La Commission de protection des informations personnelles du Japon (PPC) applique la Loi sur la protection des informations personnelles (APPI), avec des amendements de 2022 qui ont considérablement élargi les protections, y compris de nouvelles dispositions pour les informations pseudonymisées, des restrictions sur les transferts transfrontaliers et la gouvernance des données d'entraînement de l'IA. La PPC a émis 45 décisions d'application en 2024 et a publié les premières directives spécifiques à l'IA sur la vie privée au Japon.
APPI 2022 : Qu'est-ce qui a changé
Les amendements APPI de 2022 obligent 2,4 millions d'entreprises japonaises à mettre à jour leurs politiques de confidentialité et à mettre en œuvre de nouvelles procédures de traitement :
Informations pseudonymisées (仮名加工情報) : Une nouvelle catégorie — données personnelles traitées pour supprimer les informations d'identification mais où la ré-identification est théoriquement possible avec une clé séparée. Les informations pseudonymisées peuvent être partagées en interne sans les mêmes exigences de consentement que les données personnelles, mais ne peuvent pas être fournies à des tiers. Cela crée une catégorie intermédiaire spécifique au Japon entre les données personnelles et les informations anonymisées.
Informations anonymisées (匿名加工情報) : Doivent être traitées de manière à ce que la ré-identification soit techniquement impossible — vérifiée par un tiers qualifié. La norme d'anonymisation du Japon est plus stricte que celle du GDPR à un égard clé : la vérification par un tiers est obligatoire, pas optionnelle.
Transferts transfrontaliers : Les amendements de 2022 ont renforcé les restrictions sur les transferts, exigeant que les transferts vers des pays tiers fournissent un niveau de protection "équivalent à" celui des normes japonaises. La PPC maintient une liste de pays approuvés. L'UE a une adéquation avec le Japon dans le cadre de l'APPI.
Données d'entraînement de l'IA : La PPC a émis des directives en 2024 abordant explicitement les ensembles de données d'entraînement de l'IA. Exigences clés :
- Les données personnelles utilisées pour l'entraînement de l'IA doivent être soit véritablement anonymisées (répondant à la norme stricte vérifiée par un tiers du Japon), soit traitées sur une base légale spécifique (typiquement le consentement)
- L'"exception de traitement statistique" dans l'APPI s'applique à l'entraînement de l'IA uniquement lorsque le modèle résultant ne peut pas être utilisé pour identifier des individus à partir des résultats
- Les entreprises de LLM s'entraînant sur des données personnelles japonaises extraites de sites Web doivent démontrer une base légitime pour la collecte
My Number : L'identifiant national du Japon
Le My Number (マイナンバー) du Japon — officiellement le Numéro individuel (個人番号) — est un numéro d'identification national à 12 chiffres attribué à tous les résidents du Japon, y compris les ressortissants étrangers. Assigné depuis 2016 à 1,36 milliard de résidents japonais, le My Number est utilisé pour l'administration fiscale, la sécurité sociale et la réponse aux catastrophes.
Structure technique : Le My Number utilise l'algorithme de Verhoeff pour le calcul du chiffre de contrôle — le même schéma complexe de détection d'erreurs théorique de groupe utilisé pour Aadhaar en Inde. Cet algorithme est significativement plus complexe à mettre en œuvre que l'algorithme de Luhn (utilisé pour le numéro de personne suédois, le SIN) et les algorithmes basés sur le module utilisés par la plupart des identifiants nationaux européens.
Défis de détection :
- Le couplage de motifs génériques de numéros à 12 chiffres génère d'énormes faux positifs dans les documents japonais (dates, codes postaux combinés avec des numéros de téléphone, numéros de facture)
- La validation Verhoeff nécessite une mise en œuvre complète des tables d'opération de groupe — pas un simple calcul arithmétique modulaire
- Le My Number apparaît en caractères japonais aux côtés des chiffres dans certains contextes documentaires
L'évaluation technique de la PPC en 2024 a révélé que 63 % des outils NLP génériques déployés échouent à détecter le My Number avec précision dans les documents japonais.
Traitement de la langue japonaise : Le défi de l'écriture
Le texte japonais utilise simultanément trois systèmes d'écriture — Hiragana, Katakana et Kanji (caractères chinois) — plus l'écriture romaine (Romaji) pour certains contextes. Les noms peuvent apparaître dans n'importe quelle combinaison de ces scripts, et le même nom peut apparaître différemment dans différents contextes.
Défis NER spécifiques au japonais :
- La reconnaissance des noms nécessite des modèles en langue japonaise (spaCy ja_core_news avec tokenisation japonaise)
- Le japonais n'utilise pas d'espaces entre les mots — la tokenisation elle-même est une étape de traitement distincte nécessitant des tokenizers conscients du japonais
- Les noms de personnes sont généralement écrits en Kanji avec furigana (guide phonétique en Hiragana/Katakana) — les outils doivent détecter à la fois la forme Kanji et la forme phonétique
- Les noms d'organisations japonaises (会社名, 株式会社) nécessitent des modèles de reconnaissance d'organisations spécifiques au japonais
Autres identifiants japonais
Numéro de permis de conduire : Format à 12 chiffres avec un préfixe de code de préfecture. Les codes de préfecture sont standardisés (Tokyo = 10, Osaka = 62, etc.), permettant la validation du composant géographique.
Passeport japonais : Format ICAO standard avec des conventions d'émission spécifiques au Japon.
Certificat d'assurance maladie (健康保険証) : Symbole d'assurance (記号) + format de numéro, avec des variations de format spécifiques à l'émetteur à travers les multiples régimes d'assurance maladie du Japon.
Carte de résidence (在留カード) : Format pour les résidents étrangers — 2 lettres + 8 chiffres + 2 lettres, avec validation spécifique au MOJ.
Statut des transferts de données Japon-UE
Le Japon et l'UE ont des décisions d'adéquation mutuelle — les flux de données personnelles entre l'UE et le Japon se font sans mécanismes de transfert supplémentaires requis. Cet arrangement bilatéral (en place depuis 2019) fait du Japon l'un des rares pays non européens avec une pleine adéquation de l'UE.
L'adéquation mutuelle couvre les données personnelles commerciales standard. Certaines catégories — données de santé sensibles, casiers judiciaires — nécessitent des protections supplémentaires même dans le cadre de l'arrangement d'adéquation.
Pour les organisations traitant des données personnelles japonaises : La détection du My Number avec validation Verhoeff est l'exigence la plus techniquement exigeante, suivie du support NER en langue japonaise utilisant des modèles formés sur du texte en script japonais. Le traitement bilingue japonais/anglais est de plus en plus requis pour les organisations multinationales ayant des opérations au Japon.
Sources :