La Lei Geral de Protecao de Dados Pessoais (LGPD), loi n° 13.709/2018, est le cadre general de protection des donnees personnelles au Bresil. En vigueur depuis septembre 2020, avec des sanctions administratives applicables depuis aout 2021, la LGPD etablit des regles precises sur la collecte, le stockage, le traitement et le partage des donnees personnelles. Avec l’Autoridade Nacional de Protecao de Dados (ANPD) qui reglemente et applique activement la loi, comprendre vos obligations est desormais une necessite operationnelle et juridique. Pour les entreprises francaises operant au Bresil ou traitant des donnees de residents bresiliens, cette loi s’ajoute aux obligations deja imposees par le RGPD et les recommandations de la CNIL.
Les principes de la LGPD
L’article 6 de la LGPD etablit dix principes qui doivent guider toute activite de traitement de donnees personnelles :
1. Finalite (Finalidade). Le traitement doit etre effectue pour des finalites legitimes, specifiques et explicites, communiquees au titulaire des donnees. Aucune collecte sans objectif documente.
2. Adequation (Adequacao). Le traitement doit etre compatible avec les finalites communiquees. Les donnees collectees doivent etre pertinentes et proportionnelles.
3. Necessite (Necessidade). Le traitement doit se limiter au minimum necessaire pour atteindre ses finalites. Ce principe, que la CNIL applique egalement sous le RGPD sous le terme de minimisation des donnees, combat la collecte excessive.
4. Libre acces (Livre acesso). Les titulaires doivent avoir un acces facile et gratuit aux informations sur la forme et la duree du traitement, ainsi qu’a l’integralite de leurs donnees personnelles.
5. Qualite des donnees (Qualidade dos dados). L’exactitude, la clarte, la pertinence et l’actualite des donnees doivent etre garanties conformement a la finalite du traitement.
6. Transparence (Transparencia). Des informations claires, precises et facilement accessibles sur le traitement et les agents de traitement doivent etre fournies. Ce principe fait echo a l’obligation de transparence du RGPD (articles 12 a 14).
7. Securite (Seguranca). Des mesures techniques et administratives doivent etre utilisees pour proteger les donnees personnelles contre les acces non autorises et les situations accidentelles ou illicites.
8. Prevention (Prevencao). Des mesures doivent etre adoptees pour prevenir les dommages decoulant du traitement des donnees personnelles.
9. Non-discrimination (Nao discriminacao). Le traitement ne peut etre effectue a des fins discriminatoires illicites ou abusives.
10. Responsabilite et reddition de comptes (Responsabilizacao e prestacao de contas). L’agent de traitement doit demontrer l’adoption de mesures efficaces capables de prouver la conformite.
Qui doit se conformer a la LGPD
La LGPD a une application extraterritoriale large (article 3). Elle s’applique a toute operation de traitement de donnees personnelles qui :
- Est realisee sur le territoire bresilien
- A pour objet l’offre ou la fourniture de biens ou services a des personnes situees au Bresil
- Implique des donnees personnelles collectees sur le territoire bresilien
Portee extraterritoriale. Une entreprise basee en France, en Allemagne ou aux Etats-Unis qui propose des produits ou services a des consommateurs bresiliens ou collecte des donnees de personnes au Bresil est soumise a la LGPD. Cette portee est comparable a celle du RGPD europeen (article 3 du RGPD), que la CNIL applique deja aux entreprises francaises.
Exceptions. La LGPD ne s’applique pas au traitement effectue par une personne physique a des fins exclusivement privees et non economiques, a des fins exclusivement journalistiques, artistiques ou academiques, ou par l’Etat a des fins de securite publique, de defense nationale et d’enquete penale (article 4).
Bases legales du traitement
La LGPD etablit dix bases legales a l’article 7 qui autorisent le traitement des donnees personnelles. Chaque operation de traitement doit etre fondee sur au moins l’une d’entre elles :
1. Consentement du titulaire. Doit etre libre, eclaire, sans ambiguite et fourni pour une finalite specifique. Le consentement peut etre revoque a tout moment.
2. Respect d’une obligation legale ou reglementaire.
3. Execution de politiques publiques par l’administration publique.
4. Etudes de recherche par des organismes de recherche.
5. Execution d’un contrat ou procedures preliminaires liees a un contrat auquel le titulaire est partie.
6. Exercice regulier de droits dans des procedures judiciaires, administratives ou arbitrales.
7. Protection de la vie ou de la securite physique du titulaire ou d’un tiers.
8. Protection de la sante dans les procedures effectuees par des professionnels de sante ou des entites sanitaires.
9. Interet legitime du responsable du traitement ou d’un tiers. Necessite un test de proportionnalite (article 10) equilibrant les interets du responsable avec les droits et attentes du titulaire. Ce concept est similaire a l’interet legitime du RGPD (article 6(1)(f)), sur lequel la CNIL a publie des lignes directrices detaillees.
10. Protection du credit.
Pour les donnees sensibles (article 11), les bases legales sont plus restreintes : consentement specifique ou necessite pour le respect d’une obligation legale, l’execution de politiques publiques, la recherche, l’exercice de droits, la protection de la vie ou la protection de la sante.
Droits des titulaires de donnees
L’article 18 de la LGPD garantit aux titulaires un ensemble complet de droits :
Confirmation et acces. Le titulaire peut demander la confirmation de l’existence d’un traitement et l’acces a ses donnees personnelles.
Correction. Droit de demander la correction de donnees incompletes, inexactes ou obsoletes.
Anonymisation, blocage ou suppression. Droit de demander l’anonymisation, le blocage ou la suppression de donnees inutiles, excessives ou non conformes.
Portabilite. Droit de demander la portabilite des donnees vers un autre fournisseur de service ou de produit, sur demande expresse.
Suppression. Droit de demander la suppression des donnees personnelles traitees sur la base du consentement.
Information sur le partage. Droit d’obtenir des informations sur les entites publiques et privees avec lesquelles le responsable a partage des donnees.
Revocation du consentement. Droit de revoquer le consentement a tout moment, par declaration expresse.
Ces droits sont largement equivalents a ceux prevus par le RGPD (articles 15 a 22), que la CNIL supervise en France.
Delegue a la protection des donnees (Encarregado)
L’article 41 de la LGPD oblige le responsable du traitement a designer un delegue a la protection des donnees (encarregado). Ses fonctions comprennent :
- Accepter les reclamations et communications des titulaires et fournir des eclaircissements
- Recevoir les communications de l’ANPD et prendre les mesures appropriees
- Conseiller les employes et sous-traitants sur les pratiques de protection des donnees
- Executer d’autres missions attribuees par le responsable ou etablies par des reglements complementaires
L’ANPD peut etablir des regles complementaires sur la dispense de designation du DPO pour les agents de traitement de petite envergure. En France, la CNIL supervise le role equivalent du DPO tel que defini par le RGPD (article 37).
Rapport d’impact sur la protection des donnees
L’article 38 de la LGPD prevoit que l’ANPD peut exiger du responsable la preparation d’un rapport d’impact sur la protection des donnees (RIPD). Ce rapport doit contenir :
- Une description des types de donnees collectees
- La methodologie utilisee pour la collecte
- Les mesures de securite de l’information
- L’analyse du responsable concernant les mesures, garanties et mecanismes d’attenuation des risques
Bien que l’ANPD n’ait pas encore entierement reglemente les criteres de preparation obligatoire du RIPD, il est fortement conseille aux entreprises qui traitent des donnees a grande echelle ou manipulent des donnees sensibles de preparer ce document de maniere proactive. Cela s’apparente a l’analyse d’impact relative a la protection des donnees (AIPD) exigee par le RGPD (article 35) et recommandee par la CNIL pour les traitements a risque eleve.
Transferts internationaux de donnees
La LGPD reglemente les transferts internationaux de donnees personnelles a l’article 33. Les transferts sont autorises lorsque :
- Vers des pays ou des organisations internationales offrant un niveau de protection adequat
- Lorsque le responsable offre des garanties de conformite aux principes de la LGPD (clauses contractuelles specifiques, clauses types, regles d’entreprise contraignantes)
- Par le consentement specifique du titulaire
- Pour le respect d’une obligation legale ou reglementaire
- Pour la cooperation juridique internationale
L’ANPD travaille a la reglementation des mecanismes de transfert, y compris les clauses contractuelles types et les criteres d’adequation, en s’inspirant des mecanismes europeens du RGPD. Les entreprises francaises qui transferent des donnees entre la France, l’UE et le Bresil doivent donc s’assurer de la conformite sous les deux regimes.
Sanctions et penalites
L’article 52 de la LGPD etablit un regime de sanctions administratives applicables par l’ANPD :
Avertissement. Avec indication du delai pour l’adoption de mesures correctives.
Amende simple. Jusqu’a 2 % du chiffre d’affaires de l’entite juridique privee, du groupe ou du conglomerat au Bresil au cours de son dernier exercice fiscal, hors taxes, limitee a un total de 50 millions de BRL par infraction.
Amende journaliere. Soumise au meme plafond total de 50 millions de BRL.
Publication de l’infraction. Apres verification et confirmation.
Blocage des donnees personnelles liees a l’infraction jusqu’a regularisation.
Suppression des donnees personnelles liees a l’infraction.
Suspension partielle du fonctionnement de la base de donnees pour un maximum de 6 mois, renouvelable pour une periode equivalente.
Suspension de l’activite de traitement des donnees pour un maximum de 6 mois, renouvelable pour une periode equivalente.
Interdiction partielle ou totale des activites liees au traitement des donnees.
L’ANPD a deja applique des sanctions a des entreprises bresiliennes, y compris des avertissements et des injonctions de mise en conformite. En comparaison, la CNIL en France peut infliger des amendes allant jusqu’a 20 millions d’euros ou 4 % du chiffre d’affaires mondial en vertu du RGPD.
Quatre approches pour la conformite LGPD
Faire appel a un avocat specialise
Cout : 15 000 a 50 000 BRL pour un programme de conformite complet. Delai : 4 a 8 semaines.
Un avocat specialise en protection des donnees peut realiser une cartographie complete des flux de donnees, rediger des politiques internes, former les equipes et structurer la reponse aux incidents. Recommande pour les entreprises avec des volumes de donnees importants ou des donnees sensibles.
Utiliser un outil d’IA generique
Cout apparent : 0 BRL. Cout reel : les lacunes de conformite qu’il cree.
Les outils d’IA generiques peuvent generer du texte ressemblant a une politique de confidentialite mais ne peuvent pas auditer vos flux de donnees reels ni garantir la couverture des dix bases legales et principes de la LGPD.
Copier un modele gratuit
Cout : 0 BRL. Risque : eleve.
Les modeles gratuits sont generiques, souvent obsoletes et jamais adaptes a votre activite specifique. L’ANPD attend que votre politique de confidentialite reflete vos pratiques de traitement reelles.
Utiliser un generateur de documents juridiques specialise
Cout : 19,90 € à 49,90 €. Delai : moins de 10 minutes.
Un generateur specialise pose des questions ciblees sur votre activite et produit une politique de confidentialite qui repond aux exigences de la LGPD, y compris les bases legales, les droits des titulaires et les obligations de transparence.
Pour verifier rapidement la conformite de votre site, utilisez notre scanner de conformite gratuit. Consultez egalement notre comparaison LGPD vs RGPD pour comprendre les differences cles, et notre guide sur la politique de confidentialite LGPD pour les elements obligatoires.
Conclusion
La LGPD a transforme le paysage de la protection des donnees au Bresil. Avec des principes clairs, des bases legales definies, des droits complets pour les titulaires et des sanctions pouvant atteindre 50 millions de BRL, la conformite n’est plus une option — c’est une obligation legale avec des consequences reelles. Pour les entreprises francaises operant au Bresil ou traitant des donnees de residents bresiliens, la LGPD s’ajoute aux obligations du RGPD supervisees par la CNIL. L’ANPD est active dans l’application et la reglementation, et le cadre reglementaire continue d’evoluer. Chaque jour sans conformite est un jour d’exposition inutile aux risques reglementaires et reputationnels. Agissez maintenant pour proteger votre entreprise et la confiance de vos clients.