Omiai, Fujitsu, Mercari, Sumitomo Heavy, ANA and JAL, Shionogi, Kawasaki etc, les fuites de données font très (trop) régulièrement l’actualité ces dernières semaines. Pourquoi donc ?

Rater le virage du numérique

Si l’expression a souvent été appliquée a la France, elle s’applique également au Japon. Apres un gros décollage a la fin des années 90 et début 2000, surtout dans l’internet mobile, l’IT est restée un peu figée dans le temps.

Et non, je ne parlerais pas du design des sites et applications japonaises. Je vais me retenir.

La cyber sécurité est aussi passé en arrière plan pendant des années, a tel point que ministre chargé de ce portefeuille pour l’organisation des JO de 2020 a reconnu ne jamais avoir utilisé un ordinateur de sa vie.

Abus des données utilisateurs : pas un phénomène nouveau

Si les abus des données utilisateurs a des fins publicitaires ou de propagande fait aujourd’hui débat, le Japon n’a pourtant pas raté ce virage.

Vous connaissez sans doute les cartes de transport Suica, Passmo, Itoca etc. Sachez que l’utilisation des données personnelles a des fins publicitaires faisait partie du business model dès le départ. JR vendait également ces données a des tiers sans ciller ni sans que ca lui pose le moindre problème éthique. Sans doute un bel exemple d’omotenashi.

Ce n’est pourtant pas faute d’avoir une loi protégeant les données personnelles et mettant l’accent sur la cyber-sécurité pour éviter les fuites et ce, depuis 2003.

Meet APPI

Non, pas celle-ci. Plutôt 個人情報の保護に関する法律. On va plutôt rester sur APPI (Act on Protection of Personal Information, Loi sur la Protection des Données Personnelles).

C’est apparemment la première loi du genre en Asie. Pas mal ! (a titre de comparaison, la loi équivalente en France date de 1978, la fameuse loi Informatique et Libertés).

La loi a été mise a jour plusieurs fois depuis, en 2009, 2015, 2017, 2019 et 2020. Les mises a jour de 2015 et 2017 notamment ont fortement rapproché le texte des exigences du RGPD européen ce qui a conduit a la premiere reconnaissance bilatérale des principes de protection des données entre UE et un pays tiers. Je vous passe sur le comparatif détaillé, il y a des gens bien plus compétents que moi qui l’ont fait très bien.

EDIT : Parce que ca peut servir a d’autres personnes:

• Voici la première revue par l’UE de la mise en oeuvre de l’APPI
• Et les “additional requirements” demandés par l’UE en vue de l’adequacy avec le RGPD, en anglais et en japonais

Soit, la loi c’est bien beau, mais les fuites dans tout ça?

La transparence contre les fuites

Pourquoi cette digression sur la loi alors qu’on parle de fuites de données. C’est surement la faute a de mauvaises pratiques ou un manque de compétences des entreprises japonaises ?

Oui mais non. Et non.

Déjà parce que les attaques et le marché des données personnelles est en plein boom ces dernières années. Il est donc normal que le Japon, 3ème puissance mondiale, soit fortement ciblé. Ensuite, parce que comme dit plus haut, en effet, la sécurité des données n’était pas la priorité pendant longtemps.

Alors que j’écris cet article, 50 jours a peine avant la date prévue de la cérémonie d’ouverture, le comité organisateur des JO recrute toujours des ingénieurs cyber sécurité (lien, capture). Soit par manque de préparation soit par manque de profils disponibles.

Enfin, et c’est a mon sens la raison principale, parce qu’un des amendements de la loi APPI ajouté en 2020, introduit une obligation de notification sous 4-5 jours en cas de fuites de données la où il n’y avait qu’une recommandation auparavant.

Donc si la cyber-sécurité fait plus les gros titres depuis 1 an, c’est parce que les entreprises ne peuvent plus glisser leurs problèmes sous le tapis ! Dur dans une culture où tout faire pour ne pas perdre la face est un jeu de tous les jours.