Bré­sil : LGPD en vigueur le 18 sep­tembre 2020

Le Bré­sil a pro­mul­gué sa nou­vel­le loi sur la pro­tec­tion des don­nées – la loi n° 13.709 du 14 août 2018, loi géné­ra­le sur la pro­tec­tion des don­nées à carac­tère per­son­nel (“Lei Geral de Pro­te­ção de Dados”, “LGPD”) – aujour­d’hui, le 18 sep­tembre 2020. L’en­trée en vigueur des dis­po­si­ti­ons d’ap­pli­ca­ti­on est pré­vue pour le 1er août 2021.

• LGPD en portugais
• tra­duc­tion anglai­se (pour les mem­bres de l’IAPP)
• tra­duc­tion fran­çai­se (via DeepL)
• site offi­ci­el du LGPD

La LGPD res­sem­ble en de nombreux points au RGPD, mais il ne s’a­git pas d’u­ne repri­se directe.

Trans­for­ma­ti­on par des ent­re­pri­ses sans éta­blis­se­ment au Bré­sil dépen­dent géo­gra­phi­quement du LGPDsi elle :

• être expor­tés sur le ter­ri­toire du Brésil
• leur but est d’offrir des biens ou des ser­vices à des per­son­nes phy­si­ques au Brésil ;
• con­cer­nent des don­nées per­son­nel­les qui ont été coll­ec­tées au Bré­sil. C’est le cas si la per­son­ne con­cer­née se trou­vait au Bré­sil au moment de la coll­ec­te – l’é­tat de fait se recou­pe donc avec celui de l’ob­ser­va­ti­on du com­porte­ment selon l’art. 3, al. 2, let. b RGPD.

La LGPD con­ti­ent tou­te­fois une excep­ti­on nota­ble au champ d’ap­pli­ca­ti­on, sans pré­cé­dent dans le RGPD : elle ne s’ap­pli­que pas au trai­te­ment de don­nées per­son­nel­les qui

• ont été ache­tés en dehors du Brésil,
• ne sont pas trans­mi­ses au-delà des frontières,
• ne font pas l’ob­jet d’u­ne com­mu­ni­ca­ti­on ( ?), et
• ne sont pas par­ta­gées avec un responsable du trai­te­ment ou un sous-trai­tant bré­si­li­en ; à con­di­ti­on que 
• l’É­tat du trai­te­ment dis­po­se d’un niveau de pro­tec­tion adéquat.

Quel­ques aut­res Dif­fé­ren­ces avec le RGPDsur la base des don­nées de dataguidance.com :

• Les don­nées anony­mes peu­vent excep­ti­on­nel­le­ment être con­sidé­rées com­me des don­nées per­son­nel­les si elles sont uti­li­sées pour cré­er ou enri­chir un pro­fil de la per­son­na­li­té (ce qui est tou­te­fois éga­le­ment le cas selon le RGPD, car le fait de les asso­cier à une per­son­ne dev­rait trans­for­mer des don­nées fac­tu­el­les en don­nées personnelles) ;
• il n’e­xi­ste pas de direc­ti­ves con­crè­tes pour les cont­rats ent­re respons­ables du trai­te­ment et sous-traitants ;
• la LGPD con­ti­ent une base juri­di­que spé­ci­fi­que pour le trai­te­ment (i) de don­nées per­son­nel­les sen­si­bles par des insti­tuts de recher­che à des fins de recher­che et (ii) pour le trai­te­ment de don­nées per­son­nel­les ordi­naires à des fins de véri­fi­ca­ti­on de la solvabilité ;
• une exemp­ti­on pour les PME de l’ob­li­ga­ti­on de tenir un regist­re des trai­te­ments fait défaut ;
• Les critères de seuil pour la réa­li­sa­ti­on d’u­ne ana­ly­se d’im­pact rela­ti­ve à la pro­tec­tion des don­nées font défaut et l’au­to­ri­té de con­trô­le peut ordon­ner qu’u­ne tel­le ana­ly­se soit réa­li­sée. Des dis­po­si­ti­ons rela­ti­ves à la con­sul­ta­ti­on de l’au­to­ri­té de con­trô­le font défaut ;
• l’ob­li­ga­ti­on de dési­gner un DPO ne s’ap­pli­que qu’aux respons­ables, mais ici sans excep­ti­on (l’au­to­ri­té de sur­veil­lan­ce pou­vant tou­te­fois édic­ter des dis­po­si­ti­ons d’exécution) ;
• l’au­to­ri­té de con­trô­le peut édic­ter des exi­gen­ces mini­ma­les en matiè­re de sécu­ri­té des données ;
• il man­que un délai maxi­mal pour la noti­fi­ca­ti­on des vio­la­ti­ons de la sécu­ri­té des données ;
• Les deman­des des per­son­nes con­cer­nées doi­vent être trai­tées sans délai ; si cela n’est pas pos­si­ble, il faut le signal­er de maniè­re moti­vée. Les deman­des d’in­for­ma­ti­on doi­vent en prin­ci­pe être trai­tées dans un délai de 15 jours ;
• l’ob­li­ga­ti­on d’in­for­ma­ti­on est un peu plus lar­ge que cel­le pré­vue par le RGPD ;
• Les amen­des peu­vent être simp­les ou par jour de vio­la­ti­on (par exemp­le en cas de non-respect d’u­ne décis­i­on), cha­cu­ne pou­vant att­eind­re un mon­tant d’en­vi­ron 8,5 mil­li­ons de CHF.