentement des étudiants, ne sont plus autorisés.
Au lieu de cela, les nouvelles directives strictes pénalisent lourdement l’inconduite dans le traitement des données, créant un ensemble de règles rigides que les organisations doivent suivre. Ces règles s’appliquent à toute organisation qui traite les données de citoyens japonais, quel que soit leur emplacement.
J’espère que vous êtes maintenant au courant des nouvelles exigences si vous ne vous êtes pas encore familiarisé avec l’APPI 2020 modifié. L’amendement exige le consentement de l’utilisateur final lors du transfert de données personnelles à des tiers.
Pour de plus amples informations, veuillez consulter le site web du PIPC.
Sources:
https://www.ppc.go.jp/en/
https://iapp.org/news/a/japan-updates-enforcement-rules-for-amended-appi/
https://www.endpointprotector.com/blog/data-protection-in-japan-appi/
https://www.dataguidance.com/notes/japan-data-protection-overview
https://caseguard.com/articles/japan-act-on-the-protection-of-personal-information-appi/