Qu’est-ce que la LGPD – Loi générale sur la protection des données du Brésil ?

À l’instar d’autres lois sur la protection des données, la LGPD crée un cadre juridique pour la gouvernance de la collecte et de l’utilisation des données personnelles. Cependant, il ne s’agit pas simplement d’une réplique du RGPD – il diffère à plusieurs égards importants.

Nous abordons ci-dessous les principes de base de la LGPD et ses implications pour les entreprises opérant au Brésil et à l’étranger.

Auparavant, le Brésil disposait de plus de 40 lois fédérales régissant les données personnelles. L’objectif principal de la LGPD était de consolider ces différentes lois en un seul cadre juridique global pour la protection des données.

Ce faisant, les législateurs brésiliens ont cherché à améliorer le contrôle et les droits des citoyens brésiliens sur leurs données personnelles. Mais aussi, pour simplifier le réseau complexe des anciennes lois, en assouplissant l’environnement réglementaire pour les entreprises internationales et nationales.

Ceux qui sont déjà en conformité avec le RGPD seront également en conformité avec la LGPD. Il existe toutefois des différences essentielles. La LGPD s’articule autour de neuf droits clés, qui définissent collectivement les données personnelles et créent dix bases juridiques pour le traitement licite des données personnelles.

Les neuf droits sont décrits à l’article 18 de la LGPD. Il énonce les droits des citoyens brésiliens à :

1. Confirmer l’existence du traitement de leurs données
2. Accéder à leurs données
3. Corriger les données incomplètes, inexactes ou obsolètes
4. Anonymisation, blocage ou suppression des données inutiles ou excessives ou des données traitées en non-respect des dispositions de la LGPD
5. Portabilité des données à un autre prestataire de services ou fournisseur de produits – à la demande de la personne concernée
6. Supprimer leurs données personnelles
7. Être informé sur les entités publiques et privées avec lesquelles le responsable du traitement a partagé des données personnelles
8. Être informé de la possibilité de refuser le consentement et des conséquences
9. Révoquer le consentement

Ces droits sont globalement similaires à ceux décrits dans le RGPD.

Le RGPD se distingue par ses « effets extraterritoriaux », qui obligent toutes les entreprises du monde entier à se conformer aux citoyens de l’UE. Des effets similaires sont en place dans la LGPD.

À l’article 3, la LGPD définit les organisations auxquelles la LGPD s’applique :

Pour ceux qui connaissent le RGPD de l’UE, il existe quelques différences notables. Principalement, la LGPD couvre non seulement les données personnelles des citoyens brésiliens, mais aussi toutes les personnes se trouvant sur le territoire brésilien.

De plus, à l’instar du RGPD, la LGPD a un champ d’application territorial au-delà des frontières brésiliennes. Toute organisation proposant la fourniture de biens ou de services à une personne physique située au Brésil doit agir conformément à la LGPD.

Tout le monde n’est pas réglementé par la LGPD. Le règlement ne s’applique pas si :

Comme nous l’avons vu, en vertu de l’article 7 de la LGPD, il existe dix bases juridiques pour le traitement licite des données :

1. Avec le consentement de la personne concernée
2. Pour le respect d’une obligation légale ou réglementaire par le responsable de traitement
3. Par l’administration publique, pour le traitement et l’utilisation partagée des données nécessaires à l’exécution des politiques publiques prévues par les lois ou règlements, ou sur la base de contrats, d’accords ou d’instruments similaires, sous réserve du chapitre IV de la LGPD
4. Pour la réalisation d’études par des entités de recherche, en assurant, dans la mesure du possible, l’anonymisation des données personnelles
5. Lorsque cela est nécessaire pour l’exécution d’un contrat ou de procédures préliminaires liées à un contrat auquel la personne concernée est partie, à la demande de la personne concernée
6. Pour l’exercice régulier de droits dans les procédures judiciaires, administratives ou d’arbitrage, la dernière en vertu de la loi brésilienne sur l’arbitrage
7. Pour la protection de la vie ou de l’intégrité physique de la personne concernée ou d’un tiers
8. Pour protéger la santé, exclusivement, dans le cadre d’une procédure effectuée par des professionnels de la santé, des services de santé ou des autorités sanitaires
9. Lorsque cela est nécessaire pour satisfaire les intérêts légitimes du responsable du traitement ou d’un tiers, sauf lorsque les droits et libertés fondamentaux de la personne concernée qui exigent la protection des données à caractère personnel prévalent
10. Pour la protection du crédit

Plutôt que d’autoriser le traitement à grande échelle des données à caractère personnel en vertu du règlement, les autorités brésiliennes n’autorisent le traitement licite des données à caractère personnel que dans les circonstances ci-dessus.

Le non-respect de la lettre de la LGPD peut entraîner une amende maximale pouvant aller jusqu’à 50 millions de reals (environ 8 millions d’euros) ou 2 % du chiffre d’affaires d’une entité au Brésil. C’est nettement inférieur aux sanctions prévues par le RGPD, qui peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Avec plus de 138 millions d’internautes au Brésil, c’est le quatrième plus grand marché d’Internet au monde. Par conséquent, la conformité à la LGPD est souvent exigée des organisations ayant une portée internationale.

Heureusement, le gouvernement brésilien a suivi le RGPD, ce qui signifie que, pour la plupart des organisations, le travail supplémentaire est minime. Néanmoins, il est essentiel d’être conscient des principales différences entre ces réglementations historiques. Dans le cas contraire, vous risquez des amendes importantes des deux côtés de l’Atlantique.