USA | New York – 17 Battery Place, Suite 1307
FRANCE | Paris – 20 Rue Fortuny, 75017
BRAZIL | Sao Paulo – Al. Santos, 200 – 1º Andar
BRAZIL – Rio de Janeiro – R. Santa Luiza, 735 – 10th floor

A partir de maintenant l’Autorité de protection des données du Brésil – ANPD peut appliquer les sanctions administratives pour violation de la Loi générale de protection des données-LGPD

Le point central pour toute organisation soumise à une législation de protection des
données personnelles, telle que le RGPD en Europe ou la LGPD au Brésil, est le risque
d’être l’objet d’une pénalité administrative élevée. La pénalité pécunière peut aller
jusqu’à 4% du chiffre d’affaire annuel mondial d’une entreprise en Europe ou
20.000.000,00 Euros pour une organisation sans chiffre d’affaires. La loi brésilienne
(LGPD) prévoit un maximum de 50.000.000,00R$ par infraction (envion 10.000.000,00
Euros).

Alors que l’Autorité nationale de protection des données du Brésil – ANPD a déjà reçu
plus 7000 plaintes et que huit procédures sont en attente de définition des sanctions,
celles-ci ne pouvent pas s’appliquer sans l’adoption de la règlementation prévue à
l’article 53 de la LGPD, ainsi rédigé :

« Art.53 . L’autorité nationale de protection des données – ANPD définira, au moyen de
son propre règlement sur les sanctions administratives applicables aux infractions à la
présente loi,  qui devra faire l’objet d’une consultation publique, les méthodes qui
guideront le calcul de la valeur de base des amendes.

§ 1º Les méthodologies visées dans le cadre du présent article doivent être publiées à
l’avance, pour la mise en connaissance des agents de traitement, et doivent présenter
objectivement les formes et la dosimétrie pour le calcul de la valeur de base des
sanctions d’amendes, qui devront contenir un motif détaillé de tous ses éléments,
démontrant le respect des critères prévus par la présente loi.»

C’est précisément cette méthodologie de détermination des sanctions qui est fixée
dans la nouvelle résolution CD/ANPD n.4 du 24.02.2023. A partir du jour de la
publication de cette Résolution CD/ANPD n. 4 (27.02.2023), les sanctions peuvent
donc s’appliquer.
La Résolution n° 4 publie « un règlement de dosage et application des sanctions
administratives ».

Neuf sanctions administratives sont prévues par la LGPD :

I – avertissement;
II – amende simple;
III – amende journalière;
IV – publication de l’infraction;
V – bloquage des données personnelles;
VI – élimination des données personnelles;
VII – suspension de la banque de données;
VIII – suspension du traitement des données; et
IX – interdiction partielle ou totale de l’activité portant sur les données personnelles.
L’article 5 du Règlement de dosage des sanctions precise que les sanctions seront
appliquées de façon gradative, isolément ou cumulativement, en accord avec les
particularités du cas concret.

Les infractions sont classées en trois catégories :

(a) légère : quand elles ne sont ni moyennes ni graves.
(b) moyenne : quand elles peuvent affecter significativement des intérêts et
droits fondamentaux des titulaires.
(c) grave : quand, en plus de l’atteinte à des intérêts et droits fondamentaux
des titulaires (i) elles portent sur des traitements à grande échelle ; ou (ii)
l’infraction a eu pour objectif d’obtenir un avantage économique ; ou (iii)
l’infraction porte un risque pour la vie des titulaires ; ou (iv) l’infraction
porte sur des données sensibles, ou d’enfants, adolescents ou personnes
agées ; ou (v) le traitement de données n’est pas légal ; ou (vi) le traitement
est réalisé avec des effets discriminatoires illicites ; ou (vii) il y a pratiques
irrégulières systématiques de l’infracteur ; ou (viii) en cas d’obstruction aux
activités de contrôle de l’ANPD.

Une méthodologie de calcul des amendes est également prévue.

 

Bertrand de Solere
Avocat aux Barreaux de Rio de Janeiro et São Paulo
Conseiller du Commerce Extérieur de la France-CCEF

Partager ce post: