RGPD : le transfert de données personnelles UE/Japon désormais sans formalité

Le 23 janvier 2019, la Commission Européenne a adopté une décision d’adéquation concernant le Japon. Il s’agit d’un mécanisme particulier ouvert aux pays hors Union Européenne selon lequel la Commission peut reconnaître que leur réglementation locale en matière de données personnelles assure un même niveau de sécurité que la réglementation européenne.

En effet, en application du Règlement Général sur la Protection des Données (RGPD) (articles 44 et suivants), tout transfert de données personnelles vers un pays tiers à l’Union Européenne doit garantir que le niveau de protection des personnes physiques n’est pas compromis.

Pour ce faire, plusieurs solutions dont :

  • signer avec le destinataire des données personnelles du pays tiers les Clauses Contractuelles types mises en place par la Commission Européenne, qui ont pour effet de le soumettre contractuellement aux mêmes obligations que celles du RGPD
  • mettre en place des règles d’entreprise contraignantes (Binding Corporate Rules) utiles pour un groupe d’entreprises disposant d’établissements dans plusieurs pays et par lesquelles le groupe s’engage à respecter un niveau de garanties conforme au RGPD
  • être établi dans un pays reconnu par la Commission Européenne comme assurant un niveau de protection adéquat.

Dans cette dernière hypothèse, le transfert de données personnelles ne nécessite pas d’autorisation spécifique ou de mise en place de mécanismes particuliers entre les parties.

La Commission a déjà rendu des décisions d’adéquation concernant Andorre, l’Argentine, le Canada, les Iles Féroé, Guernesey, Israël, l’ile de Man, jersey, la Nouvelle-Zélande, la Suisse, l’Uruguay, et les Etats-Unis (dans le cadre du Privacy Shield).

Le Japon vient donc de rejoindre cette liste, permettant le transfert de données UE/Japon sans formalité particulière, chaque partie restant bien évidemment tenue d’être conforme à sa réglementation locale.

Emmanuelle Behr
Avocate Associée
Redlink