Act No. 57 of 2003 (Japon, révisions 2015 / 2020 / 2022)

APPI

Act on the Protection of Personal Information

JPVoir la régulation officielle

articles documentés

obligations actionnables

niveaux de sanction

En vigueur depuis

2022-04-01

Périmètre d'application

Entités concernées

• personal_information_handling_business_operator
• anonymously_processed_information_handling_business_operator
• pseudonymously_processed_information_handling_business_operator

Seuils d'application

• Toute entreprise commerciale traitant des données personnelles, appelée « Personal Information Handling Business Operator » (PIHBO) sous l'APPI, sans seuil minimum depuis 2017
• Entreprises étrangères traitant les données de résidents japonais dans le cadre de la fourniture de biens ou services (extra-territorialité, art. 171)

Exemptions

• Activités journalistiques, religieuses, politiques, académiques (art. 57)
• Traitement par personne physique à des fins privées

Articles clés

10 articles documentés

Articles structurants documentés dans la cartographie ACF.

Art. 17

Spécification de la finalité d'utilisation

Obligation de spécifier la finalité d'utilisation des données aussi clairement que possible, et d'obtenir le consentement de la personne avant tout changement substantiel non raisonnablement prévisible.

Obligations

• Documenter la finalité d'utilisation précise pour chaque traitement
• Obtenir un nouveau consentement en cas de changement substantiel

Art. 20

Acquisition appropriée

Interdiction de l'acquisition par fraude ou moyens irréguliers. Pour les données sensibles (« special care-required personal information » sous APPI : santé, race, religion, antécédents judiciaires, etc.), consentement préalable obligatoire (sauf exceptions limitées).

Obligations

• Ne pas acquérir de données par moyens trompeurs
• Recueillir un consentement explicite pour les données sensibles (« special care-required personal information » sous APPI)

Art. 21

Notification ou publication de la finalité à la personne

Après acquisition, la finalité d'utilisation doit être notifiée promptement à la personne ou publiée (sauf si déjà réalisée au moment de l'acquisition directe).

Obligations

• Publier une politique de confidentialité incluant les finalités d'utilisation
• Notifier la personne lorsque l'acquisition n'est pas directe

Art. 22 / 23

Exactitude et mesures de sécurité

Obligation de maintenir les données exactes et à jour, de supprimer ce qui n'est plus nécessaire, et de prendre des mesures de sécurité nécessaires et appropriées.

Obligations

• Tenir les données à jour et supprimer celles qui ne sont plus utilisées
• Mettre en place des mesures organisationnelles, humaines, physiques et techniques de sécurité (PPC guidelines)

Art. 26

Notification d'incident à la PPC et à la personne (révision 2022)

Notification à la Personal Information Protection Commission et à la personne en cas de breach susceptible de violer les droits et intérêts. Notification rapide (~3-5 jours pour rapport préliminaire, 30/60 jours pour rapport complet).

Obligations

• Détecter et qualifier rapidement les incidents
• Soumettre un rapport préliminaire à la PPC (en japonais « sokuhou »)
• Soumettre un rapport complet (en japonais « kakuho hokoku ») sous 30 jours (60 si fraude)
• Informer les personnes concernées

Art. 27

Restrictions à la fourniture à des tiers

Fourniture à un tiers nécessite en principe le consentement préalable. Exceptions : opt-out enregistré à la PPC, joint use, sous-traitance, fusion/acquisition, obligation légale.

Obligations

• Recueillir le consentement préalable ou s'inscrire dans l'une des exceptions
• Si schéma opt-out : notifier préalablement la PPC (et fournir un mécanisme d'opt-out à la personne)

Art. 28

Transferts transfrontaliers

Transfert vers un tiers situé à l'étranger interdit sans consentement spécifique, sauf : pays désigné équivalent par la PPC (UE/UK actuellement), destinataire avec des standards équivalents (mesures contractuelles ou certification APEC CBPR/Cross-Border Privacy Rules).

Obligations

• Vérifier si le pays bénéficie d'une décision d'équivalence PPC
• Si non : recueillir un consentement spécifique après information détaillée
• Adopter des mesures contractuelles équivalentes ou recourir au CBPR

Art. 30

Tenue de registres des fournitures à des tiers

Obligation de tenir des registres des transferts à des tiers (date, destinataire, catégories de données, base légale) et de les conserver 1 à 3 ans.

Obligations

• Maintenir un registre des transferts
• Vérifier la légitimité de la collecte par le tiers (côté receveur)

Art. 32-39

Droits de la personne

Droits de divulgation, correction, suppression, cessation d'utilisation, cessation de fourniture à des tiers. La révision 2022 a étendu la portabilité et le droit de cessation lorsque l'utilisation n'est plus nécessaire.

Obligations

• Mettre en place un canal de réception des demandes
• Répondre selon les règles et délais raisonnables
• Fournir une raison en cas de refus

Art. 41-46

Pseudonymously processed information

Catégorie introduite en 2022 : données pseudonymisées permettant l'utilisation interne pour analyse / IA, avec exemptions partielles aux droits si les conditions de pseudonymisation sont respectées.

Obligations

• Documenter la méthode de pseudonymisation
• Restreindre l'usage à des finalités internes
• Interdire la ré-identification ou les contacts à la personne (art. 41(7))

Obligations transverses

10 obligations actionnables

Obligations actionnables catégorisées : documentation, process, technique, gouvernance, notification.

DocumentationArt. 17
Spécifier la finalité d'utilisation des données personnelles (art. 17)
ProcessArt. 20
Recueillir un consentement explicite pour les données sensibles (« special care-required personal information » sous APPI) (art. 20)
Si : special care-required personal information
TechniqueArt. 23
Mettre en place des mesures de sécurité nécessaires et appropriées (art. 23)
NotificationArt. 26
Notifier la PPC et les personnes concernées en cas de breach (art. 26)
GouvernanceArt. 27
Encadrer la fourniture à des tiers (consentement / opt-out / exceptions) (art. 27)
GouvernanceArt. 28
Encadrer les transferts transfrontaliers (art. 28)
Si : transfert hors Japon hors pays équivalent
DocumentationArt. 30
Tenir un registre des fournitures à des tiers (art. 30)
ProcessArt. 32 · Art. 34 · Art. 35 · Art. 38
Répondre aux demandes de droits (divulgation, correction, suppression) (art. 32-39)
DocumentationArt. 21 · Art. 32
Publier une privacy policy avec finalité, points de contact, droits
GouvernanceArt. 25 · Art. 27
Superviser ses sous-traitants (joint use et entrustment, art. 25 et 27(5))

Sanctions

Montants maximaux applicables selon les articles fixés par le texte.

Base légale · Art. 178, Art. 184

Jusqu'à 100 000 000 JPY pour une personne morale ; 1 an d'emprisonnement ou 1 000 000 JPY pour un individu

Défaut de respect d'une injonction de la PPC

Base légale · Art. 179, Art. 184

Jusqu'à 100 000 000 JPY pour une personne morale ; 1 an d'emprisonnement ou 500 000 JPY pour un individu

Détournement / fourniture illégale à but commercial des données personnelles

Base légale · Art. 182

Jusqu'à 500 000 JPY

Fausse déclaration / non-coopération aux enquêtes PPC

Articulation avec l'AI Act

Le Japon a obtenu en 2019 (et conserve en 2024) une décision d'adéquation réciproque avec l'UE, ce qui simplifie les transferts EU/JP. Pour un acteur soumis à l'AI Act et à l'APPI, articulation pratique : (1) la spécification de la finalité d'utilisation (art. 17 APPI) recoupe les principes de finalité RGPD / AI Act ; (2) le régime des pseudonymously processed information (art. 41-46 APPI, 2022) facilite l'usage de données pour l'entraînement IA tout en respectant la minimisation, et peut être référencée en plus de l'art. 10 AI Act (data governance) ; (3) la notification de breach (art. 26 APPI) suit un timing proche du RGPD (rapport préliminaire 3-5 j, complet 30 j).

Retour à /coverage Lancer le Diagnostic Flash Discuter de votre périmètre