Loi brésilienne sur la protection des données générales

Dans leur dernière tentative d'ordre et de progrès, le Brésil a adopté la Lei Geral de Proteção de Dados (LGPD) ou la Loi générale sur la protection des données personnelles. Cette législation vise à protéger les informations personnelles et la vie privée des citoyens brésiliens en fournissant des directives sur la manière dont ces données peuvent être traitées et collectées par les organisations. (Astuce : uniquement avec permission.) Elle contribue à normaliser et à clarifier plus de 40 lois précédentes (parfois contradictoires) qui régissaient les données personnelles, et s'applique aux entreprises et organisations brésiliennes et internationales.

Termes à connaître pour la LGPD au Brésil 

• Données personnelles : Toute information qui identifie ou est spécifique à un individu, comme son nom, son nom de famille, son surnom, son numéro d'identification, etc.
• Titulaire des données ou Sujet des données : L'individu concerné par les données personnelles.
• Traitement des données : Toute opération effectuée à l'aide de données personnelles, comme la collecte, le stockage, l'utilisation ou la divulgation d'informations.
• Contrôleur de données : La personne responsable des décisions concernant l'utilisation ou le traitement des données personnelles. Ils sont finalement responsables du respect ou de la non-conformité de leur entreprise aux normes de la LGPD.
• Consentement : permission ou accord libre et éclairé. Dans ce cas, il s'agit de la permission du titulaire des données pour que ses informations soient traitées à des fins données.
• Autoridade Nacional de Proteção de Dados (ANPD) ou Autorité nationale de protection des données : Branche du gouvernement fédéral brésilien chargée de superviser la réglementation, la conformité et l'application de la LGPD.
• Délégués à la protection des données : Personne représentant l'organisation qui traite des données personnelles, responsable de la communication entre leur entreprise, l'ANPD et les titulaires des données. Ils ont généralement une formation en droit ou en informatique.

Ce que fait la LGPD 

La LGPD exige que les Contrôleurs de données adoptent des pratiques techniques et administratives régulant la manière dont et pourquoi les données personnelles peuvent être traitées (électroniquement ou physiquement) et protègent les données personnelles qu'ils traitent contre tout accès non autorisé, perte, altération et/ou divulgation.

Dix droits des sujets de données

La LGPD du Brésil énumère dix droits des sujets de données, qui sont la base de toutes les exigences de traitement imposées aux entreprises ou organisations :

1. Le droit de confirmer que leurs données ont été traitées ;
2. Le droit d'accéder à leurs données ;
3. Le droit de corriger des données incomplètes, inexactes ou obsolètes ;
4. Le droit d'anonymiser, de bloquer ou de supprimer des données inutiles ou excessives ou des données qui ne sont pas traitées conformément à la LGPD ;
5. Le droit de transférer leurs données à un autre prestataire de services ou fournisseur de produits ;
6. Le droit de supprimer les données personnelles traitées avec leur consentement ;
7. Le droit d'information sur les tiers publics et privés avec lesquels le contrôleur a partagé leurs données ;
8. Le droit d'information sur les conséquences en cas de refus de consentement ;
9. Le droit de révoquer leur consentement.
10. Le droit à la portabilité des données, permettant au titulaire de demander une copie complète de ses données dans un format utilisable par les concurrents.

Exigences pour les contrôleurs de données/organisations

La LGPD exige des contrôleurs de données/organisations de :

• Nommer un Délégué à la protection des données pour gérer les demandes ou plaintes des clients dont l'identité et les coordonnées sont publiques et clear, de préférence sur leur site web ;
• Tenir un registre des opérations de traitement qu'ils effectuent ;
• Informer, corriger, supprimer, anonymiser ou déplacer les données personnelles comme le demande le sujet des données ;
• Supprimer les données une fois la relation terminée ;
• Mettre en place des mesures administratives et de sécurité pour protéger les données contre le vol, l'accès non autorisé, les accidents ou autres problèmes ;
• Signaler toute violation de données aux sujets des données, aux autorités locales et à l'ANPD.

Il existe dix bases sur lesquelles les entreprises peuvent légalement traiter des données personnelles. Les données peuvent être traitées :

1. À des fins légitimes, spécifiques et explicites auxquelles le sujet des données a consenti ;
2. Pour se conformer à une obligation légale ou réglementaire ;
3. Pour exécuter des politiques publiques basées sur des contrats légaux, des accords ou similaires ;
4. Pour exécuter un contrat à la demande du sujet des données (comme un achat ou une transaction) ;
5. Pour mener des recherches, en veillant autant que possible à ce que les données personnelles aient été anonymisées ;
6. Pour l'exercice de droits dans des procédures judiciaires, administratives ou d'arbitrage ;
7. Pour la protection de la vie ou de la sécurité physique du sujet des données ou d'un tiers ;
8. Pour protéger la santé, comme le font les professionnels de la santé ou les entités de santé ;
9. Lorsque cela est nécessaire pour répondre aux intérêts légitimes du contrôleur ou d'un tiers ;
10. Pour la protection du crédit.

Ce que fait l'ANPD 

L'Autoridade Nacional de Proteção de Dados (ANPD) ou Autorité nationale de protection des données est la branche à former du gouvernement fédéral brésilien chargée de superviser la réglementation, la conformité et l'application de la LGPD. Bien que sous la direction du président, l'ANPD a des pouvoirs décisionnels. Elle sera composée d'un conseil consultatif de 28 membres divisé en plusieurs groupes : le Conseil d'administration, le Conseil national, un Bureau des affaires internes et d'autres unités spécialisées pour les tâches juridiques et d'application.

Ils seront responsables de :

• Fournir des interprétations et des directives pratiques sur la manière de mettre en œuvre la LGPD ;
• Enquêter et auditer les plaintes ou violations signalées et travailler avec le Délégué à la protection des données pour trouver une solution ;
• Imposer des sanctions pour les violations du traitement des données ;
• Mener des études, des débats publics et des audiences sur la protection des données personnelles.

Date d'entrée en vigueur de la LGPD 

La loi entrera en vigueur le 1er janvier 2021.

Les sanctions pour violation de la conformité à la LGPD ont été reportées au 1er août 2021.

Recommandations 

• Tout d'abord, attendre jusqu'à la dernière minute pour se conformer pourrait être une erreur coûteuse. Le non-respect pourrait entraîner des amendes pouvant atteindre 2 % de leur chiffre d'affaires au Brésil, pour l'exercice fiscal précédent, jusqu'à un maximum de 50 millions de reais brésiliens par infraction (environ 12,9 millions de dollars américains ou 11,2 millions d'euros).
• Nommer un Délégué à la protection des données pour surveiller le traitement et la sécurité des données, et publier clairement leur nom et leurs coordonnées sur votre site web.
• Toujours demander le consentement. Soyez clear et transparents sur la manière dont et pourquoi les données des clients sont traitées, et facilitez l'acceptation ou le refus.
• Ne stockez les données que le temps nécessaire au traitement d'une transaction, et pas plus.
• Assurez-vous de documenter l'ensemble de votre pipeline de traitement : comment collectez-vous, stockez-vous, utilisez-vous et partagez-vous des données personnelles ? Vous pourriez être appelé à présenter cette documentation, il vaut donc mieux l'avoir préparée.
• Planifiez des audits réguliers. Les fuites de données sont extrêmement coûteuses en ressources et en réputation. Être vigilant vous permettra de repérer les erreurs ou les prédateurs plus rapidement, et être proactif est toujours mieux que d'être pris au dépourvu.

Plus d'informations 

• Site Web officiel de la LGPD

Questions fréquemment posées