Si votre entreprise sert des clients au Bresil et dans l’Union europeenne, vous etes soumis a deux des cadres de protection des donnees les plus importants au monde : la Lei Geral de Protecao de Dados Pessoais (LGPD, loi n° 13.709/2018) du Bresil et le Reglement General sur la Protection des Donnees (RGPD) europeen. Si les deux lois partagent des objectifs similaires et que la LGPD a ete influencee par le RGPD, il existe des differences significatives qui affectent directement votre strategie de conformite. Ce guide compare les deux cadres pour vous aider a construire une approche integree, avec un eclairage particulier depuis la perspective francaise et le role de la CNIL.
Origines et fondements
RGPD. Adopte en 2016 et en vigueur depuis mai 2018, le RGPD est un reglement directement applicable dans les 27 Etats membres de l’UE. Il repose sur le principe que la protection des donnees est un droit fondamental (article 8 de la Charte des droits fondamentaux de l’UE). Il est prescriptif, detaille et accompagne d’un vaste corpus de jurisprudence et de recommandations des autorites nationales. En France, la CNIL est l’autorite de controle, completee par la loi Informatique et Libertes adaptee au RGPD.
LGPD. Promulguee en 2018 et en vigueur depuis septembre 2020, la LGPD s’est largement inspiree du RGPD mais a ete adaptee au contexte juridique bresilien. Elle integre des elements du Code de protection du consommateur, du Marco Civil da Internet et de la Constitution federale (article 5, alineas X et XII). L’ANPD, creee en 2020, est encore en train de construire le cadre reglementaire complet.
Champ d’application
Personnes protegees
RGPD : Toute personne physique (personne concernee) situee dans l’Union europeenne, independamment de sa nationalite ou de sa residence.
LGPD : Toute personne physique dont les donnees personnelles sont traitees dans le cadre d’operations realisees sur le territoire bresilien, visant a offrir des biens ou services a des personnes au Bresil, ou impliquant des donnees collectees au Bresil (article 3).
Quelles entreprises doivent se conformer
RGPD : Toute organisation, partout dans le monde, qui traite des donnees personnelles de personnes dans l’UE, a condition qu’elle propose des biens ou services aux residents de l’UE ou surveille leur comportement (article 3). Pas de seuil de chiffre d’affaires ni de volume minimum de donnees.
LGPD : Toute organisation, partout dans le monde, qui effectue des operations de traitement dans les conditions de l’article 3. Egalement sans seuil de chiffre d’affaires.
Les deux lois ont une portee extraterritoriale, ce qui signifie que les entreprises situees en dehors du Bresil ou de l’UE peuvent etre tenues de s’y conformer. La CNIL a d’ailleurs traite des cas impliquant des entreprises non europeennes.
Bases legales du traitement
C’est l’un des domaines ou les deux lois sont les plus similaires, mais avec des differences importantes.
RGPD : Six bases legales (article 6) — consentement, execution d’un contrat, obligation legale, interets vitaux, mission d’interet public et interets legitimes.
LGPD : Dix bases legales (article 7) — les six du RGPD plus la protection du credit, la protection de la sante, les etudes de recherche par des organismes de recherche et l’exercice regulier de droits.
| Base legale | RGPD | LGPD |
|---|---|---|
| Consentement | Article 6(1)(a) | Article 7, I |
| Obligation legale | Article 6(1)(c) | Article 7, II |
| Execution d’un contrat | Article 6(1)(b) | Article 7, V |
| Interet legitime | Article 6(1)(f) | Article 7, IX |
| Protection de la vie | Article 6(1)(d) | Article 7, VII |
| Mission d’interet public | Article 6(1)(e) | Article 7, III |
| Protection du credit | Non prevu | Article 7, X |
| Protection de la sante | Incluse dans les interets vitaux | Article 7, VIII (base autonome) |
| Recherche | Incluse dans l’interet public | Article 7, IV (base autonome) |
| Exercice de droits | Inclus dans l’obligation legale | Article 7, VI (base autonome) |
La LGPD est plus granulaire dans ses bases legales, creant des bases autonomes pour des situations que le RGPD traite comme des sous-categories de bases plus larges.
Consentement
RGPD : Doit etre donne librement, etre specifique, eclaire et sans ambiguite (article 7). La charge de la preuve incombe au responsable du traitement. Le consentement pour les donnees sensibles doit etre explicite (article 9).
LGPD : Doit etre libre, eclaire et sans ambiguite, fourni par ecrit ou par d’autres moyens demontrant l’expression de volonte du titulaire (article 8). Pour les donnees sensibles, le consentement doit etre specifique et mis en evidence (article 11).
Les differences pratiques sont subtiles mais pertinentes. Le RGPD exige que le consentement soit « specifique » pour chaque finalite, tandis que la LGPD l’exige « pour des finalites determinees ». La LGPD precise egalement que le consentement ecrit doit figurer dans une clause distincte des autres clauses contractuelles. La CNIL a publie des lignes directrices detaillees sur le consentement dans le cadre du RGPD qui restent une reference utile.
Droits des personnes concernees
Les deux lois conferent un ensemble solide de droits, mais avec des differences notables :
| Droit | RGPD | LGPD |
|---|---|---|
| Acces | Article 15 | Article 18, I et II |
| Rectification | Article 16 | Article 18, III |
| Effacement | Article 17 (droit a l’oubli) | Article 18, IV (anonymisation, blocage ou suppression) |
| Portabilite | Article 20 | Article 18, V |
| Opposition | Article 21 | Article 18, IV (partiellement) |
| Revision des decisions automatisees | Article 22 | Article 20 |
| Information sur le partage | Implicite dans les articles 13-14 | Article 18, VII (droit explicite) |
| Delai de reponse | 1 mois (prolongeable a 3) | 15 jours pour la confirmation ; delai raisonnable pour les autres |
Difference notable : la LGPD garantit explicitement le droit a l’information sur les entites avec lesquelles les donnees ont ete partagees (article 18, VII), tandis que le RGPD traite cela dans le cadre des obligations de transparence. La LGPD prevoit egalement la revision des decisions automatisees (article 20) mais sans l’exigence d’intervention humaine que le RGPD etablit a l’article 22.
Donnees sensibles
RGPD : Categories speciales de donnees (article 9) — origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, donnees genetiques, donnees biometriques, donnees de sante, vie sexuelle ou orientation sexuelle. Le traitement est interdit sauf exceptions specifiques.
LGPD : Donnees sensibles (article 5, II) — origine raciale ou ethnique, conviction religieuse, opinion politique, appartenance syndicale ou a une organisation religieuse, philosophique ou politique, donnees de sante, vie sexuelle, donnees genetiques ou biometriques.
Les categories sont similaires mais pas identiques. La LGPD inclut « conviction philosophique » et « appartenance a des organisations philosophiques ou politiques », qui n’ont pas d’equivalent direct dans le RGPD. Le RGPD inclut explicitement les « opinions politiques », tandis que la LGPD utilise « opinion politique ».
Transferts internationaux de donnees
RGPD : Les transferts en dehors de l’EEE necessitent une decision d’adequation, des Clauses Contractuelles Types (CCT), des Regles d’Entreprise Contraignantes (BCR) ou un autre mecanisme approuve (chapitre V). Le processus est rigoureux et bien reglemente. La CNIL a joue un role cle dans le developpement de ces mecanismes, notamment apres l’arret Schrems II.
LGPD : L’article 33 liste plusieurs conditions pour les transferts internationaux, notamment les pays avec un niveau de protection adequat, les clauses contractuelles specifiques, les clauses types, les regles d’entreprise contraignantes et le consentement specifique. L’ANPD est encore en train de reglementer les mecanismes, et le cadre n’est pas aussi developpe que le cadre europeen.
En pratique, les entreprises qui disposent deja de CCT au titre du RGPD peuvent les adapter pour la LGPD, mais devraient attendre les reglements definitifs de l’ANPD pour garantir une pleine conformite.
Sanctions et application
| Aspect | RGPD | LGPD |
|---|---|---|
| Amende maximale | 20 M EUR ou 4 % du CA mondial | 50 millions BRL ou 2 % du CA au Bresil |
| Base de calcul | CA mondial | CA au Bresil (pas mondial) |
| Autorite | APD nationales (CNIL, etc.) | ANPD |
| Pouvoir de sanction directe | Oui | Oui |
| Sanctions non monetaires | Interdiction de traitement | Blocage, suppression, suspension, interdiction |
| Action privee | Oui (article 82) | Oui (Code civil + Code du consommateur) |
Le RGPD prevoit des sanctions pecuniaires potentiellement beaucoup plus elevees (base mondiale vs Bresil uniquement). La CNIL a deja inflige des amendes records de plusieurs centaines de millions d’euros. Toutefois, la LGPD offre des sanctions non monetaires severes — la suspension ou l’interdiction des activites de traitement peut etre plus devastatrice pour une entreprise qu’une amende financiere.
DPO / Encarregado
RGPD : Obligatoire pour les autorites publiques, le suivi systematique a grande echelle ou le traitement a grande echelle de donnees sensibles (article 37).
LGPD : Obligatoire pour tous les responsables de traitement (article 41). L’ANPD peut etablir des exemptions pour les agents de traitement de petite envergure.
La LGPD est plus large dans cette exigence : alors que le RGPD limite l’obligation a des situations specifiques, la LGPD l’impose comme regle generale.
Strategie de conformite pour les entreprises bi-juridictionnelles
1. Commencer par la conformite RGPD. Les exigences europeennes sont generalement plus restrictives. Une solide conformite RGPD couvre la majorite des obligations LGPD. Les entreprises francaises deja en conformite avec les recommandations de la CNIL ont un avantage significatif.
2. Ajouter les elements specifiques a la LGPD. Les quatre bases legales supplementaires, le delai de reponse de 15 jours pour la confirmation, le droit explicite a l’information sur le partage et les sanctions non monetaires necessitent une attention specifique.
3. Adapter la base de calcul des sanctions. Le RGPD calcule sur le CA mondial ; la LGPD sur le CA au Bresil. Cela peut affecter votre analyse de risque.
4. Suivre l’ANPD. L’autorite bresilienne est encore en train de construire son cadre reglementaire. Les reglements sur les transferts internationaux, les rapports d’impact et les criteres d’adequation sont en cours d’elaboration.
5. Tout documenter. Les registres de traitement (article 30 du RGPD), les registres d’incidents (les deux) et les registres de demandes des personnes concernees (les deux) sont essentiels pour demontrer la conformite.
Pour verifier la conformite de votre site en quelques secondes, utilisez notre scanner de conformite gratuit. Pour approfondir, consultez notre guide complet de la LGPD et notre guide sur la politique de confidentialite LGPD.
Conclusion
La LGPD et le RGPD partagent des origines et des objectifs mais different dans des details qui comptent en pratique. La LGPD a davantage de bases legales, une portee plus large pour les exigences DPO et des sanctions non monetaires potentiellement plus severes. Le RGPD prevoit des sanctions financieres plus elevees, des droits des personnes concernees plus detailles et un cadre reglementaire plus mature, avec l’expertise d’autorites comme la CNIL. Pour les entreprises operant dans les deux juridictions, l’approche la plus efficace est de s’appuyer sur la conformite RGPD et de la completer par les specificites de la LGPD. L’inaction n’est pas une option : les risques reglementaires des deux cotes de l’Atlantique continuent de croitre.