Le Japon, un pays imprudent sur la protection des données personnelles ?

Pourquoi collecter un si vaste éventail de données ?

Pour se créer le profil nécessaire à tout achat de billet numérique pour l’Expo, il faut tout d’abord accepter les conditions de la « Politique de protection des informations personnelles » de l’Association japonaise de l’Expo universelle (Association Expo). Or l’ampleur des données collectées a tout d’abord suscité une salve de critiques. Pourquoi exiger autant d’informations ?

Les acheteurs doivent en effet indiquer leur nom, adresse et numéro de carte de crédit mais ils doivent aussi préciser leur localisation, fournir des informations biométriques en envoyant une photographie d’identité et même donner leurs empreintes digitales, ils doivent aussi donner l’adresse de leur lieu de travail, le nom de l’entreprise et même le service dans lequel ils travaillent ; ils doivent également préciser s’ils sont en situation de handicap ; il leur est de plus demandé d’indiquer un compte de réseau social et son mot de passe ; il faut enfin préciser son état marital et indiquer si on a des enfants.

Les organisateurs ont expliqué collecter ces informations pour pouvoir organiser au mieux les divers moments forts de l’Expo et disposer les profils de tous les personnels ou organisateurs qu’ils soient japonais ou étranger. Mais sur les réseaux sociaux, les internautes ont fait part de leur inquiétude. Comment ces données seront-elles traitées, qu’en est-il de la protection de données personnelles collectées à si grande échelle ? Seront-elles divulguées ? Ils s’interrogent sur le « pourquoi » de cette vaste collecte et la trouvent « effrayante ». Itô Yoshitaka, qui est rapporteur pour l’organisation de l’Expo, a été convoqué par le Parlement et à dû s’expliquer sur ces points sensibles. Le 28 mars, il a finalement été annoncé que les organisateurs de l’Expo supprimeraient les empreintes digitales et les informations liées aux réseaux sociaux et il a été décidé que seuls les exposants pourraient avoir accès aux données collectées.

Dans l’ombre des pavillons

Le pavillon « Santé » tenu par la préfecture et la municipalité d’Osaka collecte des données relatives à l’état de santé des visiteurs, mais ces informations ne pourront être cédées à certains sponsors que dans le cas d’un consentement explicite des personnes concernées.

Le Bureau préfectoral et municipal de promotion de l’Expo considérait qu’il n’y avait aucun problème à céder ce type d’information aux entreprises, car les données seraient préalablement anonymisées. Cependant, certains ont souligné qu’il existait un risque et que la traçabilité des individus reste possible si les entreprises analysaient et comparaient les items collectés aux informations déjà enregistrées dans des bases de données existantes.

La clause traitant du « traitement des données personnelles » du pavillon a ensuite fait l’objet d’une modification. Il est désormais stipulé que « Sauf dans les cas autorisés par la loi portant sur la protection des données personnelles, les informations relatives aux participants ne seront utilisées que dans le cadre strict des besoins légitimes de l’organisation et pour le bon fonctionnement de l’Expo ». Une modification clairement en réaction aux craintes formulées sur les médias.

Ce faux pas montre bien combien le Japon n’est pas regardant sur la question de la protection des données personnelles et révèle que sa jurisprudence en la matière est insuffisante. Ce regrettable « impair » alors que le monde entier a les yeux tournés vers le Japon à l’occasion de cette Exposition universelle, pourrait générer un fort sentiment de méfiance de la part des pays occidentaux qui sont particulièrement sensibles à la protection des données personnelles.

Un dispositif qui fait tâche aux yeux des Occidentaux

Comment cela se passe-t-il en Occident ? Dans son règlement général sur la protection des données (RGPD), l’Union européenne a élaboré une législation encadrant le traitement des données personnelles. Les principes du traitement et de la diffusion des données personnelles y sont clairement définis, les responsables en charge mais aussi les sous-traitants sont soumis à un cahier des charges strict, la protection des données personnelles est fermement garantie. Cette loi s’applique par ailleurs à toute entreprise exerçant en Europe que son siège soit sur le vieux continent ou non.

En 2019, les autorités françaises ont condamné Google à une amende de 50 millions d’euros pour violation du RGPD. C’était la première fois qu’une grande entreprise informatique américaine était sanctionnée en vertu de ce règlement. Aucune information personnelle ne semble avoir été divulguée, mais l’entreprise ne respectait pas le cadre de la loi.

Aux États-Unis, le Children’s Online Privacy Protection Act (COPPA) s’applique aux enfants de moins de 13 ans. Or en 2019, la Federal Trade Commission (FTC) et le procureur général de l’État de New York ont accusé Google et sa filiale YouTube d’avoir enfreint la COPPA car une chaîne YouTube s’adressant aux tout petits collectait illégalement des informations personnelles sur les enfants sans le consentement de leurs parents. YouTube a dû payer une amende de 170 millions de dollars.

Ces affaires montrent combien l’Europe et les États-Unis sont stricts en la matière. À ce titre, la constitution du profil sur le portail numérique de l’Expo fait tâche. Même sur la version anglaise du site, il faut accepter la politique de confidentialité. Mais le consentement exigé ne répond pas aux exigences juridiques encadrant la protection des données car les garanties sont trop faibles. Les « besoins légitimes » ne sont pas définis, les internautes ne savent pas à quoi ils s’engagent. ni si leur intérêt privé sera respecté au regard de ses « besoins ».

Ni l’UE ni le Royaume-Uni n’oseraient dénoncer et attaquer l’Expo sur la base de ces problèmes de confidentialité et encore moins imposer des amendes aux organisateurs japonais. Mais puisqu’il s’agit d’un projet phare permettant d’attirer des visiteurs du monde entier, la politique de confidentialité aurait dû être façonnée conformément aux lois en vigueur sur la scène internationale, le Japon y joue aussi une forme de crédibilité.

Se conformer aux normes internationales

Au Japon, la loi sur la protection des données personnelles a été amendée en 2020. Depuis, les entreprises privées doivent décrire en détail leur politique de confidentialité et la mentionner dans les conditions générales. Elles sont aussi désormais obligées d’informer la Commission de protection des données personnelles quand elles prévoient de divulguer les données personnelles de leurs utilisateurs à des tiers. La législation portant sur les données personnelles est peu à peu améliorée et entre en conformité avec les règles de l’ère Internet, mais à l’évidence elles restent insuffisantes.

Promouvoir des produits et des services sans mentionner qu’il s’agit en fait de publicités dissimulées relève de « marketing furtif » (stealth marketing en anglais, abrégé en stema en japonais). Cette pratique, interdite au Japon depuis octobre 2023, tombe sous le coup de la loi contre les rémunérations et la publicité déguisées. Jusqu’alors, les influenceurs s’adonnaient librement au marketing furtif et au placement de produits. On se souviendra de ces sites qui relayaient des rumeurs ou abondaient d’« informations » peu fiables. Le Japon a pris sur lui de réglementer ce marketing furtif, car il était déjà illégal dans de nombreux autres pays. L’Archipel est l’une des neuf plus grandes puissances de l’OCDE, et pourtant il a longtemps été le seul pays membre à ne pas avoir encore légiféré sur le sujet. Or sur Internet les frontières s’estompent, nous sommes tous connectés aux mêmes réseaux, les particularismes nationaux n’ont pas lieu d’être.

Comme l’ont montré les enquêtes, la nouvelle législation sur le marketing furtif a permis de faire diminuer le nombre de requêtes adressées aux influenceurs, la situation s’est incontestablement améliorée. L’affaire des profils de l’Expo a curieusement mis en évidence la faiblesse du Japon, le moment est venu d’aligner la législation nippone portant sur la protection des données et de se conformer aux normes strictes ayant cours en Europe et aux États-Unis. Dans le même temps, le Japon devrait s’engager à mieux maîtriser l’information et faire des campagnes de sensibilisation, pour éduquer les citoyens et leur faire prendre conscience de l’importance de protéger leurs données personnelles. Il est urgent d’identifier les problèmes et les enjeux propres au Japon afin de conformer au mieux les lois japonaises aux standards internationaux.

(Photo de titre : le site de l’Expo universelle d’Osaka. Photo prise par un drone le 10 mars 2025. Jiji Press)