COMMISSION EUROPÉENNE
Bruxelles, le 3.4.2023
COM(2023) 275 final
RAPPORT DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL
sur le premier examen du fonctionnement de la décision d’adéquation pour le Japon
{SWD(2023) 75 final}
EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Need more search options? Use the
Advanced search
You are here
Document 52023DC0275
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the first review of the functioning of the adequacy decision for Japan
RAPPORT DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL sur le premier examen du fonctionnement de la décision d’adéquation pour le Japon
RAPPORT DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL sur le premier examen du fonctionnement de la décision d’adéquation pour le Japon
COM/2023/275 final
Language
HTML
DOC
PDF
RAPPORT DE LA COMMISSION AU PARLEMENT EUROPÉEN ET AU CONSEIL
sur le premier examen du fonctionnement de la décision d’adéquation pour le Japon
1.LE PREMIER EXAMEN — CONTEXTE, PRÉPARATION ET PROCESSUS
Le 23 janvier 2019, la Commission européenne a adopté une décision en vertu de l’article 45 du règlement (UE) 2016/679 (RGPD) 1 dans laquelle elle a constaté que le Japon assurait un niveau de protection adéquat des données à caractère personnel transférées de l’Union européenne vers des entreprises traitant des informations à caractère personnel 2 au Japon 3 . En conséquence, les transferts de données de l’UE vers des opérateurs privés situés au Japon peuvent avoir lieu sans exigences supplémentaires 4 .
La décision d’adéquation de la Commission couvre la loi japonaise sur la protection des informations à caractère personnel (APPI), telle que complétée par les règles supplémentaires qui ont été mises en place pour combler certaines différences pertinentes entre l’APPI et le RGPD 5 . Ces garanties supplémentaires renforcent, par exemple, la protection des données sensibles (en élargissant les catégories d’informations à caractère personnel considérées comme des données sensibles), l’exercice des droits individuels (en précisant que les droits individuels peuvent également être exercés pour des données à caractère personnel détenues pendant une période inférieure à six mois, ce qui n’était pas le cas à l’époque dans le cadre de l’APPI) 6 et les conditions dans lesquelles les données de l’UE peuvent faire l’objet d’un transfert («ultérieur») du Japon vers un autre pays tiers 7 . Les règles supplémentaires revêtent un caractère contraignant à l’égard des opérateurs japonais et peuvent être appliquées par l’autorité indépendante chargée de la protection des données, à savoir la Commission de protection des informations à caractère personnel (PPC), ou directement par des citoyens de l’UE devant les juridictions japonaises 8 .
En outre, le gouvernement japonais a fourni des déclarations officielles, des assurances et des engagements à la Commission en ce qui concerne les limitations et les garanties relatives à l’accès aux données à caractère personnel et leur utilisation par les autorités publiques japonaises à des fins répressives et à des fins de sécurité nationale, en précisant que tout traitement de ce type serait limité à ce qui est nécessaire et proportionné et soumis à un contrôle indépendant et à des mécanismes de recours efficaces 9 . Les mécanismes de recours dans ce domaine comprennent une procédure spécifique de règlement des litiges gérée et contrôlée par la CPP, qui a été créée pour les citoyens de l’UE dont les données à caractère personnel sont transférées sur la base de la décision d’adéquation 10 .
Au moment de l’adoption de la décision d’adéquation de la Commission, le Japon a adopté une décision équivalente pour les transferts de données vers l’UE, qui a créé le plus grand espace au monde de flux de données libres fondé sur un niveau élevé de protection des données 11 . Ces décisions d’adéquation mutuelles complètent et amplifient les avantages de l’accord de partenariat économique (APE) UE-Japon, entré en vigueur en février 2019 12 , et de l’accord de partenariat stratégique 13 qui a été négocié parallèlement à l’APE. Les entreprises des deux parties bénéficient de la synergie entre les décisions d’adéquation mutuelles et l’APE, étant donné que la possibilité de libre circulation des données entre l’UE et le Japon facilite encore les échanges commerciaux et crée d’importants débouchés commerciaux grâce à un accès privilégié au marché de l’autre partie. Cet accord constitue également un précédent important dans la mesure où il met en évidence qu’à l’ère numérique, la promotion de normes élevées en matière de respect de la vie privée et la facilitation du commerce international peuvent et doivent aller de pair.
Depuis l’adoption des décisions d’adéquation, l’UE et le Japon, en tant que partenaires partageant la même optique, ont encore intensifié leur coopération sur les questions numériques en général, et plus particulièrement sur les flux de donnée. Au niveau bilatéral, cela se reflète notamment dans la conclusion du partenariat numérique en mai 2022 14 et le lancement, en octobre 2022, de négociations visant à inclure des règles en matière de flux transfrontières de données dans l’APE 15 , ce qui renforcera encore la synergie avec l’accord d’adéquation mutuelle. Au niveau multilatéral, l’UE et le Japon ont uni leurs forces pour promouvoir, renforcer et rendre opérationnel le concept de «libre circulation des données en toute confiance» («Data Free Flow with Trust»), lancé par feu le premier ministre Shinzo Abe, notamment grâce à une collaboration étroite dans le cadre du G7, de l’Organisation mondiale du commerce (dans le contexte de l’initiative de déclaration conjointe sur le commerce électronique) et de l’Organisation de coopération et de développement économiques (OCDE). Au sein de l’OCDE, la coopération étroite entre l’UE et le Japon sur ces questions a notamment contribué à l’adoption, pour la toute première fois au niveau international, de principes communs concernant l’accès des pouvoirs publics aux données à caractère personnel détenues par le secteur privé 16 . Ces différents axes de travail reposaient tous, dans une mesure plus ou moins importante, sur les valeurs et exigences communes qui sous-tendent l’accord d’adéquation mutuelle UE-Japon.
Afin de vérifier régulièrement que les conclusions formulées dans la décision d’adéquation sont toujours justifiées en fait et en droit, la Commission est tenue de procéder à un examen périodique et de rendre compte de ses résultats au Parlement européen et au Conseil 17 . Le présent rapport, qui couvre tous les aspects du fonctionnement de la décision, conclut le premier examen périodique. Du côté japonais, des représentants de la PPC, du ministère de l’intérieur et des communications, du ministère de la justice, du ministère de la défense et de l’agence nationale de police ont participé à l’examen. La délégation de l’UE comprenait trois représentants désignés par le comité européen de la protection des données, ainsi que des membres de la Commission européenne.
Une réunion d’examen entre les deux délégations a eu lieu le 26 octobre 2021, réunion qui a été précédée et suivie de nombreux échanges. En particulier, pour préparer l’examen, la Commission a recueilli des informations auprès des autorités japonaises sur le fonctionnement de la décision, notamment sur la mise en œuvre des règles supplémentaires. La Commission a également sollicité des informations auprès de sources publiques et d’experts locaux sur le fonctionnement de la décision et sur les évolutions pertinentes de la loi et de la pratique japonaises, tant en ce qui concerne les règles de protection des données applicables aux opérateurs privés qu’en ce qui concerne l’accès des pouvoirs publics. À la suite de la réunion d’examen, la Commission et la PPC ont eu plusieurs échanges pour assurer le suivi des points examinés lors de cette réunion et, en particulier, répondre aux questions soulevées par l’introduction, dans l’APPI, de règles relatives aux informations à caractère personnel pseudonymisées.
2.PRINCIPALES CONCLUSIONS
Les conclusions détaillées concernant le fonctionnement de tous les aspects de la décision d’adéquation sont présentées dans le document de travail des services de la Commission [SWD(2023) 75] qui accompagne le présent rapport.
En particulier, le premier examen a mis en évidence le fait que les cadres de protection des données de l’UE et du Japon ont continué à converger depuis l’adoption des décisions d’adéquation mutuelles. L’APPI a été modifiée à deux reprises: le 5 juin 2020, par la loi modificative de la loi de 2020 sur la protection des informations à caractère personnel (modification de l’APPI de 2020), entrée en vigueur le 1er avril 2022 18 ; et le 12 mai 2021, par la loi sur l’organisation des lois connexes pour la constitution d’une société numérique (modification de l’APPI de 2021) 19 . Les règles supplémentaires ont été adaptées pour tenir compte de ces modifications, en consultation avec la Commission.
Ces modifications ont encore rapproché les systèmes de l’UE et du Japon, notamment en renforçant les obligations en matière de sécurité des données (par l’introduction d’une obligation de notifier les violations de données), les droits des personnes concernées (en particulier le droit d’accès et le droit d’opposition) et les protections accordées en cas de transfert de données (sous la forme de renseignements complémentaires et d’exigences de suivi, notamment d’informations sur les risques éventuels liés à l’accès des pouvoirs publics dans le pays de destination). Dans ce contexte, il est particulièrement intéressant de noter que certaines des garanties supplémentaires prévues par les règles supplémentaires pour les données à caractère personnel en provenance de l’UE, c’est-à-dire en ce qui concerne la conservation des données et les conditions de consentement éclairé pour les transferts transfrontières, ont été intégrées dans l’APPI, ce qui les rend généralement applicables à toutes les données à caractère personnel, indépendamment de leur origine ou de leur lieu de collecte 20 .
La Commission se félicite également de l’évolution majeure que représente la transformation de l’APPI en un cadre global de protection des données couvrant à la fois le secteur privé et le secteur public, sous la supervision exclusive de la PPC 21 . Ce renforcement supplémentaire du cadre japonais de protection des données et des pouvoirs de la PPC pourrait ouvrir la voie à une extension de la décision d’adéquation au-delà des échanges commerciaux, de façon à couvrir les transferts actuellement exclus de son champ d’application, par exemple dans le domaine de la coopération réglementaire et de la recherche.
Le premier examen a également porté sur de nouvelles règles relatives à la création et à l’utilisation d’«informations à caractère personnel pseudonymisées», qui ont été introduites par la modification de l’APPI de 2020 22 . L’objectif de ces nouvelles règles est essentiellement de faciliter l’utilisation (interne) des informations à caractère personnel par les entreprises qui traitent des informations à caractère personnel principalement à des fins statistiques (par exemple, pour mettre en évidence des tendances et des schémas qui pourront être utiles à d’autres activités, notamment à la recherche). La réunion d’examen et les échanges ultérieurs entre la Commission et la PPC ont permis de clarifier l’interprétation et l’application de ces nouvelles dispositions. À la suite de ces discussions et afin de refléter plus clairement l’application prévue de ces nouvelles dispositions et de garantir ainsi la sécurité juridique et la transparence, les règles supplémentaires ont été modifiées le 15 mars 2023 en deux points 23 . Premièrement, les règles supplémentaires prévoient que de telles informations ne peuvent être utilisées qu’à des fins statistiques (définies comme des opérations de traitement de données nécessaires pour des enquêtes statistiques ou la production de résultats statistiques) pour produire des données agrégées et que le résultat du traitement ne doit pas être utilisé à l’appui de mesures ou de décisions concernant une personne physique en particulier. Deuxièmement, elles indiquent clairement que les informations à caractère personnel pseudonymisées initialement transférées depuis l’UE seront toujours considérées comme des «informations à caractère personnel» au sens de l’APPI, afin de garantir que la continuité de la protection des données considérées comme des données à caractère personnel au sens du RGPD ne soit pas compromise lorsque ces données sont transférées sur la base de la décision d’adéquation 24 .
En ce qui concerne la mise en œuvre des garanties en matière de protection des données dans la pratique, la Commission se félicite des différentes mesures prises par la PPC. Celles-ci comprennent notamment l’adoption de lignes directrices actualisées, notamment en ce qui concerne les transferts internationaux de données. La Commission note que ces lignes directrices pourraient être précisées afin de couvrir également les exigences spécifiques applicables, conformément aux règles supplémentaires, aux transferts ultérieurs, à partir du Japon, de données à caractère personnel ayant été transférées depuis l’UE, y compris [comme il ressort de la règle supplémentaire (4) et comme expliqué dans la décision d’adéquation 25 ] l’exclusion des transferts ultérieurs sur la base du système de règles transfrontalières de protection de la vie privée de l’APEC («APEC Cross Border Privacy Rules» ou les «CBPR»). En outre, bien que la PPC ait expliqué que les OETIP encadrent leurs transferts ultérieurs de données initialement transférées depuis l’UE «au moyen de la conclusion d’un contrat prévoyant, à charge du destinataire, des mesures assurant la continuité de la protection», la PPC ne fournit actuellement aucune orientation concernant le contenu recommandé (en matière de garanties) des «mesures équivalentes» utilisées pour les transferts internationaux de données, que ce soit sous la forme de lignes directrices ou de contrats type de protection des données. Ces précisions supplémentaires, qui pourraient notamment se fonder sur l’échange d’informations et de bonnes pratiques entre la PPC et la Commission, pourraient s’avérer extrêmement utiles car elles concernent des aspects particulièrement pertinents pour les entreprises exerçant leurs activités dans les deux juridictions.
En ce qui concerne la supervision et le contrôle de l’application des règles, la Commission note que la PPC a davantage eu recours à ses pouvoirs non coercitifs d’orientation et de conseil (article 147 de l’APPI) qu’à ses pouvoirs coercitifs (par exemple, l’imposition d’injonctions contraignantes, article 148 de l’APPI) au cours de la période suivant l’adoption de la décision d’adéquation. La PPC a également indiqué qu’à ce jour, aucune plainte concernant le respect des règles supplémentaires n’avait été reçue et qu’aucune enquête sur ces questions n’avait été menée de sa propre initiative. Au cours de la réunion d’examen, la PPC a toutefois annoncé qu’elle envisageait de procéder, de sa propre initiative, à des contrôles aléatoires afin de garantir le respect des règles supplémentaires. La Commission se félicite de cette annonce, car elle estime que de tels contrôles aléatoires seraient d’une grande importance pour prévenir, détecter et combattre les (éventuelles) violations des règles supplémentaires, et garantir ainsi le respect effectif de ces règles. Étant donné que les modifications apportées à l’APPI en 2020 et en 2021 ont renforcé les pouvoirs de supervision de la PPC, ces contrôles aléatoires pourraient s’inscrire dans le cadre d’un effort global visant à accroître l’utilisation de ces pouvoirs.
Enfin, la Commission se félicite vivement de la mise en place de points de contact spécifiques pour les citoyens de l’UE qui ont des questions ou des préoccupations concernant le traitement de leurs données à caractère personnel au Japon, que ce soit par des opérateurs commerciaux (ligne réservée aux demandes de renseignements) ou par des autorités publiques (ligne réservée à la médiation des plaintes). Dans le même temps, elle constate que la page web de la ligne réservée aux demandes de renseignements indique qu’elle est disponible en «japonais uniquement», ce qui est susceptible de dissuader les citoyens de l’UE de recourir à ce service, bien que la PPC ait expliqué que l’assistance en langue anglaise est en principe disponible. La Commission croit comprendre que la PPC étudiera les moyens d’améliorer l’accessibilité de ces points de contact pour les Européens, notamment en clarifiant ce point.
3.CONCLUSION
Sur la base des conclusions générales formulées dans le cadre de ce premier examen, la Commission conclut que le Japon continue d’assurer un niveau de protection adéquat des données à caractère personnel transférées de l’Union européenne à des opérateurs économiques traitant des informations à caractère personnel au Japon et soumis à l’APPI, telle que complétée par les règles supplémentaires, ainsi que par les déclarations, les assurances et les engagements officiels figurant à l’annexe II de la décision. Dans ce contexte, les services de la Commission reconnaissent et apprécient grandement l’excellente coopération avec les autorités japonaises, et en particulier la PPC, dans la conduite de l’examen.
Compte tenu du résultat de cet examen et conformément au considérant 181 de la décision d’adéquation, la Commission estime qu’il n’est pas nécessaire de maintenir le cycle de deux ans pour les examens futurs et considère par conséquent qu’il convient de passer à un cycle de quatre ans conformément à l’article 45, paragraphe 3, du RGPD. En conséquence, elle consultera sur ce point le comité institué par l’article 93, paragraphe 1, du RGPD 26 .
Dans le même temps, le renforcement de certains aspects du cadre japonais pourrait contribuer à consolider encore les garanties énoncées dans l’APPI et les règles supplémentaires. À cet effet, la Commission formule les recommandations suivantes.
1.La Commission salue et encourage le recours envisagé de la PPC à des contrôles aléatoires afin de garantir le respect des règles supplémentaires. Elle estime que de tels contrôles aléatoires seraient d’une grande importance pour éviter, détecter et combattre les violations (potentielles) des règles supplémentaires, et garantir ainsi le respect effectif de ces règles.
2.La Commission salue la publication, par la PPC, de lignes directrices actualisées sur les transferts internationaux, car celles-ci permettront d’améliorer l’accessibilité des règles de l’APPI en la matière et de rendre ces règles plus conviviales. Ces lignes directrices (ou d’autres documents d’orientation) devraient également, le cas échéant, expliquer les exigences spécifiques découlant des règles supplémentaires, y compris en ce qui concerne l’exclusion du système de certification de CBPR de l’APEC pour les transferts ultérieurs de données à caractère personnel initialement transférées depuis l’UE.
3.Au cours de l’examen, il a été discuté de la manière dont les lignes de demandes de renseignements et de médiation de la PPC destinées à recevoir les questions et les plaintes des particuliers pourraient être rendues plus accessibles aux étrangers. Dans ce contexte, il serait important de préciser sur le site web spécifique qu’une assistance en langue anglaise est en principe disponible.
L’examen a également permis de recenser les domaines dans lesquels une coopération future pourrait être mise en place. Comme indiqué, la PPC ne fournit actuellement aucune orientation sur le contenu recommandé (en matière de garanties) des «mesures équivalentes» utilisées pour les transferts internationaux de données, que ce soit sous la forme de lignes directrices ou de contrats types de protection des données. Compte tenu de l’importance croissante des clauses types et de leur potentiel en tant qu’outil mondial pour les transferts de données, comme l’ont reconnu, par exemple, le G7 27 et l’OCDE 28 , la Commission a manifesté son intérêt pour une coopération future avec le Japon sur l’élaboration de telles clauses. L’extension du champ d’application de la décision d’adéquation au-delà des transferts entre opérateurs commerciaux est un autre domaine que la Commission entend explorer avec la PPC.
La Commission continuera de suivre de près le cadre japonais de protection des données ainsi que la pratique proprement dite. À cet égard, elle attend avec intérêt les échanges futurs avec les autorités japonaises sur les évolutions pertinentes concernant la décision 29 , ainsi que le renforcement de la coopération au niveau international à un moment où la demande de normes mondiales en matière de protection de la vie privée et de flux de données ne cesse de croître.
- (1) JO L 119 du 4.5.2016, p. 1 (RGPD).
- (2) Dans la version de l’APPI applicable au moment de l’adoption de la décision d’adéquation, cette notion était désignée par l’expression «opérateur économique traitant des informations à caractère personnel» (OETIP). Un opérateur économique traitant des informations à caractère personnel est défini à l’article 16, paragraphe 2, de l’APPI modifiée comme «une personne qui utilise une base de données d’informations à caractère personnel ou son équivalent dans le cadre d’une activité», à l’exclusion des pouvoirs publics et des agences administratives, aux niveaux tant central que local. La notion d’«activité» dans le cadre de l’APPI est très large et inclut non seulement les activités lucratives, mais également les activités sans but lucratif exercées par tout type d’organisations et de particuliers. Par ailleurs, l’«utilisation dans le cadre d’une activité» couvre également les informations à caractère personnel qui ne sont pas utilisées dans les relations commerciales (extérieures) de l’opérateur, mais en interne, par exemple le traitement des données des salariés. Voir les considérants 32 à 34 de la décision.
- (3) Décision d’exécution (UE) 2019/419 de la Commission du 23 janvier 2019 constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le Japon en vertu de la loi sur la protection des informations à caractère personnel, JO L 76 du 19.3.2019, p. 1.
- (4) Voir l’article 45 du RGPD et le considérant 5 de la décision.
- (5) Voir l’annexe I de la décision
-
(6)
Entre-temps, la modification de l’APPI de 2020 a redéfini la notion de «données à caractère personnel détenues par l’entreprise» afin de ne plus exclure les données à caractère personnel qui «doivent être supprimées» dans un délai de six mois (article 16, paragraphe 4, de l’APPI modifiée). Dans la version de l’APPI applicable au moment de l’adoption de la décision d’adéquation, cette notion était désignée sous l’expression «données à caractère personnel conservées».
- (7) Considérants 26, 31, 43, 49 à 51, 63, 68, 71, 76 à 79 et 101 de la décision.
- (8) Considérant 15 de la décision
- (9) Considérants 113 à 170 et annexe II de la décision.
- (10) Considérants 141 à 144, 149 et 169 de la décision.
- (11) Voir le communiqué de presse publié à l’issue de ces discussions, disponible à l’adresse suivante: https://ec.europa.eu/commission/presscorner/detail/fr/IP_18_4501
- (12) Décision (UE) 2018/1907 du Conseil du 20 décembre 2018 relative à la conclusion de l’accord entre l’Union européenne et le Japon pour un partenariat économique, JO L 330 du 27.12.2018, p. 1. L’APE réduit les obstacles au commerce auxquels les entreprises européennes sont confrontées lorsqu’elles exportent vers le Japon et contribue à renforcer leur compétitivité sur ce marché.
- (13) Accord de partenariat stratégique entre l’Union européenne et ses États membres, d’une part, et le Japon, d’autre part, JO L 216 du 24.8.2018, p. 4 (APS). L’APS fournit un cadre juridique permettant le renforcement du partenariat solide existant déjà de longue date entre l’UE, ses États membres et le Japon dans de nombreux domaines, tels que le dialogue politique, l’énergie, les transports, les droits de l’homme, l’éducation, la science et la technologie, la justice, l’asile et les migrations.
- (14) Disponible à l’adresse suivante: https://www.consilium.europa.eu/media/56091/%E6%9C%80%E7%B5%82%E7%89%88-jp-eu-digital-partnership-clean-final-docx.pdf . Le partenariat numérique crée un forum qui donnera une orientation et une impulsion politiques aux travaux conjoints sur les technologies numériques dans des domaines tels que les technologies 5G sécurisées, les technologies «au-delà de la 5G» et 6G, les applications sûres et éthiques de l’intelligence artificielle ou encore la résilience des chaînes d’approvisionnement mondiales dans l’industrie des semi-conducteurs.
- (15) Voir, par exemple, https://policy.trade.ec.europa.eu/news/eu-and-japan-start-negotiations-include-rules-cross-border-data-flows-their-economic-partnership-2022-10-07_en .
- (16) Déclaration de l’OCDE du 14 décembre 2022 relative à l’accès des pouvoirs publics aux données à caractère personnel détenues par les entités du secteur privé.
- (17) Considérants 180 à 183 et article 3, paragraphe 4, de la décision.
- (18) Une traduction anglaise est disponible à l’adresse suivante: https://www.ppc.go.jp/files/pdf/APPI_english.pdf
- (19) Une traduction anglaise est disponible à l’adresse suivante: https://www.japaneselawtranslation.go.jp/ja/laws/view/4241 .
- (20) Article 16, paragraphe 4 et article 28, paragraphe 2, de l’APPI modifiée.
- (21) En particulier, la modification de l’APPI de 2021 consolide l’APPI, la loi sur la protection des informations à caractère personnel détenues par des instances administratives et la loi sur la protection des informations à caractère personnel détenues par des agences administratives intégrées, etc., en une seule loi sur la protection des données qui s’applique aux entités privées comme aux autorités publiques, tout en étendant la compétence de la PPC en conséquence. Cette modification est entrée en vigueur le 1er avril 2023, après être entrée en vigueur partiellement le 1er septembre 2021 et le 1er avril 2022.
- (22) Les informations à caractère personnel pseudonymisées sont définies dans l’APPI modifiée comme des informations relatives à une personne physique qui peuvent être «préparées de façon qu’il soit impossible d’identifier une personne spécifique, à moins qu’elles ne soient recoupées avec d’autres informations» au moyen de mesures énoncées dans la loi et précisées dans les règles d’application. Voir l’article 16, paragraphes 5 et 41, de l’APPI modifiée.
-
(23)
Les règles supplémentaires révisées ont été adoptées par le Parlement le 15 mars 2023 et sont entrées en vigueur le 1er avril 2023.
- (24) Cela exclut l’application de l’article 42 de l’APPI modifiée, qui ne conserve qu’un nombre limité de garanties pour les informations à caractère personnel pseudonymisées non considérées comme des informations à caractère personnel.
-
(25)
Voir le considérant 79 de la décision.
- (26) Voir le considérant 181 de la décision.
- (27) Voir la déclaration ministérielle de la réunion des ministres du numérique du G7 du 11 mai 2022, annexe 1 intitulée «G7 Action Plan Promoting Data Free Flow with Trust» [«Plan d’action du G7 pour la promotion de la libre circulation des données dans la confiance»] qui, sous l’intitulé «Building on commonalities in order to foster future interoperability» [«Utiliser les points communs pour favoriser l’interopérabilité future»], fait référence aux pratiques de plus en plus courantes telles que les clauses contractuelles types («increasingly common practices such as standard contractual clauses»).
- (28) Voir la boîte à outils «Going Digital Toolkit» de l’OCDE, document intitulé «Interoperability of privacy and data protection frameworks» [«Interopérabilité des cadres en matière de respect de la vie privée et de protection des données»] (disponible à l’adresse https://goingdigital.oecd.org/data/notes/No21_ToolkitNote_PrivacyDataInteroperability.pdf ), p. 18.
- (29) Voir le considérant 177 de la décision, selon lequel il est attendu des autorités japonaises qu’elles informent la Commission de toute évolution importante en rapport avec ladite décision, concernant tant le traitement des données à caractère personnel par les opérateurs économiques que les limitations et garanties applicables à l’accès des autorités aux données à caractère personnel.