Ce que les entreprises brésiliennes doivent savoir sur la LGPD.
Dans un monde de plus en plus connecté, avec un nombre croissant de services et d’utilisateurs d’Internet, la protection des données est devenue de plus en plus importante, tant pour les entreprises que pour les particuliers. Ainsi, plusieurs régions et pays ont déjà mis en place des lois complètes sur la protection des données. Des exemples bien connus sont la Loi sur la confidentialité des consommateurs de Californie (CCPA), établie par l’État de Californie aux États-Unis, et le Règlement Général sur la Protection des Données (RGPD), en vigueur pour l’Union Européenne.
Suivant cette tendance mondiale, le Brésil a adopté sa Loi Générale sur la Protection des Données Personnelles en 2018. En portugais, elle est appelée LGPD, ou Lei Geral de Proteção de Dados. Inspirée par le RGPD, la LGPD vise à réglementer le traitement des données personnelles des personnes identifiables ou identifiées au Brésil. Ce traitement inclut, entre autres, la collecte, le stockage, l’utilisation ou le transfert de données personnelles.
« Alors que les données personnelles sont devenues un atout de plus en plus important dans notre économie, on peut s’attendre à ce que la LGPD ait un impact significatif sur la plupart des entreprises et industries brésiliennes », a déclaré Lukas Rhomberg, associé du cabinet d’avocats brésilien FCR Law et de la société de conseil ILM Group à São Paulo. Une version en anglais de la LGPD, créée par le cabinet d’avocats brésilien Pereira Neto Macedo Advogados, est accessible à https://www.pnm.adv.br/wp-content/uploads/2018/08/Brazilian-General-Data-Protection- Lei.pdf.
Nombreuses similitudes entre la LGPD et le RGPD
Le site GDPR.EU a préparé une comparaison de base entre le RGPD et la LGPD, intitulée « Qu’est-ce que la LGPD ? La version brésilienne du RGPD ». Selon l’analyse, les deux législations présentent de nombreuses similitudes, mais aussi certaines différences importantes. Une similitude fondamentale est que « la LGPD s’applique à toute entreprise ou organisation qui traite des données personnelles de personnes au Brésil, quel que soit le lieu où cette entreprise ou organisation est située ».
Les organisations qui ont déjà appliqué le RGPD reconnaîtront l’Article 18 de la LGPD. Il décrit les neuf droits fondamentaux des titulaires des données. Ceux-ci incluent, par exemple, le droit de confirmation de l’existence du traitement, le droit de rectification des données incomplètes, incorrectes ou périmées, ou encore le droit d’anonymiser, de bloquer ou de supprimer des données inutiles, excessives ou traitées en dehors des conditions de la LGPD.
Par ailleurs, il existe quelques différences, par exemple, en ce qui concerne la communication des violations de données. Le RGPD exige que les organisations signalent une violation de données dans les 72 heures suivant la découverte. La LGPD ne précise aucun délai concret (conformément à l’article 48).
La Loi Brésilienne de Protection des Données créant de la confusion
Ces dernières semaines, cependant, les actions politiques relatives à la nouvelle loi de protection des données ont causé une certaine confusion quant à sa date de mise en vigueur initiale. Ceux qui ont suivi les débats ont pu observer de nombreux changements de date concernant l’entrée en vigueur officielle de la LGPD. Les dates possibles de publication étaient mai 2021, jusqu’à la fin de l’année 2020, ou même le 16 août de cette année.
Comme l’a rapporté le site Canaltech le 28 août de cette année, la Chambre des Députés du Brésil avait déjà approuvé la Mesure Provisoire (MP) 959/2020, fixant ainsi la date d’entrée au 31 décembre de cette année 2020. Mais le Sénat a eu une opinion différente et a transformé la MP en Projet de Loi de Conversion (PLC) 34/2020, qui attend maintenant la sanction finale du Président Jair Bolsonaro pour mettre la LGPD en vigueur immédiatement. Il est important de souligner que les entreprises doivent rester vigilantes, car la loi pourrait entrer en vigueur rétroactivement.
L’entité responsable de faire appliquer la loi est l’Autorité Nationale de Protection des Données (ANPD). Selon la Loi 14.010, les éventuelles sanctions ne devraient être appliquées qu’à partir d’août 2021.
Étapes importantes pour adopter la LGPD
Néanmoins, les entreprises brésiliennes ont déjà commencé à réviser leurs politiques de protection des données. Principalement, les départements juridiques des grandes entreprises brésiliennes ont également commencé à envoyer des questionnaires de conformité à la LGPD à leurs fournisseurs et partenaires. Cela est principalement dû au fait que tant le contrôleur que le processeur peuvent être tenus responsables de la violation des règles de la LGPD.
La LGPD présente une série d’obligations pour ceux qui souhaitent traiter des données personnelles, afin de les protéger contre les traitements non autorisés. Selon l’article 7 de la LGPD, le traitement des données est autorisé, par exemple, lorsque le consentement spécifique, gratuit, informé et sans ambiguïté du titulaire des données est donné. Une autre base juridique est le traitement des données pour l’exécution d’un contrat ou des étapes antérieures à la conclusion d’un contrat.
En tant qu’élément central de la conformité à la LGPD, toutes les entreprises doivent nommer ou engager un Délégué à la Protection des Données (DPD). Le DPD peut être un employé ou un prestataire de services externe. Le responsable a pour tâche de recevoir les plaintes et autres communications des titulaires de données, de fournir des éclaircissements ou de prendre les mesures nécessaires. Il guide également les employés et les fournisseurs sur les questions relatives à la LGPD.
64% des entreprises ne sont toujours pas conformes à la loi
Une récente enquête nationale a montré que 64 % des organisations ne se sont pas encore conformées à la Loi sur la Protection des Données (LGPD). Parmi elles, 24 % ne savent même pas de quoi il s’agit. Pour ces résultats, plus de 400 entreprises brésiliennes ont répondu à un questionnaire entre juin et juillet de cette année.
« Les entreprises qui ne se conforment pas à la LGPD, ou dont les partenaires commerciaux ne sont pas conformes à la LGPD, pourraient bientôt être soumises à des sanctions significatives et à des demandes de dédommagement », a déclaré Lukas Rhomberg (FCR Law). Il recommande que les entreprises qui n’ont pas encore mis en œuvre un programme de conformité à la LGPD le fassent de toute urgence.
En comparaison avec les amendes maximales du RGPD, celles prévues par la LGPD sont beaucoup moins sévères. Selon la législation actuelle, l’amende maximale par infraction serait de « 2 % du chiffre d’affaires de la personne morale privée, du groupe ou du conglomérat au Brésil, pour l’exercice fiscal précédent, hors impôts, jusqu’à un maximum total de 50 millions de reais ».
Pour plus d’informations ou pour parler avec l’un de nos consultants d’affaires,
vous pouvez remplir le formulaire de contact sur notre site ou nous contacter par message ou téléphone.
Dans un monde de plus en plus connecté, avec un nombre croissant de services et d’utilisateurs d’Internet, la protection des données est devenue de plus en plus importante, tant pour les entreprises que pour les particuliers. Ainsi, plusieurs régions et pays ont déjà mis en place des lois complètes sur la protection des données. Des exemples bien connus sont la Loi sur la confidentialité des consommateurs de Californie (CCPA), établie par l’État de Californie aux États-Unis, et le Règlement Général sur la Protection des Données (RGPD), en vigueur pour l’Union Européenne.
Suivant cette tendance mondiale, le Brésil a adopté sa Loi Générale sur la Protection des Données Personnelles en 2018. En portugais, elle est appelée LGPD, ou Lei Geral de Proteção de Dados. Inspirée par le RGPD, la LGPD vise à réglementer le traitement des données personnelles des personnes identifiables ou identifiées au Brésil. Ce traitement inclut, entre autres, la collecte, le stockage, l’utilisation ou le transfert de données personnelles.
« Alors que les données personnelles sont devenues un atout de plus en plus important dans notre économie, on peut s’attendre à ce que la LGPD ait un impact significatif sur la plupart des entreprises et industries brésiliennes », a déclaré Lukas Rhomberg, associé du cabinet d’avocats brésilien FCR Law et de la société de conseil ILM Group à São Paulo. Une version en anglais de la LGPD, créée par le cabinet d’avocats brésilien Pereira Neto Macedo Advogados, est accessible à https://www.pnm.adv.br/wp-content/uploads/2018/08/Brazilian-General-Data-Protection- Lei.pdf.
Nombreuses similitudes entre la LGPD et le RGPD
Le site GDPR.EU a préparé une comparaison de base entre le RGPD et la LGPD, intitulée « Qu’est-ce que la LGPD ? La version brésilienne du RGPD ». Selon l’analyse, les deux législations présentent de nombreuses similitudes, mais aussi certaines différences importantes. Une similitude fondamentale est que « la LGPD s’applique à toute entreprise ou organisation qui traite des données personnelles de personnes au Brésil, quel que soit le lieu où cette entreprise ou organisation est située ».
Les organisations qui ont déjà appliqué le RGPD reconnaîtront l’Article 18 de la LGPD. Il décrit les neuf droits fondamentaux des titulaires des données. Ceux-ci incluent, par exemple, le droit de confirmation de l’existence du traitement, le droit de rectification des données incomplètes, incorrectes ou périmées, ou encore le droit d’anonymiser, de bloquer ou de supprimer des données inutiles, excessives ou traitées en dehors des conditions de la LGPD.
Par ailleurs, il existe quelques différences, par exemple, en ce qui concerne la communication des violations de données. Le RGPD exige que les organisations signalent une violation de données dans les 72 heures suivant la découverte. La LGPD ne précise aucun délai concret (conformément à l’article 48).
La Loi Brésilienne de Protection des Données créant de la confusion
Ces dernières semaines, cependant, les actions politiques relatives à la nouvelle loi de protection des données ont causé une certaine confusion quant à sa date de mise en vigueur initiale. Ceux qui ont suivi les débats ont pu observer de nombreux changements de date concernant l’entrée en vigueur officielle de la LGPD. Les dates possibles de publication étaient mai 2021, jusqu’à la fin de l’année 2020, ou même le 16 août de cette année.
Comme l’a rapporté le site Canaltech le 28 août de cette année, la Chambre des Députés du Brésil avait déjà approuvé la Mesure Provisoire (MP) 959/2020, fixant ainsi la date d’entrée au 31 décembre de cette année 2020. Mais le Sénat a eu une opinion différente et a transformé la MP en Projet de Loi de Conversion (PLC) 34/2020, qui attend maintenant la sanction finale du Président Jair Bolsonaro pour mettre la LGPD en vigueur immédiatement. Il est important de souligner que les entreprises doivent rester vigilantes, car la loi pourrait entrer en vigueur rétroactivement.
L’entité responsable de faire appliquer la loi est l’Autorité Nationale de Protection des Données (ANPD). Selon la Loi 14.010, les éventuelles sanctions ne devraient être appliquées qu’à partir d’août 2021.
Étapes importantes pour adopter la LGPD
Néanmoins, les entreprises brésiliennes ont déjà commencé à réviser leurs politiques de protection des données. Principalement, les départements juridiques des grandes entreprises brésiliennes ont également commencé à envoyer des questionnaires de conformité à la LGPD à leurs fournisseurs et partenaires. Cela est principalement dû au fait que tant le contrôleur que le processeur peuvent être tenus responsables de la violation des règles de la LGPD.
La LGPD présente une série d’obligations pour ceux qui souhaitent traiter des données personnelles, afin de les protéger contre les traitements non autorisés. Selon l’article 7 de la LGPD, le traitement des données est autorisé, par exemple, lorsque le consentement spécifique, gratuit, informé et sans ambiguïté du titulaire des données est donné. Une autre base juridique est le traitement des données pour l’exécution d’un contrat ou des étapes antérieures à la conclusion d’un contrat.
En tant qu’élément central de la conformité à la LGPD, toutes les entreprises doivent nommer ou engager un Délégué à la Protection des Données (DPD). Le DPD peut être un employé ou un prestataire de services externe. Le responsable a pour tâche de recevoir les plaintes et autres communications des titulaires de données, de fournir des éclaircissements ou de prendre les mesures nécessaires. Il guide également les employés et les fournisseurs sur les questions relatives à la LGPD.
64% des entreprises ne sont toujours pas conformes à la loi
Une récente enquête nationale a montré que 64 % des organisations ne se sont pas encore conformées à la Loi sur la Protection des Données (LGPD). Parmi elles, 24 % ne savent même pas de quoi il s’agit. Pour ces résultats, plus de 400 entreprises brésiliennes ont répondu à un questionnaire entre juin et juillet de cette année.
« Les entreprises qui ne se conforment pas à la LGPD, ou dont les partenaires commerciaux ne sont pas conformes à la LGPD, pourraient bientôt être soumises à des sanctions significatives et à des demandes de dédommagement », a déclaré Lukas Rhomberg (FCR Law). Il recommande que les entreprises qui n’ont pas encore mis en œuvre un programme de conformité à la LGPD le fassent de toute urgence.
En comparaison avec les amendes maximales du RGPD, celles prévues par la LGPD sont beaucoup moins sévères. Selon la législation actuelle, l’amende maximale par infraction serait de « 2 % du chiffre d’affaires de la personne morale privée, du groupe ou du conglomérat au Brésil, pour l’exercice fiscal précédent, hors impôts, jusqu’à un maximum total de 50 millions de reais ».
Pour plus d’informations ou pour parler avec l’un de nos consultants d’affaires,
vous pouvez remplir le formulaire de contact sur notre site ou nous contacter par message ou téléphone.
