Conformité LGPD au Brésil : protection des données pour les opérations en Amérique latine

La Lei Geral de Proteção de Dados Pessoais (LGPD — Loi n° 13 709/2018) du Brésil est entrée en vigueur le 18 septembre 2020 et est entrée en vigueur par l'Autoridade Nacional de Proteção de Dados (ANPD) à partir d'août 2021. Le Brésil est le cinquième plus grand pays du monde en termes de population et la sixième plus grande économie, ce qui rend la conformité à la LGPD essentielle pour toute organisation ayant des activités au Brésil, clients ou employés.

Étroitement calquée sur le RGPD de l'UE, la LGPD introduit des bases juridiques pour le traitement, les droits des personnes concernées, une exigence de DPO, des restrictions sur les transferts transfrontaliers et des amendes pouvant aller jusqu'à 2 % des revenus annuels brésiliens plafonnés à 50 millions de reais (~ 10 millions de dollars américains) par violation. L’ANPD a infligé ses premières amendes importantes et publié des orientations spécifiques au secteur – l’application n’est plus théorique.

Points clés à retenir

• La LGPD s'applique à toute organisation traitant des données personnelles d'individus au Brésil, quel que soit le lieu où elle est basée.
• Dix bases juridiques pour le traitement existent — aucune n'est une valeur par défaut ; vous devez documenter la base de chaque activité
• Le consentement en vertu de la LGPD doit être libre, éclairé, sans ambiguïté et dans un but spécifique — les cases pré-cochées ne sont pas admissibles
• Les données personnelles sensibles (race, religion, santé, biométrie, opinions politiques, orientation sexuelle) nécessitent un consentement explicite ou des exceptions spécifiques
• La nomination d'un DPO (Encarregado) est obligatoire pour la plupart des responsables du traitement et des sous-traitants
• Les transferts transfrontaliers sont restreints — les mécanismes autorisés incluent les décisions d'adéquation, les clauses contractuelles types et les systèmes de certification
• Les amendes de l'ANPD atteignent 2 % des revenus brésiliens, plafonnées à 50 millions de reais par infraction.
• La LGPD a été mise à jour par la loi 13 853/2019, qui a renforcé l'indépendance de l'ANPD et clarifié les dispositions d'application

---

Portée de la LGPD et application territoriale

La LGPD s'applique à tout traitement de données personnelles qui :

1. Est réalisé sur le territoire brésilien
2. A pour but d'offrir des biens ou des services à des particuliers situés au Brésil
3. Implique des données personnelles collectées au Brésil

À l'instar de l'article 3 du RGPD, cette portée extraterritoriale signifie qu'une entreprise américaine exploitant une boutique de commerce électronique en langue portugaise servant des clients brésiliens doit se conformer à la LGPD pour les données de ces clients. Une multinationale avec des employés brésiliens doit se conformer au traitement des données de ses employés.

Les exemptions de la LGPD incluent :

• Traitement effectué exclusivement à des fins privées et non pour une activité économique
• Traitement à des fins journalistiques, artistiques ou académiques
• Traitement destiné à la sécurité publique, à la défense nationale ou à une enquête pénale (couvert par une législation spécifique)
• Données provenant de l'extérieur du Brésil et ne faisant pas l'objet de communication ou d'utilisation partagée avec des agents brésiliens

Toutefois, ces exemptions sont interprétées de manière restrictive. La plupart des transformations commerciales ne sont pas admissibles.

---

Bases juridiques du traitement des données personnelles

L'article 7 de la LGPD établit dix bases juridiques pour le traitement des données personnelles. Cela diffère du RGPD (qui en compte six) et reflète le contexte législatif spécifique du Brésil. Chaque activité de traitement doit être documentée sur l'une de ces bases :

Les intérêts légitimes en vertu de la LGPD sont plus restreints que ceux du RGPD : les responsables du traitement doivent mettre en balance l'intérêt légitime avec les droits et libertés fondamentaux de la personne concernée. Les directives de l'ANPD indiquent que cela nécessite un test documenté en trois parties similaire au RGPD, et que les fins commerciales à elles seules ne sont pas automatiquement admissibles.

Les données personnelles sensibles (article 11) comprennent les données sur l'origine raciale ou ethnique, les convictions religieuses, les opinions politiques, l'appartenance à un syndicat ou à une organisation religieuse, les données sur la santé, la vie sexuelle, les données génétiques ou biométriques. Le traitement de données sensibles nécessite un consentement explicite ou l'une des sept bases juridiques spécifiques (obligation légale, recherche, soins médicaux, etc.). La norme de consentement pour les données sensibles est plus élevée : explicite, distincte des autres consentements et spécifique à un objectif.

---

Droits des personnes concernées en vertu de la LGPD

L'article 18 de la LGPD accorde aux personnes concernées neuf droits :

Principales différences par rapport au RGPD :

• La LGPD inclut le droit de connaître les conséquences d'un refus de consentement – exigeant la divulgation préalable de ce qui se passe si un utilisateur refuse
• "Sans retard injustifié" est moins prescriptif que le délai de 30 jours du RGPD — les réglementations de l'ANPD devraient préciser les délais
• Les droits de portabilité sont conditionnés à la faisabilité technique et à la réglementation ANPD

Exercice des droits : les personnes concernées soumettent des demandes au responsable du traitement. Le responsable du traitement doit répondre dans les 15 jours (pour les demandes de confirmation et d'accès) en vertu de la résolution ANPD CD/ANPD n° 4/2023. Pour les autres droits, les responsables du traitement doivent répondre dans les plus brefs délais, tel que défini par la réglementation ANPD.

---

Obligations du contrôleur et du sous-traitant

Data Controller (Controlador) : Détermine les finalités et les moyens du traitement. A des obligations LGPD principales, notamment la documentation de la base juridique, les avis de confidentialité, le respect des droits des personnes concernées, la nomination du DPO, les rapports ANPD et les mesures de sécurité.

Traiteur de données (Opérateur) : Traite les données pour le compte d'un responsable du traitement dans le cadre d'un contrat. Les sous-traitants partagent la responsabilité des violations lorsqu'ils ne suivent pas les instructions du contrôleur ou agissent contrairement à la LGPD. Les responsables du traitement doivent utiliser uniquement des sous-traitants offrant des garanties suffisantes de conformité LGPD.

Exigences relatives à l'accord du sous-traitant (article 39) : les responsables du traitement et les sous-traitants doivent avoir un contrat écrit couvrant :

• Instructions de traitement des données personnelles
• Obligations de sécurité
• Exigences de confidentialité
• Prise en charge des droits des personnes concernées
• Obligations de restitution ou de suppression des données à la résiliation du contrat

Titulaires conjoints : la LGPD ne traite pas explicitement des accords de traitement conjoint (contrairement à l'article 26 du RGPD), mais les directives de l'ANPD indiquent que les situations de traitement conjoint doivent être traitées contractuellement avec une répartition claire des responsabilités.

---

Délégué à la protection des données (Encarregado)

L'article 41 exige que les responsables du traitement et les sous-traitants nomment un délégué à la protection des données (Encarregado). Contrairement au RGPD, la LGPD ne prévoit pas de seuils : l’exigence semble s’appliquer largement aux responsables du traitement et aux sous-traitants. L'ANPD a indiqué que les petites organisations et les entreprises individuelles peuvent avoir des obligations réduites, et la résolution CD/ANPD n° 2/2022 de l'ANPD a établi des dispositions simplifiées pour les petits processeurs de données.

Responsabilités du DPO (Encarregado) :

• Agir comme canal de communication entre le responsable du traitement, les personnes concernées et l'ANPD
• Recevoir les plaintes des personnes concernées et communiquer avec elles concernant leurs droits
• Recevoir les communications de l'ANPD et prendre les mesures appropriées
• Conseiller les employés internes sur les pratiques de protection des données
• Effectuer d'autres tâches définies par le responsable du traitement ou établies dans le règlement ANPD

Exigence de publication : les contrôleurs doivent divulguer publiquement l'identité et les coordonnées de l'Encarregado, généralement dans la politique de confidentialité.

Peut être interne ou externe : contrairement au RGPD, la LGPD n'interdit pas les conflits d'intérêts pour le rôle du DPO, bien que les meilleures pratiques suggèrent que le DPO devrait avoir une indépendance suffisante. Les services externes DPO de consultants qualifiés sont largement utilisés.

---

Exigences de sécurité

L'article 46 exige que les responsables du traitement et les sous-traitants adoptent des mesures de sécurité, techniques et administratives pour protéger les données personnelles contre tout accès non autorisé et toute situation accidentelle ou illégale de destruction, perte, altération, communication ou toute forme de traitement inapproprié ou illégal.

La résolution ANPD CD/ANPD n° 4/2023 et les orientations associées précisent les exigences minimales de sécurité. Les principales mesures techniques comprennent :

Contrôles d'accès :

• Mécanismes d'authentification proportionnels à la sensibilité des données
• Limitation des privilèges (accès minimum nécessaire)
• Journalisation des activités pour l'accès aux données sensibles

Cryptage :

• Cryptage des données personnelles sensibles stockées
• Cryptage pour la transmission des données personnelles
• Procédures de gestion des clés

Gestion du cycle de vie des données :

• Délais de conservation documentés
• Suppression sécurisée ou anonymisation à la fin de la période de conservation

Mesures organisationnelles :

• Formation LGPD pour tous les collaborateurs traitant des données personnelles
• Prise en compte de la confidentialité dès la conception dans les nouveaux systèmes
• Évaluations et audits de sécurité réguliers
• Procédures de réponse aux incidents

---

Notification de violation

L'article 48 exige que les responsables du traitement informent l'ANPD et les personnes concernées des incidents de sécurité pouvant entraîner des risques ou des dommages importants pour les personnes concernées. La LGPD ne précise pas de délai de notification spécifique : la loi stipule que la notification doit être effectuée « dans un délai raisonnable ». La résolution ANPD CD/ANPD n° 2/2023 sur la notification des incidents établit une obligation de notification préalable de 2 jours ouvrables pour les incidents affectant un grand nombre de personnes concernées ou impliquant des données sensibles, avec une notification détaillée dans les 5 jours ouvrables.

Contenu de la notification à l'ANPD :

• Nature des données concernées et nombre de personnes concernées
• Conséquences probables de l'incident
• Mesures mises en œuvre ou prévues pour faire face à la situation
• Identification du DPO (Encarregado)

Notification aux personnes concernées : lorsque l'incident peut causer un préjudice important aux personnes concernées, l'ANPD peut exiger une notification aux personnes concernées, y compris la nature de l'incident et les mesures prises pour en atténuer les effets.

---

Transferts de données transfrontaliers

L'article 33 de la LGPD restreint les transferts internationaux de données personnelles. Les mécanismes autorisés comprennent :

État actuel des décisions d'adéquation : début 2026, l'ANPD n'avait pas encore publié de décisions d'adéquation pour des pays spécifiques (y compris l'UE), bien que cela soit en cours de discussion. En pratique, la plupart des organisations recourent au consentement ou à des clauses contractuelles spécifiques en attendant les clauses contractuelles types de l'ANPD.

Transferts UE : malgré les similitudes de la LGPD avec le RGPD, il n'y a pas de reconnaissance d'adéquation mutuelle. Les transferts UE → Brésil nécessitent des mécanismes compatibles avec le RGPD. Les transferts Brésil → UE nécessitent des mécanismes compatibles LGPD. Les flux de données multinationaux nécessitent que les deux cadres soient satisfaits.

---

Application de l'ANPD et sanctions

L'ANPD (Autoridade Nacional de Proteção de Dados) est devenue opérationnellement indépendante du gouvernement fédéral en 2023 à la suite de modifications législatives. Les pouvoirs d'exécution comprennent :

Sanctions administratives (article 52) :

• Avertissement avec indication d'action corrective et de délai
• Amende simple : jusqu'à 2 % des revenus de l'entreprise au Brésil au cours de son dernier exercice fiscal, limité à 50 millions de R$ (~ 10 millions de dollars) par infraction.
• Amende quotidienne pour les violations continues (jusqu'à 50 millions de reais au total)
• Publication de la violation
• Blocage du traitement des données personnelles
• Suppression des données personnelles

Premières amendes significatives : L'ANPD a infligé ses premières amendes en 2023, ciblant un opérateur de télécommunications et une plateforme de santé, démontrant sa volonté d'imposer des sanctions à la fois aux grandes entreprises et aux petites organisations. Les amendes à ce jour vont de 14 400 R$ à 14,4 millions de R$.

Processus d'enquête : l'ANPD peut lancer des enquêtes d'office, sur la base de plaintes ou par le biais de notifications obligatoires de violation. Le processus de sanction comprend un avis à l'organisation concernée, la possibilité de présenter des défenses et des sanctions graduées basées sur la coopération et la réparation.

---

Liste de contrôle de conformité LGPD

-[ ] Analyse d'applicabilité LGPD terminée -[ ] Cartographie des données / RoPA documenté pour toutes les activités de traitement

• Base juridique documentée pour chaque activité de traitement
• Base juridique distincte documentée pour les données personnelles sensibles
• Mécanismes de consentement examinés – cases pré-cochées supprimées, objectifs spécifiques
• Politique/avis de confidentialité publié en portugais (pour les utilisateurs brésiliens) avec toutes les informations requises
• DPO (Encarregado) nommé et coordonnées publiées
• Procédures relatives aux droits des personnes concernées documentées et testées (réponse de 15 jours pour l'accès/confirmation)
• Contrats de processeur examinés et mis à jour avec les dispositions requises par la LGPD
• Mécanismes de transfert transfrontalier évalués pour tous les flux de données internationaux
• Mesures de sécurité documentées et mises en œuvre proportionnellement à la sensibilité des données
• Procédure de réponse aux incidents et de notification des violations (2 jours préliminaires, 5 jours complets) documentée -[ ] Planifications de conservation documentées et suppression automatisée configurée
• Formation des employés sur la LGPD complétée et documentée
• Examen de la confidentialité dès la conception pour les nouveaux produits et fonctionnalités

---

Questions fréquemment posées

La LGPD s'applique-t-elle à mon entreprise si nous ne sommes pas basés au Brésil ?

Oui, si votre traitement implique des données collectées au Brésil, ou si vous proposez des biens ou des services à des particuliers au Brésil. La portée extraterritoriale de la LGPD est similaire à l'approche du RGPD. Une entreprise opérant entièrement en dehors du Brésil mais exploitant un site Web en langue portugaise servant des clients brésiliens ou employant des travailleurs à distance brésiliens doit se conformer à la LGPD pour les données de ces personnes.

Quelle est la pénalité LGPD par rapport au RGPD ?

L'amende maximale de la LGPD est de 2 % des revenus annuels brésiliens, plafonnée à 50 millions de reais (~ 10 millions de dollars américains) par infraction. Le maximum du RGPD est de 4 % du chiffre d'affaires annuel mondial ou de 20 millions d'euros, selon le montant le plus élevé. Pour les grandes multinationales, les amendes RGPD peuvent être nettement plus élevées que les amendes LGPD. Cependant, le cadre « par violation » de la LGPD – où chaque personne concernée peut potentiellement constituer une violation distincte – signifie que l'exposition globale peut être très importante pour les incidents à grande échelle.

Le consentement LGPD est-il identique au consentement RGPD ?

Concept similaire mais avec quelques différences. Les deux nécessitent un consentement libre, éclairé, spécifique et sans ambiguïté. Le consentement de la LGPD doit être fourni par écrit ou par d'autres moyens démontrant l'accord (l'ANPD n'a pas encore finalisé ses lignes directrices sur les formulaires de consentement numérique). Contrairement au RGPD, la LGPD ne prévoit pas de test spécifique « librement donné » pour les contextes d'emploi – bien que le déséquilibre des pouvoirs dans les relations de travail soit pertinent pour savoir si le consentement était véritablement libre. Pour les données sensibles, la LGPD et le RGPD exigent une norme de consentement explicite et renforcée.

Comment la LGPD s'applique-t-elle aux données de santé au Brésil ?

Les données de santé sont classées comme données personnelles sensibles selon la LGPD. Le traitement nécessite un consentement explicite ou relève de bases juridiques spécifiques, notamment la protection de la santé (article 11, II, c – effectué par des professionnels ou des entités de santé). Les organismes de santé au Brésil doivent également se conformer aux réglementations sectorielles de l'Agence brésilienne de réglementation de la santé (ANVISA) et du Conseil fédéral de médecine (CFM). La LGPD et les réglementations du secteur de la santé fonctionnent en parallèle.

Existe-t-il des obligations de conformité simplifiées pour les petites entreprises ?

Oui. La résolution ANPD CD/ANPD n° 2/2022 a établi des obligations de conformité simplifiées pour les « petits processeurs de données » – définis comme des personnes physiques ou des entités juridiques privées dont les revenus annuels peuvent atteindre 4 millions de R$, ou jusqu'à 16 millions de R$ pour certains types. Les obligations simplifiées comprennent des exigences réduites en matière de déclaration et des exigences assouplies en matière de DPO. Toutefois, les obligations fondamentales, notamment la documentation sur la base juridique, les droits des personnes concernées et les mesures de sécurité, restent applicables.

---

Prochaines étapes

Le Brésil est l'un des plus grands marchés numériques d'Amérique latine, et la conformité LGPD est de plus en plus exigée par les entreprises clientes brésiliennes et les processus de passation des marchés publics. Que vous vous développiez au Brésil pour la première fois ou que vous combliez les lacunes de conformité existantes, l'équipe d'ECOSIRE peut vous aider à répondre aux exigences de la LGPD.

De la cartographie des données et de la documentation des bases juridiques à la mise en œuvre de la confidentialité dès la conception dans vos plateformes technologiques, nos services couvrent le cycle de vie complet de la conformité.

En savoir plus : Services ECOSIRE

Avertissement : ce guide est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les exigences LGPD continuent d’évoluer à travers les réglementations ANPD et les directives d’application. Consultez un conseiller juridique brésilien qualifié pour obtenir des conseils spécifiques à votre organisation.