Le Japon modifie sa loi sur les données personnelles pour lever les obstacles au développement de l'IA
Le Japon modifie sa loi sur les données personnelles pour lever les obstacles au développement de l'IA :
scans faciaux et données de santé entrent dans un régime allégé, Tokyo supprime le consentement obligatoire pour certaines données personnelles
Tokyo vient d'approuver une révision de sa loi sur la protection des données personnelles qui supprime l'obligation de consentement préalable pour l'utilisation de certaines informations, y compris les données de santé et les scans faciaux. L'objectif affiché est sans détour : faire du Japon le pays le plus facile au monde pour développer de l'intelligence artificielle. Une ambition qui soulève des questions fondamentales sur l'arbitrage entre compétitivité technologique et droits individuels.
Le cabinet japonais a approuvé un projet de loi amendant la Personal Information Protection Act (PIPA), la loi-cadre sur la protection des données personnelles au Japon, avant de le soumettre au parlement. Le ministre de la Transformation numérique, Hisashi Matsumoto, a déclaré sans ambages que le Japon entend devenir le pays le plus facile au monde pour développer des applications d'IA et que la législation actuelle représente « un très grand obstacle au développement et à l'utilisation de l'IA au Japon ». Sa conclusion : « Nous devons empêcher cela. »
La formule est habile dans sa franchise. Elle ne masque pas l'arbitrage politique, elle l'assume. Et c'est précisément ce qui en fait un cas d'école pour quiconque suit la gouvernance mondiale de l'IA.
Un régime de consentement assoupli, mais ciblé
Les amendements approuvés suppriment l'obligation de recueil du consentement préalable avant le partage de données personnelles. Cette modification ne s'applique toutefois qu'aux données présentant un faible risque d'atteinte aux droits individuels, et uniquement lorsque les développeurs les utilisent à des fins statistiques ou de recherche.
La portée est cependant plus large qu'il n'y paraît. Les données de santé entrent dans le champ des amendements, dès lors qu'elles peuvent contribuer à améliorer la santé publique. Les scans faciaux sont également concernés : les organisations qui collectent des images de visages devront expliquer la manière dont elles traitent ces données, mais l'obligation de proposer un mécanisme d'opt-out ne sera pas imposée.
Ce point mérite d'être souligné : la reconnaissance faciale est traditionnellement classée parmi les données biométriques les plus sensibles, catégorie qui bénéficiait jusqu'ici d'un régime de consentement strict dans la plupart des juridictions avancées. Sous l'APPI telle qu'elle existait jusqu'ici, les codes d'identification individuelle englobaient notamment les données biométriques comme les modèles de reconnaissance faciale, et les informations dites « à soins spéciaux requis » (incluant ethnicité, statut social, dossiers médicaux) nécessitaient un consentement explicite préalable, les mécanismes d'opt-out y étant expressément interdits. Le nouvel amendement opère donc une déclassification partielle significative.
Les mineurs, une protection partielle
Le texte ménage certaines garanties pour les plus jeunes. La collecte d'images de personnes âgées de moins de 16 ans nécessitera l'accord parental, et un critère d'intérêt supérieur de l'enfant devra être satisfait lorsque des données décrivant des mineurs sont envisagées.
Sur le plan des sanctions, la loi prévoit des dispositions pénales pour les abus manifestes. Les organisations qui collectent des données non autorisées ou les utilisent de manière malveillante pour nuire à des citoyens seront passibles d'amendes équivalentes aux profits tirés de cette utilisation illicite. Des pénalités sont également prévues pour l'obtention de données par des moyens frauduleux.
Toutefois, une autre disposition frappe par son pragmatisme assumé : en cas de fuite de données, les organisations n'auront pas l'obligation de notifier les personnes concernées si le risque de préjudice individuel est jugé faible. L'équilibre entre transparence et efficacité opérationnelle est ici tranché en faveur de la seconde.
MATSUMOTO Hisashi, ministre de la Transformation numérique
Le contexte d'une course technologique assumée
Pour comprendre la logique de ces amendements, il faut les replacer dans le cadre plus large de la stratégie japonaise de rattrapage numérique. Malgré sa réputation de puissance technologique, le Japon accuse un retard notable dans la numérisation de ses services publics. Ce décalage est bien documenté : le pays a longtemps maintenu une dépendance au tampon physique (hanko) dans les administrations et les entreprises, et la dématérialisation des services publics n'a réellement décollé qu'avec la création de la Digital Agency en 2021.
La première ministre Sanae Takaichi avait promis en octobre 2025 de faire du Japon le pays le plus facile au monde pour développer et utiliser l'IA, une ambition qui se traduit désormais dans le droit positif. Le Plan de base national sur l'IA, adopté en décembre 2025, et la loi de promotion de l'IA entrée en vigueur en septembre 2025 constituent le socle sur lequel s'appuient ces amendements à la PIPA.
Le pari stratégique du gouvernement est clairement orienté vers ce que les responsables japonais appellent « l'IA physique » (l'intégration de l'IA dans les robots industriels, les capteurs de santé et les systèmes d'infrastructure), un domaine où les forces industrielles traditionnelles du Japon dans la fabrication, l'automatisation et le hardware peuvent constituer un avantage différenciant face aux États-Unis et à la Chine.
Sur le plan intérieur, le ministère déploie "Gennai", un environnement permettant aux fonctionnaires d'utiliser l'IA de manière sécurisée, nourri par un meilleur accès aux données détenues par l'État. Le ministre Matsumoto a récemment annoncé que le gouvernement utiliserait l'IA pour aider à rédiger les réponses aux questions parlementaires, invoquant la lutte contre les heures supplémentaires excessives dans la fonction publique japonaise.
Une trajectoire inverse à celle de l'Europe
La comparaison avec le cadre européen est inévitable. Depuis plusieurs années, l'Union européenne a construit un édifice réglementaire fondé sur le principe de protection maximale des données : le RGPD d'abord, puis l'AI Act, qui impose des obligations strictes pour les systèmes à haut risque et réglemente précisément les cas d'usage impliquant la reconnaissance faciale dans l'espace public.
L'APPI avait été ces dernières années présentée comme la loi de protection des données la plus alignée sur le RGPD en Asie, avec une portée extraterritoriale similaire. Les amendements en cours représentent un infléchissement délibéré de cette trajectoire. Tokyo choisit explicitement de diverger du modèle européen, en faisant le pari que la disponibilité des données sera plus déterminante pour la compétitivité en IA que la rigueur de la protection de la vie privée.
Cette divergence n'est pas sans précédent. Les États-Unis ont longtemps fonctionné sans loi fédérale unifiée sur la vie privée, laissant les États légiférer séparément et maintenant un environnement relativement permissif pour les acteurs technologiques. Certains observateurs voient dans la démarche japonaise une sorte de course vers le bas (race to the bottom) réglementaire, où les nations se concurrencent à coups d'allègements de droits pour attirer les investissements en IA.
Un modèle qui inspire ou qui inquiète ?
Selon Bloomberg Law, les amendements combinent paradoxalement un renforcement de l'application de la loi et un assouplissement réglementaire. C'est là toute la sophistication du texte : il ne s'agit pas d'une déréglementation pure et simple, mais d'une recomposition des priorités : davantage de latitude pour les usages à faible risque perçu, mais des sanctions plus sévères pour les abus caractérisés.
La question qui demeure ouverte est celle de la définition opérationnelle du « faible risque ». Qui détermine qu'une utilisation de données de santé est suffisamment statistique pour se passer du consentement ? Quelle instance contrôle que les images faciales collectées « dans un but d'explication » ne servent pas à alimenter des bases d'entraînement biométrique ? La Commission de protection des informations personnelles (Personal Information Protection Commission) dispose de nouveaux pouvoirs d'injonction et de sanction, mais son indépendance réelle face à la volonté politique du gouvernement Takaichi reste à démontrer.
La PPC avait adressé début 2025 un avertissement formel à OpenAI pour manques de transparence et défaillances dans les mesures de protection, un signal de vigilance. Mais elle n'a pas engagé de poursuites supplémentaires, contrairement à d'autres juridictions qui ont prononcé des injonctions contre des développeurs d'IA. International Bar Association Le régulateur japonais semble davantage orienté vers l'accompagnement que vers la confrontation.
Pour les professionnels du secteur, ces amendements ouvrent une fenêtre d'opportunité réelle : la possibilité d'entraîner des modèles sur des corpus plus larges de données médicales ou comportementales japonaises, sans la friction administrative du consentement individuel. Mais ils posent aussi une question d'éthique appliquée : les modèles développés sur des données collectées sans opt-out explicite seront-ils acceptables sur des marchés plus exigeants, comme l'Europe ? La portabilité juridique des données d'entraînement devient un nouvel enjeu de compliance internationale.
Sources : loi japonaise (en anglais), MATSUMOTO Hisashi, ministre de la Transformation numérique
Et vous ?
La suppression du droit à l'opt-out pour les données de santé et les scans faciaux est-elle une nécessité compétitive ou un recul des droits fondamentaux ? Peut-on tracer une ligne claire entre les deux ?
Voir aussi :
Répondre avec citation
Partager