Si vous travaillez au Brésil ou si vous offrez vos services à des résidents du pays, votre activité peut relever du seuil légal de la Lei Geral de Proteção de Dados(LGPD).
La loi brésilienne sur la protection des données est similaire au règlement général sur la protection des donnéesRGPD de l'Union européenne et exige que vous prouviez que la collecte de données à caractère personnel est fondée sur une base légale.
Découvrez ci-dessous les exigences de la LGPD, son impact sur les entreprises et les consommateurs, ainsi que les sanctions encourues en cas de violation de cette loi.
- Qu'est-ce que la loi générale sur la protection des données (LGPD) du Brésil ?
- Loi générale sur la protection des données du Brésil - Termes clés et définitions
- Que couvre la loi générale brésilienne sur la protection des données ?
- Exigences du LGPD
- LGPD et lois mondiales sur la confidentialité des données : Similitudes et différences
- Quel est l'impact de la loi générale sur la protection des données du Brésil sur les consommateurs ?
- Quel est l'impact de la loi générale sur la protection des données du Brésil sur les entreprises ?
- Qui doit se conformer à la loi générale brésilienne sur la protection des données ?
- Comment les entreprises peuvent-elles se préparer à la LGPD ?
- Comment la LGPD est-elle appliquée ?
- Amendes et sanctions en vertu de la LGPD
- Comment le site Termly contribue-t-il à la mise en conformité avec la LGPD ?
- Existe-t-il d'autres lois relatives à la protection de la vie privée au Brésil ?
- Résumé
Qu'est-ce que la loi générale sur la protection des données (LGPD) du Brésil ?
La loi générale brésilienne sur la protection des données, Lei Geral de Proteção de Dados(LGPD), est la principale loi du pays sur la protection des données des consommateurs.
Elle décrit les différentes exigences que les entités doivent respecter pour collecter, traiter et utiliser légalement les informations personnelles des utilisateurs d'Internet au Brésil, ainsi que les sanctions encourues par ceux qui enfreignent la loi.
La LGPD est officiellement disponible en portugais, mais l'IAPP propose une bonne traduction anglaise non officielle de la loi.
Quand la LGPD est-elle entrée en vigueur ?
La loi brésilienne sur la protection des données a été adoptée en 2018 et est entrée en vigueur le 18 septembre 2020.
Loi générale sur la protection des données du Brésil - Termes clés et définitions
Vous trouverez ci-dessous quelques termes et définitions clés de la loi brésilienne sur la protection des données, traduits en anglais.
Que couvre la loi générale brésilienne sur la protection des données ?
La loi générale brésilienne sur la protection des données couvre les informations personnelles des personnes se trouvant au Brésil, qu'elles soient ou non résidentes du pays.
La couverture ne se limite pas aux données numériques - elle protège également les informations personnelles collectées hors ligne et en personne.
Exigences du LGPD
Examinons les principales exigences de la loi générale brésilienne sur la protection des données.
Base légale du traitement des données
En vertu de l'article 7 de la LGPD, les organisations ne peuvent collecter auprès des utilisateurs que les informations personnelles raisonnables et nécessaires pour l'une des bases légales suivantes :
- Avec le consentement de l'utilisateur
- Exécuter un contrat avec l'utilisateur
- Remplir des obligations légales
- Pour des raisons d'intérêt légitime
- Réaliser des études par une entité de recherche
- Mesures de prévention de la fraude
- Mesures de protection du crédit
- protéger la vie ou la sécurité de la personne concernée
Il incombe au responsable du traitement de prouver la légitimité de la base légale sur laquelle il s'appuie pour collecter les données à caractère personnel.
Consentement
La définition du consentement dans le cadre de la LGPD est similaire à celle du RGPD l'UE et doit être :
- Librement consentie
- Informé
- Actif
- Sans ambiguïté
Vous devez obtenir le consentement des utilisateurs et leur permettre de changer d'avis à tout moment pour utiliser légalement le consentement comme base légale pour le traitement des données.
En outre, le consentement est souvent considéré à tort comme une condition préalable à la collecte de données personnelles sensibles auprès des utilisateurs au Brésil.
Toutefois, le LGPD décrit plusieurs autres bases légales pour ce traitement, en soulignant qu'il n'y a pas de hiérarchie entre ces bases légales.
Les principes fondamentaux
La LGPD énonce dix principes fondamentaux que les entités concernées doivent intégrer dans leurs activités de collecte et de traitement des données :
- Objectif
- Adéquation
- Nécessité
- Accès gratuit
- Qualité des données
- Transparence
- Sécurité
- La prévention
- Non-discrimination
- Responsabilité
Ces principes fondamentaux sont similaires au RGPD en termes de portée, d'échelle et de définition.
Calendrier de conservation des données
L'article 40 de la LGPD stipule que les organisations ne peuvent conserver les données que pendant la durée la plus courte possible pour atteindre l'objectif de la collecte de l'information telle qu'elle est présentée à l'utilisateur.
Bien que la loi n'indique pas de durée précise, elle stipule que le traitement ne peut pas se poursuivre après que l'objectif initial a été atteint.
Évaluation de la protection des données
L'autorité chargée de la protection des données au Brésil peut exiger des responsables du traitement des données qu'ils procèdent à des évaluations de la protection des données pour diverses raisons.
L'évaluation doit au moins porter sur les types d'informations collectées auprès des utilisateurs et sur les mesures de sécurité mises en place pour préserver la sécurité des données.
Transferts internationaux de données
Le 15 août 2023, l'autorité brésilienne de protection des données, l'Autoridade Nacional de Proteção de Dados(ANPD), a dévoilé un projet de résolution concernant la réglementation du transfert international de données et les modèles de clauses contractuelles types.
Le document préliminaire invitait le public à contribuer dans le cadre d'un effort plus large visant à façonner le paysage réglementaire pour le mouvement international des données personnelles à partir du Brésil.
Il fait partie du point 4 de l'agenda réglementaire de l'ANPD pour la période 2023/2024.
Le projet de règlement aborde des aspects essentiels tels que les définitions du transfert international de données, de l'exportateur, de l'importateur et d'autres termes clés :
- La Commission présente les conditions préalables à l'exécution de transferts internationaux de données à caractère personnel.
- Délimite les obligations des agents chargés du traitement des données
- Examine les différentes modalités de transfert ainsi que l'application des clauses contractuelles types.
L'objectif de l'introduction de ces modèles de clauses types est de fournir un cadre structuré et sûr pour les échanges internationaux de données, en veillant à ce que les données à caractère personnel transférées depuis le Brésil bénéficient d'une protection conforme aux principes de la LGPD.
Cette évolution est importante car elle vise à aligner les normes brésiliennes en matière de protection des données sur les pratiques mondiales, en offrant aux entités des lignes directrices claires en matière de conformité.
LGPD et lois mondiales sur la confidentialité des données : Similitudes et différences
Le Brésil est l'un des nombreux pays protégés par une loi sur la protection des données, et il présente certaines similitudes avec les pays suivants :
- La loi californienne sur la protection de la vie privée des consommateurs(CCPA)
- Le règlement général européen sur la protection des données (RGPD)
- Loi argentine sur la protection des données personnelles(Argentina PDPA)
- Loi canadienne sur la protection des renseignements personnels et les documents électroniques(LPRPDE)
- Loi sud-africaine sur la protection des informations personnelles(POPIA)
- Loi thaïlandaise sur la protection des données personnelles(PDPA)
- Loi australienne de 1988 sur la protection de la vie privée(Privacy Act)
- Loi néo-zélandaise sur la protection de la vie privée 2020
Comparez la LGPD aux autres lois mondiales sur la protection de la vie privée dans le tableau ci-dessous.
| Loi sur la protection des données | Nécessité d'un consentement explicite* | Obligation de publier une politique de protection de la vie privée | Définit les obligations contractuelles à l'égard des tiers | Responsabilise les entreprises en matière de sécurité des données | Exigences spécifiques pour les transferts internationaux de données | Exige des lignes directrices supplémentaires pour les catégories d'informations sensibles (spéciales) |
| Thaïlande PDPA | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Argentine PDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CCPA | ✓ | ✓ | ✓ | ✓ | ||
| RGPD | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| LGPD | ✓ | ✓ | ✓ | ✓ | ✓ | |
| PIPEDA | ✓ | ✓ | ✓ | |||
| POPIA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Loi sur la protection de la vie privée de 1988 | ✓ | ✓ | ✓ | ✓ | ||
| Loi sur la protection de la vie privée 2020 | ✓ | ✓ | ✓ | ✓ | ✓ |
*Avec quelques exceptions pour certaines lois.
Quel est l'impact de la loi générale sur la protection des données du Brésil sur les consommateurs ?
Dans le cadre de la LGPD brésilienne, les consommateurs ont davantage de contrôle sur la manière dont leurs informations personnelles sont collectées et utilisées par des entités externes, comme l'explique l'article 18.
Elle leur accorde le droit de :
- Portabilité des données
- Être informé de la manière dont leurs données sont utilisées, de l'identité des personnes qui les traitent et de la finalité de ce traitement.
- Retirer à tout moment son consentement au traitement des données
- s'opposer au traitement de leurs données à des fins de marketing direct, de prise de décision automatisée ou de profilage
- Réexaminer les décisions fondées uniquement sur une prise de décision automatisée
Les entités couvertes doivent se conformer aux demandes des consommateurs de donner suite à ces droits, sous peine de se voir infliger des sanctions sévères.
À qui s'applique la LGPD ?
La LGPD s'applique aux données personnelles de toute personne au Brésil, quel que soit son statut de citoyen.
Elle protège les informations collectées par des entités en ligne et hors ligne et couvre même certaines informations accessibles au public.
Toutefois, la collecte de données suivante est exemptée des exigences de la loi brésilienne sur la protection de la vie privée :
- Données traitées dans le cadre d'activités personnelles ou domestiques
- Données traitées à des fins artistiques, académiques, journalistiques ou littéraires
- Données utilisées pour la sécurité publique, la défense nationale ou les enquêtes criminelles
- Le traitement de données anonymes qui ne permettent pas d'identifier un individu
Quel est l'impact de la loi générale sur la protection des données du Brésil sur les entreprises ?
Outre la base légale, les évaluations de la protection des données et les lignes directrices en matière de conservation mentionnées ci-dessus, la LGPD brésilienne a également une incidence sur les politiques des entreprises en matière de protection de la vie privée et de cookies.
Comment la LGPD affecte-t-elle ma politique de confidentialité ?
La loi brésilienne sur la protection des données affecte votre politique de confidentialité en exigeant les détails suivants, comme indiqué à l'article 9 :
- L'objectif du traitement des données
- Le type de traitement des données et sa durée
- Identité et coordonnées de votre entreprise
- Détails sur les personnes avec lesquelles les données sont partagées et sur les raisons de ce partage
- Les responsabilités de tout sous-traitant en matière de traitement des données
- Quels sont les droits des utilisateurs sur les données et comment les exercer ?
Comment le LGPD affecte-t-il mon site politique de cookies?
Les exigences de transparence énoncées par la LGPD brésilienne ont une incidence sur vos activités. politique de cookiescar elles vous obligent à expliquer clairement aux utilisateurs :
- Quels sont les cookies utilisés ?
- Pourquoi ils sont utilisés
- Quelles sont les données collectées par les cookies ?
- Quels sont les droits des utilisateurs sur les cookies ?
- Comment agir sur ces droits
Veillez à ce que toutes ces informations figurent sur votre site politique de cookies, que vous devez lier à une clause de votre politique de confidentialité afin que les utilisateurs puissent facilement accéder à ces détails.
Qui doit se conformer à la loi générale brésilienne sur la protection des données ?
Les types d'entreprises suivants doivent se conformer à la LGPD du Brésil :
- Toute organisation opérant au Brésil, y compris les organisations à but non lucratif et les entités gouvernementales, qui possède des données personnelles.
- Toute organisation située en dehors du Brésil qui traite les données à caractère personnel d'individus dans le pays, même si le traitement lui-même a lieu en dehors du Brésil.
Dans l'ensemble, la loi a un champ d'application très large et s'applique aux organisations du monde entier.
Qui est exempté de la loi générale brésilienne sur la protection des données ?
Les seules exceptions à la loi générale brésilienne sur la protection des données sont les suivantes :
- Les personnes qui traitent des données à caractère personnel à des fins personnelles ou domestiques.
- Données traitées à des fins artistiques ou académiques.
- Les questions de sécurité publique, qui sont soumises à des règles différentes, comme les autorités publiques.
Comment les entreprises peuvent-elles se préparer à la LGPD ?
Pour se préparer à la mise en conformité avec la LGPD, les entreprises doivent mettre à jour leurs politiques en matière de protection de la vie privée et de cookies afin de répondre à toutes les exigences de transparence et de notification décrites par la loi.
Vous devez également déterminer votre base légale pour la collecte de données à caractère personnel et utiliser un site plateforme de gestion du consentement (CMP) pour recueillir le consentement adéquat des utilisateurs si c'est l'une des raisons pour lesquelles vous traitez des informations.
Ajoutez un formulaire de demande d'accès à la base de données (DSAR) à votre site web afin que les utilisateurs puissent facilement faire valoir leurs droits en vertu de cette loi.
Enfin, veillez à utiliser des contrats appropriés si vous travaillez avec des responsables du traitement des données et procédez à des évaluations de la protection des données si nécessaire.
Comment la LGPD est-elle appliquée ?
L'autorité chargée de la protection des données au Brésil, l'Autoridade Nacional de Proteção de Dados(ANPD), veille à l'application de tous les aspects de la loi.
Ils sont chargés de superviser et d'appliquer toutes les conséquences de la non-conformité, ce qui inclut la réalisation d'enquêtes et l'émission d'avertissements et d'ordres d'amendes ou de pénalités.
Amendes et sanctions en vertu de la LGPD
Les amendes pour non-respect de la LGPD peuvent atteindre jusqu'à 2 % du chiffre d'affaires annuel d'une entreprise au Brésil.
En outre, les individus ont le droit d'engager des poursuites civiles s'ils subissent des dommages matériels ou moraux du fait d'une violation de la LGPD par une organisation.
Comment le site Termly contribue-t-il à la mise en conformité avec la LGPD ?
TermlyLe site plateforme de gestion du consentement (CMP) peut être configuré pour répondre aux exigences d'exclusion décrites par la loi brésilienne sur la protection des données en ce qui concerne les cookies utilisés pour la publicité ciblée.
En outre, notre équipe travaille actuellement à la mise à jour de notre site Générateur de politique de confidentialité, qui comprendra bientôt les clauses nécessaires pour aider les entreprises à se conformer à la LGPD brésilienne.
Les mises à jour prennent du temps, mais les utilisateurs de Termly recevront un courriel les informant de la mise en œuvre officielle de ces changements.
Notre site Générateur de politique de confidentialité ne prend que quelques minutes à remplir et établit une police complète sur la base de vos réponses à des questions simples concernant votre entreprise.
Il est facile à utiliser, pratique, rapide et soutenu par notre équipe juridique et nos experts en matière de protection de la vie privée.
Existe-t-il d'autres lois relatives à la protection de la vie privée au Brésil ?
Outre la LGPD, il existe au Brésil plusieurs autres lois relatives à la protection de la vie privée :
- Marco Civil da Internet : Cette loi définit les principes d'utilisation de l'Internet au Brésil.(Source)
- Código de Defesa do Consumidor : Ce code énonce des dispositions qui exigent la bonne foi et la transparence dans les relations avec les consommateurs.(Source)
- Estatuto da Criança e do Adolescente : Cette loi définit les dispositions relatives à la protection des données personnelles des enfants et des adolescents.(Source)
Résumé
Si votre organisation collecte des données auprès d'utilisateurs au Brésil, assurez-vous que vous êtes en conformité avec la LGPD :
- Mettez à jour votre politique de confidentialité et politique de cookies pour répondre à toutes les exigences en matière de transparence et de notification.
- Veillez à demander aux utilisateurs un consentement adéquat (opt-in) en mettant en place un site compatible ( plateforme de gestion du consentement).
- Si vous collectez des données sensibles, procédez aux évaluations appropriées en matière de protection des données.
- Utilisez des contrats conformes avec tous les sous-traitants ou contrôleurs de données avec lesquels vous travaillez.
Quel est le moyen le plus simple de simplifier le respect de la vie privée ? Demandez de l'aide à Termly!
Découvrez notre gamme complète de solutions de conformité et commencez à protéger votre entreprise et vos consommateurs.
En savoir plus sur l'auteur
Rédigé par Heloisa Valdívia, CIPM
En tant que Certified Information Privacy Manager (CIPM) et consultante expérimentée en matière de protection de la vie privée, Heloísa comprend parfaitement le secteur de la protection de la vie privée. Passionnée par la protection des données et la garantie de la conformité, elle fournit des informations précieuses et des conseils pratiques pour naviguer dans la complexité des réglementations et des meilleures pratiques en matière de confidentialité des données. En savoir plus sur l'auteur
