La loi générale de protection des données personnelles (LGPD)

La loi générale de protection des donnés personnelles (LGPD)

Loi de protection des données personnelles.

1 – Introduction

En matière de cybercrime et d’atteinte à la vie privée, le Brésil serait un des pays les plus touchés, non seulement en tant que cible, mais aussi d’origine. Selon une étude publiée par l’entreprise de sécurité informatique McAfee et la CSIS (Center For Strategic & International Studies) en début d’année 2018, le Brésil serait le second pays au monde d’où proviennent le plus de crimes et le troisième en tant que cible.

En fait, alors que l’Europe et la France se préoccupent depuis longtemps de la protection des données personnelles et de la vie privée, au Brésil ces sujets soulèvent encore assez peu d’intérêt.

Depuis 1978 la France dispose d’une autorité administrative indépendante, la Commission Nationale Informatique et Liberté – CNIL, chargée de contrôler le respect des lois en matière de protection des données personnelles, et de sanctionner les infractions si nécessaire, alors qu’au Brésil aucun organisme de ce type n’existe encore en 2018.

L’entrée en vigueur de la Réglementation Générale de la Protection des Données – RGPD par l’Union Européenne et sa mise en application à partir du 25 mai 2018 a incité les autorités brésiliennes à accélérer l’adoption de mesures lui permettant de s’intégrer au modèle européen.

En effet, selon les nouvelles normes mises en place par l’Union Européenne, il n’est plus possible pour les Européens de transférer des données hors d’Europe vers des pays n’offrant pas des garanties de protection identiques à celles mises en place par la RGPD. Le Brésil doit donc s’adapter.

2 – Avec la LGPD, le Brésil choisit de suivre l’Europe

La LGDP est entrée en vigueur le 15.08.2018, mais les personnes concernées devront être en conformité avec ses normes à partir du 15.02.2020.

La Loi porte sur la collecte et le traitement des données personnelles , i-d « toute information relative à une personne physique identifiée ou identifiable » (art.5º,I).

Sont aussi des données personnelles, au sens de la loi, «celles utilisées pour la formation du profil de comportement d’une personne physique déterminée, si elle est identifiée. » (Art. 12, §2º)

Le traitement est « toute opération réalisée avec des données personnelles, comme celles qui portent sur la collecte, la production, la réception, la classification, l’utilisation, l’accès, la reproduction, la transmission, la distribution, le process, l’archivement, l’emmagasinement, l’élimination, l’évaluation ou le contrôle de l’information, la modification, la communication, le transfert, la diffusion ou l’extraction » (Art.5X).

Les définitions sont donc identiques à celles de la réglementation européenne.

Il faut préciser que les données en question, traitées par la Loi, peuvent ou non être digitales. C’est à dire que la Loi s’applique aux données et registres manuscrits et physiques aussi bien que digitaux.

La loi prévoit des dispositions spécifiques aux données sensibles et relatives aux enfants.

Elle s’adresse aux personnes privées et publiques.

Les dispositions relatives aux droits des titulaires des données et aux devoirs des responsables des traitements de données sont également identiques à celles de la RGPD.

Les sanctions prévues dans la loi sont très élevées, dans le même mouvement effectué par le RGPD européen. Il est ainsi fixé des pénalités, sanctions administratives appliquées par l’autorité nationale, d’un maximum de 2% du chiffre d’affaire du dernier exercice, limité à R$ 50.000.000,00  par infraction ou ; amende journalière dans la même limite totale de R$ 50.000.000,00.

3 – L’autorité nationale de protection des données (ANPD)

La loi prévoyait la création d’une autorité nationale indépendante, responsable du contrôle, de la réglementation et de l’application des sanctions administratives.

Toutefois, le Président de la République à mis son veto sur ces dispositions, au motif que puisqu’il s’agit d’une autorité administrative, sa création doit provenir d’un projet de loi gouvernemental (la loi 13.709 est d’origine parlementaire).

Bertrand de Solere
Avocat aux Barreaux de Rio de Janeiro et São Paulo
Conseiller du Commerce Extérieur de la France-CCEF

Partager ce post:

Envoyer à un ami