—

vu le traité sur l’Union européenne, le traité sur le fonctionnement de l’Union européenne et les articles 6, 7, 8, 11, 16, 47 et 52 de la charte des droits fondamentaux de l’Union européenne,

—

vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (1), et l’acquis de l’Union pertinent dans le domaine de la protection des données,

—

vu l’arrêt de la Cour de justice de l’Union européenne du 6 octobre 2015 dans l’affaire C-362/14, Maximillian Schrems/Data Protection Commissioner (2),

—

vu l’arrêt de la Cour de justice de l’Union européenne du 21 décembre 2016 dans les affaires jointes C-203/15, Tele2 Sverige AB/Post- och telestyrelsen, et C-698/15, Secretary of State for the Home Department/Tom Watson e.a. (3),

—

vu sa résolution du 12 décembre 2017 intitulée «Vers une stratégie pour le commerce numérique» (4),

—

vu le document adopté par le groupe de travail «Article 29» le 6 février 2018, intitulé «Critères de référence pour l’adéquation» (5), qui fournit à la Commission et au comité européen de la protection des données des orientations, conformément au règlement général sur la protection des données (RGPD), pour évaluer le degré de protection des données dans les pays tiers et les organisations internationales,

—

vu l’avis du comité européen de la protection des données du 5 décembre 2018 sur le projet de décision d’adéquation UE-Japon,

—

vu le projet de décision d’exécution de la Commission constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le Japon (COM(2018)XXXX),

—

vu les conclusions de la délégation ad hoc de la commission des libertés civiles, de la justice et des affaires intérieures qui s’est rendue au Japon en octobre 2017 dans le cadre des négociations d’adéquation pour y rencontrer les autorités et parties prenantes japonaises compétentes afin de débattre des éléments essentiels que la Commission examinera lorsqu’elle adoptera sa décision d’adéquation,

—

vu l’article 123, paragraphe 2, de son règlement intérieur,

A.

considérant que le RGPD est applicable depuis le 25 mai 2018; que l’article 45, paragraphe 2, du RGPD définit les éléments dont la Commission doit tenir compte lorsqu’elle évalue le caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation internationale;

B.

considérant le Commission doit, en particulier, prendre en considération l’état de droit, le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès des autorités publiques aux données à caractère personnel, de même que l’existence et le bon fonctionnement d’une ou de plusieurs autorités de contrôle indépendantes, ainsi que les engagements internationaux pris par le pays tiers ou l’organisation internationale;

C.

considérant que dans son arrêt du 6 octobre 2015 dans l’affaire C-362/14, Maximillian Schrems/Data Protection Commissioner, la Cour de justice de l’Union européenne a précisé qu’un niveau de protection adéquat dans un pays tiers doit s’entendre comme «substantiellement équivalent» à la protection garantie dans l’Union en vertu de la directive 95/46/CE lue à la lumière de la charte;

D.

considérant que le Japon est l’un des partenaires commerciaux les plus importants de l’Union européenne, et que les deux parties ont récemment conclu un accord de partenariat économique (APE) qui consacre leurs valeurs et principes communs tout en ménageant les sensibilités des deux parties; que la reconnaissance commune des droits fondamentaux, y compris le respect de la vie privée et la protection des données, est essentielle à la décision d’adéquation qui constituera la base juridique du transfert des données à caractère personnel de l’Union vers le Japon;

E.

considérant que la délégation ad hoc de la commission des libertés civiles, de la justice et des affaires intérieures qui s’est rendue au Japon a été sensibilisée à l’intérêt que portent les autorités japonaises et les parties prenantes non seulement à l’application du nouveau RGPD, mais aussi à la mise au point d’un mécanisme de transfert des données à caractère personnel robuste et de haut niveau entre l’Union et le Japon qui remplirait les conditions prévues par le cadre juridique de l’Union pour en matière de protection, entendue comme substantiellement équivalente à la protection garantie par la législation de l’Union en matière de protection de données;

F.

considérant que les transferts de données à caractère personnel entre l’Union et le Japon à des fins commerciales constituent un élément important des relations bilatérales, au vu de la numérisation toujours plus poussée de l’économie mondiale; que ces transferts devraient s’effectuer dans le strict respect du droit à la protection des données à caractère personnel et du droit au respect de la vie privée; que l’un des objectifs fondamentaux de l’Union est la protection des droits fondamentaux consacrés dans la charte des droits fondamentaux de l’Union européenne;

G.

considérant que l’Union et le Japon ont entamé, en janvier 2017, des discussions en vue de faciliter le transfert de données à caractère personnel à des fins commerciales au moyen du tout premier «constat mutuel d’adéquation»; considérant que, dans sa résolution du 12 décembre 2017 intitulée «Vers une stratégie pour le commerce numérique», le Parlement a explicitement reconnu que «les décisions relatives à l’adéquation […] représentent un mécanisme indispensable pour sécuriser les transferts de données depuis l’Union vers un pays tiers»;

H.

considérant que la décision constatant le niveau de protection adéquat des données à caractère personnel assuré par le Japon, si elle était adoptée, constituerait la première décision de cet ordre adoptée conformément aux nouvelles règles, plus strictes, du RGPD;

I.

considérant que le Japon a récemment modernisé et consolidé sa législation sur la protection des données pour l’aligner sur les normes internationales et notamment sur les garanties et les droits individuels offerts par le nouveau cadre législatif européen de protection des données; que le cadre juridique japonais en matière de protection des données comporte plusieurs volets, la loi sur la protection des informations personnelles étant l’acte législatif autour duquel s’organise le système;

J.

considérant que le gouvernement japonais a adopté, le 12 juin 2018, un décret qui délègue à la commission nationale de protection des informations personnelles, en sa qualité d’autorité compétente pour la gestion et la mise en application de la loi sur la protection des informations personnelles, le pouvoir de prendre les mesures nécessaires pour combler les différences entre les systèmes et opérations du Japon et du pays étranger concerné, en vertu de l’article 6 de cette loi, afin que les renseignements personnels reçus de ce pays soient traités de manière appropriée; que cette décision recouvre également le pouvoir d’établir des protections renforcées en adoptant des règles plus strictes qui complètent et excèdent celles énoncées dans la loi et le décret du gouvernement; qu’en vertu de cette décision, ces règles plus strictes seraient contraignantes pour les opérateurs économiques japonais et auraient force exécutoire;

K.

considérant que le projet de décision exécutive de la Commission constatant le niveau de protection adéquat des données à caractère personnel assuré par le Japon s’accompagne, à l’annexe I, des règles complémentaires adoptées par la commission de protection des informations personnelles le 15 juin 2018 au titre de l’article 6 de la loi sur la protection des informations personnelles, qui confère explicitement à la commission le pouvoir d’adopter des règles plus strictes, notamment dans le but de faciliter les transferts de données internationaux; que ces règles complémentaires n’ont pas encore été rendues publiques;

L.

considérant que l’objectif des règles complémentaires est a priori de combler les écarts entre le droit japonais et le droit de l’Union en matière de protection des données qui empêchent de garantir un traitement adéquat des données à caractère personnel transférées par l’Union vers le Japon en vertu d’une décision d’adéquation, en particulier en ce qui concerne les données sensibles (pour lesquelles des précautions sont nécessaires), les données à caractère personnel conservées, le fait de spécifier une finalité de traitement, les restrictions résultant d’une finalité de traitement, les limitations au transfert des données à un tiers dans un pays étranger et les données traitées de manière anonyme;

M.

considérant que les règles complémentaires seraient juridiquement contraignantes pour tout opérateur économique traitant des données à caractère personnel à qui de telles données sont transférées depuis l’Union en vertu d’une décision d’adéquation, et que cet opérateur économique devrait alors s’y plier ainsi qu’à tous les droits et devoirs y afférents, la commission de protection des informations personnelles et les juridictions japonaises étant compétentes pour contrôler l’application de ces règles;

N.

considérant qu’afin de garantir un niveau de protection des données à caractère personnel transférées depuis l’Union vers le Japon qui soit substantiellement équivalent, les règles complémentaires instaurent des garanties complémentaires applicables sur la base de conditions ou restrictions plus strictes au traitement des données à caractère personnel en provenance de l’Union, notamment en ce qui concerne les données à caractère personnel sensibles, les transferts ultérieurs, les données anonymes et la limitation des finalités;

O.

considérant que le cadre juridique japonais en matière de protection des données établit une distinction entre «informations personnelles» et «données à caractère personnel» et fait mention, dans certains cas, d’une catégorie spécifique de données à caractère personnel, les «données à caractère personnel conservées»;

P.

considérant qu’au sens de l’article 2, paragraphe 1, de la loi sur la protection des informations personnelles, le concept d’«informations personnelles» recouvre toute information sur une personne vivante qui permet de l’identifier; que la définition distingue deux catégories d’informations personnelles, le numéro personnel d’identification, d’une part, et les autres informations personnelles qui permettent d’identifier une personne précise, d’autre part; que la seconde catégorie comprend des informations qui, en elles-mêmes, ne permettent pas d’identifier la personne, mais qui sont susceptibles, lorsqu’elles sont promptement collationnées à d’autres informations, de permettre l’identification d’une personne précise;

Q.

considérant qu’au sens de l’article 2, paragraphe 4, de la loi sur la protection des informations personnelles, il est entendu par «données à caractère personnel» des informations personnelles constituant une base de données d’informations personnelles, etc.; qu’au sens de l’article 2, paragraphe 1, de ladite loi précise que les informations contenues dans ces bases de données font l’objet d’un agencement systématique comparable à la notion de «fichier» visée à l’article 2, paragraphe 1, du RGPD; qu’au sens de l’article 4, paragraphe 1, du RGPD, on entend par «données à caractère personnel» toute information concernant une personne physique identifiée ou identifiable; qu’est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; que, pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage;

R.

considérant qu’au sens de l’article 2, paragraphe 7, de la loi sur la protection des informations personnelles, il est entendu par «données à caractère personnel conservées» des données à caractère personnel qu’un opérateur économique chargé du traitement de ce type de données est autorisé à divulguer, corriger, compléter ou supprimer, cesser d’utiliser, effacer ou cesser de fournir en tant que tiers, et qui ne sont ni des données dont une décision du gouvernement détermine qu’elles sont susceptibles de nuire à l’intérêt public ou à un autre intérêt si leur présence ou absence vient à être connue, ni des données dont l’effacement est prévu après un délai inférieur à un an par décret ministériel; que les règles complémentaires alignent la notion de «données à caractère personnel conservées» sur celle de «données à caractère personnel» pour garantir que les limites aux droits individuels associés à la première ne s’appliquent pas aux données transférées depuis l’Union;

S.

considérant que la loi japonaise sur la protection des données qui fait l’objet du projet de décision d’exécution de la Commission exclut de son champ d’application divers secteurs lorsqu’ils traitent des données à caractère personnel à des fins particulières; que le projet de décision d’exécution ne s’appliquerait pas au transfert de données à caractère personnel depuis l’Union vers un destinataire relevant d’une des exceptions susmentionnées prévues par ladite loi japonaise;

T.

considérant qu’au sujet des transferts ultérieurs, du Japon vers un pays tiers, de données à caractère personnel provenant de l’Union, le projet de décision d’exécution exclut l’utilisation d’instruments de transfert qui ne crée pas de relation contraignante entre l’exportateur japonais de données et l’importateur de données dans le pays tiers et ne garantissent pas le niveau de protection requis; qu’un des instruments ainsi exclus serait par exemple le système des règles en matière de respect de la vie privée dans un contexte transfrontalier de la Coopération économique Asie-Pacifique (système APEC CBPR), auquel le Japon est partie, étant donné qu’en vertu de ce système, les garanties offertes ne sont pas le produit d’un accord créant une relation contraignante entre l’exportateur et l’importateur dans leur relation bilatérale et qu’en outre, la protection des données est nettement moins élevée que celle garantie par l’ensemble que constituent la loi japonaise sur la protection des informations personnelles et les règles complémentaires;

U.

considérant que, dans son avis du 5 décembre 2018, le comité européen de la protection des données évalue, sur la base des documents que la Commission a mis à sa disposition, si le cadre juridique japonais en matière de protection des données offre des garanties suffisantes assurant un niveau approprié de protection des données des personnes physiques; que le comité européen de la protection des données se félicite des efforts déployés par la Commission et la commission japonaise de protection des informations personnelles en vue d’un rapprochement des cadres juridiques du Japon et de l’Union pour faciliter le transfert de données à caractère personnel; que ledit comité reconnaît que les améliorations apportées par les règles complémentaires pour combler certaines différences entre les deux cadres sont très importantes et bien accueillies; que ledit comité constate qu’il subsiste un certain nombre de questions, telles que la protection des données à caractère personnel transférées depuis l’Union vers le Japon tout au long de leur cycle de vie, et qu’il recommande à la Commission de fournir des éléments de preuve et des explications supplémentaires en ce qui concerne les questions soulevées, et qu’il suit de près l’application effective des règles;

V.

considérant que le projet de décision d’exécution s’accompagne également, à l’annexe II, d’une lettre du ministère de la justice du 14 septembre 2018 qui fait référence à un document, qui a été élaboré par ce ministère et plusieurs autres ministères et organismes, sur la collecte et le traitement des informations personnelles par les pouvoirs publics japonais à des d’application du droit pénal et de sécurité nationale, qui passe en revue le cadre juridique applicable et fournit à la Commission des déclarations officielles, assurances et engagements signés au plus haut niveau dans les ministères et les organismes;

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

11.

12.

13.

14.

15.

16.

17.

18.

19.

20.

21.

22.

23.

24.

25.

26.

27.

28.

29.