Loading…
L'APPI japonaise et le RGPD européen ont signé une décision d'adéquation mutuelle en 2019, ouvrant la voie à des flux de données fluides entre l'UE et le Japon. Mais les lois elles-mêmes restent matériellement différentes — l'APPI repose sur la spécification des finalités plutôt que sur l'énumération des bases légales, encadre les données sensibles par des exigences de consentement explicite, prévoit des sanctions pour les entreprises libellées en yens et s'enracine dans des traditions culturelles distinctes en matière de directives administratives. Les amendements de 2022 ont rapproché l'APPI du RGPD — mais l'écart est réel et important pour la conception de la conformité.
| Dimension | 🇯🇵 APPI | 🇪🇺 GDPR |
|---|---|---|
| Instrument juridique | Loi sur la protection des informations personnelles (2003, amendements majeurs en 2015, 2020, 2022) | Règlement (UE) 2016/679 |
| Autorité de régulation | Personal Information Protection Commission (PPC, 個人情報保護委員会) | 27 autorités de protection des données des États membres de l'UE + EDPB |
| Adéquation | Décision d'adéquation de l'UE en vigueur depuis 2019 (mutuelle) | Adéquation mutuelle du Japon en vigueur |
| Champ d'application territorial | Opérateurs traitant des données de personnes au Japon, y compris les entités hors Japon (art. 166) | UE + portée extraterritoriale de l'article 3 |
| Approche des bases légales | Spécification des finalités + acquisition appropriée ; consentement requis pour certaines divulgations et données sensibles | Six bases légales au titre de l'article 6 ; neuf conditions au titre de l'article 9 pour les catégories particulières |
| Informations personnelles sensibles | 要配慮個人情報 (yō-hairyo kojin jōhō) — origine raciale, croyance, statut social, antécédents médicaux/judiciaires ; consentement préalable explicite requis pour leur collecte | Données de catégorie particulière — article 9, consentement explicite ou autre condition admissible |
| Amende maximale pour les entreprises | ¥100M (~650 000 USD) en cas de non-respect d'une injonction de la PPC | 20 M€ ou 4 % du chiffre d'affaires mondial |
| Amende maximale pour les personnes physiques | 1 million de yens / 1 an d'emprisonnement | Aucune sanction pénale (des sanctions des États membres peuvent s'appliquer) |
| Notification des violations | Dans le délai prescrit (généralement « sans retard ») ; signalement à la PPC + notification aux personnes concernées en cas de violation grave (art. 26) | 72 heures à l'autorité de contrôle + aux personnes concernées en cas de risque élevé |
| Transfert transfrontalier | Consentement de la personne concernée OU mécanisme de protection équivalente OU adéquation reconnue par la PPC (art. 28) | SCCs, BCR, adéquation |
| Droit d'accès | Oui — articles 28 à 35, portée clarifiée par les amendements de 2022 | Oui — article 15 |
| Droit de rectification | Oui — articles 30, 33 | Oui — article 16 |
| Droit de cessation/suppression | Oui — articles 30, 35 (riyō teishi) | Droit à l'effacement — article 17 |
| Droit à la portabilité des données | Aucun droit général ; quelques règles sectorielles | Oui — article 20 |
| Équivalent du DPO | Responsable des informations personnelles (kojin jōhō hogo kanrisha) — recommandé ; désignation rendue publique par la PPC | Délégué à la protection des données — obligatoire dans certains cas définis (article 37) |
| Informations traitées de manière anonyme | 匿名加工情報 — hors du champ d'application de l'APPI lorsqu'irréversible ; règles relatives à la création et à la divulgation | Informations anonymes hors du champ d'application du GDPR (considérant 26) |
| Informations traitées de manière pseudonymisée | 仮名加工情報 — introduit par les amendements de 2022 | Pseudonymisation évoquée à l'article 4(5) ; ne supprime pas l'applicabilité du GDPR |
| Données des enfants | Aucun seuil d'âge spécifique dans l'APPI ; consentement parental pour les mineurs via le tuteur | Âge par défaut de 16 ans (les États membres peuvent l'abaisser à 13 ans) |
| Cadre du secteur public | Loi sur la protection des informations personnelles détenues par les organes administratifs (APIAO) — intégrée à l'APPI par les réformes de 2021 | Directive « police-justice » 2016/680 (distincte du GDPR) |
| Cycle de révision | Révision obligatoire tous les 3 ans (article 6 de l'APPI) | Révision au titre de l'article 97 (tous les 4 ans à compter de mai 2020) |
En grande partie. La décision d'adéquation mutuelle reconnaît une équivalence substantielle. L'écart : désigner un responsable des informations personnelles, notifier les violations à la PPC dans le délai local, veiller à ce que votre politique de confidentialité réponde à l'exigence de spécification des finalités de l'APPI (plus précise que la formulation des « intérêts légitimes ») et documenter les transferts transfrontaliers au titre de l'article 28.
Changements majeurs : application extraterritoriale (article 166), notification obligatoire et explicite des violations assortie de délais, élargissement des droits des personnes concernées (riyō teishi étendu), introduction de la catégorie des informations traitées de manière pseudonymisée et règles plus strictes pour les transferts transfrontaliers.
Non strictement requis par l'APPI, mais la PPC attend un point de contact significatif au Japon. Les exploitants situés hors du Japon entrent dans le champ d'application et les ordonnances de la PPC peuvent être exécutées par voie d'entraide judiciaire mutuelle.
Aucun équivalent de l'article 22 du GDPR. L'IA est encadrée par des lignes directrices sectorielles (METI, MIC) et par l'AI Act de 2025 (un cadre distinct). L'APPI s'applique à l'IA dans la mesure où celle-ci traite des données personnelles.
Historiquement consultatif et de conseil, les ordonnances formelles étant rares. Les amendements de 2022 ont renforcé les sanctions (application extraterritoriale au titre de l'article 166, pénalités d'entreprise de 100 M¥). Attendez-vous à une application plus formelle à l'avenir.
Cartographiez les contrôles une fois, conformez-vous deux fois. RegulatoryBridge vous offre un pipeline DSAR unique, un DPO unique, un guide d'intervention en cas de violation unique — couvrant les deux cadres réglementaires.