Iubenda logo
Générer dès maintenant

Documentation

Sommaire

Qu’est-ce que la LGPD et comment vous mettre en conformité ?

Guide de la Loi générale brésilienne de protection des données personnelles (LGPD)

Qu’est-ce que la LGPD ? Êtes-vous concerné ? Et comment vous mettre en conformité avec elle ? Sur cette page, nous décortiquons cette loi pour vous — sans jargon juridique !

En bref

Ce qu’est la LGPD et ce qu’elle vous impose

La loi générale brésilienne de protection des données personnelles, ou Lei Geral de Proteção de Dados Pessoais (LGPD) peut être considérée comme le pendant brésilien du RGPD — la loi brésilienne est en de nombreux points alignée sur le règlement européen, tout en s’en distinguant sur d’autres. Elle vise à remplacer ou à compléter un panorama juridique auparavant très dispersé (on comptait plus de 40 normes fédérales au niveau sectoriel) par un cadre réglementaire unique.

La LGPD crée un nouveau cadre légal d’utilisation des données personnelles au Brésil, à la fois en ligne et hors-ligne, et dans les secteurs public et privé.

D’une manière générale, la LGPD limite votre traitement des données personnelles à des finalités légitimes, spécifiques, explicites et clairement exposées. Comme pour le RGPD, les principes de transparence et de minimisation (n’utiliser que les données dont vous avez besoin) s’imposent.

Initialement, il avait été proposé de reporter l’entrée en vigueur de la LGPD au mois de décembre. Mais un vote du Sénat a supprimé la proposition de report de la loi de conversion (« Conversion bill »)(PLV) 34/2020. Depuis, le président brésilien a promulgué la loi, confirmant ainsi son entrée en vigueur au 18 septembre 2020. Dans ce contexte, un décret actant la création de l’Autorité nationale de protection des données, appelée Autoridad Nacional de Protección de Datos (ANPD) a été publié.

L’APD brésilienne (ANPD) a publié une version mise à jour de ses « Directives pour les agents de traitement des données personnelles et délégués à la protection des données », clarifiant ainsi des concepts prévus par la LGPD et par les lignes directrices précédentes. Consultez les changements ici.

Définition des termes utilisés ci-après
  • Le terme « utilisateur » désigne ici une personne physique (auparavant appelée le titulaire ou la personne concernée) dont les données personnelles sont traitées par un responsable du traitement ou un sous-traitant.
  • Le terme « responsable du traitement » désigne toute personne physique ou morale, publique ou privée, qui participe à la définition des finalités et des moyens du traitement des données à caractère personnel.
  • Le terme « sous-traitant » ou « opérateur » désigne toute personne physique ou morale qui participe au traitement des données à caractère personnel pour le compte du responsable du traitement.
  • Le terme Autorité de protection des données (APD) utilisé dans ce document désigne l’autorité brésilienne de protection des données (ANDP).

Par exemple, sur Internet, une société peut recueillir des informations sur les utilisateurs par le biais de son site Web et les conserver à l’aide d’un service cloud tiers. Dans ce scénario, la société est le responsable du traitement et l’organisation qui met à disposition le service cloud est le sous-traitant.

Où la LGPD est-elle applicable ? (Champ d’application territorial)

Comme pour le RGPD, le champ d’application de la LGPD s’étend au-delà des frontières du Brésil. En d’autres termes, vous êtes susceptibles de devoir vous y conformer même si votre activité n’est pas basée au Brésil. Concrètement, vous êtes soumis à la LGPD si :

  • vos activités de traitement de données sont réalisées au Brésil (p. ex. si vous utilisez des serveurs situés au Brésil) ;
  • vous proposez ou fournissez des produits ou des services à des personnes situées au Brésil, quelle que soit leur nationalité ; ou
  • vous traitez des données qui concernent des personnes situées au Brésil (même si la personne ne se trouvait au Brésil qu’au moment de la collecte des données et a changé de pays depuis).

D’une manière générale, partez du principe que la LGPD s’applique à votre cas si vous traitez les données personnelles de personnes situées au Brésil ou si vous traitez des données personnelles sur le territoire brésilien, quelle que soit la nationalité de leur titulaire.

Exceptions

L’application de la LGPD porte des exceptions, même lorsque le responsable du traitement relève du champ d’application territorial de la loi. Elles sont énumérées ci-dessous. La LGPD n’est pas applicable lorsque :

  • le traitement des données à caractère personnel est réalisé par une personne physique, à des fins exclusivement privées et non commerciales ; ou
  • les données personnelles ne sont traitées qu’à l’une des fins suivantes :
    • expression journalistique ou artistique,
    • recherche universitaire,
    • sûreté publique,
    • défense et sécurité nationale,
    • enquête et poursuites dans le cadre d’infractions pénales.

Que sont les « Données personnelles » au sens de la LGPD ?

La LGPD adopte une définition large de la notion de données personnelles. Comme pour le RGPD, les données personnelles dans le cadre de la LGPD désignent toutes les données que l’on peut lier à une personne identifiée ou identifiable. Globalement, sont considérées comme des données personnelles toutes les données qui se rapportent à une personne identifiée ou identifiable. Cette définition inclut les données pouvant être combinées à d’autres informations pour permettre d’identifier une personne.

LGPD et Données anonymisées

Les données véritablement anonymisées (c’est-à-dire celles qui ne permettent pas, directement ou indirectement, et en utilisant des moyens raisonnables, d’identifier une personne) ne sont pas concernées par la LGPD. Celle-ci reste toutefois applicable si le processus d’anonymisation peut être inversé ou si les données sont utilisées à des fins de profilage comportemental.

Les données personnelles incluent par exemple les données élémentaires relatives à l’identité d’une personne (comme son nom), les données de santé, les données génétiques et biométriques, les données Web telles que les adresses IP et les adresses e-mail personnelles, ou encore les données relatives aux opinions politiques et à l’orientation sexuelle.
Les données non personnelles peuvent être le numéro d’immatriculation d’une entreprise, les adresses e-mail générales d’une société (comme info@société.com), et les données anonymisées.

Remarque sur les données sensibles dans le cadre de la LGPD

La LGPD distingue les données « sensibles » des données personnelles « classiques » et leur attribue des règles particulières. Les données sensibles sont les données liées à l’origine raciale ou ethnique ou aux convictions religieuses, les données concernant la santé ou la vie sexuelle, ou celles permettant d’identifier l’utilisateur de manière univoque et permanente, telles que les données génétiques ou biométriques.

Dans la mesure où leur traitement est davantage susceptible d’exposer l’utilisateur à un risque de discrimination, les données sensibles doivent être traitées avec un niveau de sécurité particulièrement élevé, et sur des bases juridiques très spécifiques.

D’une manière générale, vous ne pouvez traiter des données sensibles que si l’utilisateur (ou son tuteur légal si la personne est mineure) a consenti à ce traitement en particulier. Il existe des exceptions.

💡 Astuce : utilisez le menu flottant à gauche pour accéder directement aux sections que vous souhaitez consulter ensuite (par exemple : « comment se mettre en conformité »)

LES PRINCIPALES EXIGENCES DE LA LGPD — ET COMMENT S’Y CONFORMER

Voici les principaux concepts contenus dans la LGPD

Les principes régissant le traitement

Les principes régissant le traitement des données sont très similaires à ceux du RGPD. Notamment :

  • Le traitement doit avoir une finalité : toute activité de traitement des données doit avoir une finalité légitime, spécifique, explicite et clairement exposée — vous ne pouvez pas effectuer d’autre traitement que celui correspondant aux finalités indiquées à l’origine.
  • Adéquation. Les données traitées ainsi que la manière dont elles sont traitées doivent légitimement correspondre aux finalités du traitement.
  • Limitation des finalités Non sans rappeler le principe de la minimisation des données prévu par le RGPD, ce concept signifie simplement que vous ne devez traiter que les données nécessaires pour atteindre les finalités du traitement que vous avez déclarées.
  • Liberté d’exercer ses droits et libre accès à l’information. Les utilisateurs doivent pouvoir exercer librement leurs droits au titre de la LGPD, et accéder aisément, sans encombre et gratuitement aux informations concernant le traitement de leurs données personnelles.
  • Qualité et intégrité des données. En tant que responsable du traitement, vous êtes tenu de garantir l’exactitude, l’actualité et la pertinence des données, ainsi que leur conformité aux finalités du traitement.
  • Transparence. Les informations concernant votre traitement des données doivent être claires, exactes et aisément accessibles aux utilisateurs. Ces derniers doivent également avoir accès aux informations concernant les tiers avec lesquels leurs données sont partagées.
  • Sécurité. Le responsable du traitement et les sous-traitants (opérateurs) doivent s’assurer que des mesures techniques et organisationnelles sont en place pour protéger les données personnelles de tout accès non autorisé, de toute destruction accidentelle ou illégale, et de toute perte, altération, communication non autorisée ou diffusion.
  • Prévention. Il est de la responsabilité du responsable du traitement et du sous-traitant de mettre en place des mesures techniques et organisationnelles pour prévenir tout préjudice du fait du traitement des données personnelles.
  • Non-discrimination. Le traitement des données ne doit en aucun cas être réalisé à des fins discriminatoires.
  • Responsabilité. En tant que responsable du traitement, vous devez vous conformer à la législation et vous devez pouvoir en apporter la preuve.

La base juridique du traitement des données au titre de la LGPD

En vertu du LGPD, le traitement des données n’est autorisé que lorsqu’il repose sur au moins une base juridique.

Les bases juridiques autorisées sont les suivantes :

  • Consentement de l’utilisateur
  • Respect d’une obligation légale ou réglementaire incombant au responsable du traitement
  • Application d’une politique publique (lorsque cette politique s’appuie sur une loi, sur la réglementation ou sur des accords contractuels)
  • Réalisation d’études par des organismes de recherche — en veillant, si possible, à l’anonymisation des données personnelles utilisées*
  • Exécution d’un accord contractuel auquel participe l’utilisateur (ou dans le cadre des activités préparatoires à cet accord)
  • Exercice habituel de droits dans des procédures judiciaires, administratives ou d’arbitrage*
  • Protection de la vie ou de la sécurité physique de l’utilisateur ou de tiers
  • Protection de la santé — dans le cadre d’une procédure réalisée par des professionnels ou des services de santé ou par une autorité sanitaire*
  • Intérêts légitimes du responsable du traitement ou d’un tiers, excepté lorsque prévalent les intérêts ou les libertés et les droits de l’utilisateur
  • Protection du crédit, notamment dans le cadre des dispositions de la législation applicable*

*Ne constitue pas une base juridique au titre du RGPD.

Le consentement dans le cadre de la LGPD

Le consentement est un sujet essentiel, particulièrement pertinent dans le cadre du traitement en ligne des données. Nous allons donc examiner ci-après les exigences de la LGPD en la matière.

La LGPD dispose que le consentement doit être « libre, informé et univoque ». En d’autres termes, le consentement ne doit pas être contraint, l’acte de consentement de l’utilisateur doit être explicite, et ce dernier doit être proprement informé avant de donner son consentement. Le consentement doit également porter sur une finalité précise, et l’utilisateur doit pouvoir le retirer ou l’annuler.

La LGPD dispose que le consentement doit être libre, informé et univoque.

En ce qui concerne le consentement des enfants de moins de 12 ans, vous devez obtenir le consentement spécifique et explicite d’un parent ou d’un tuteur. Les mineurs de 13 à 18 ans peuvent donner leur consentement eux-mêmes, dès lors que le traitement de leurs données à caractère personnel est réalisé dans leur intérêt. Vous devez prendre toutes les mesures raisonnables (compte tenu des moyens technologiques disponibles) pour vérifier que la personne qui donne son consentement est bien titulaire de la responsabilité parentale à l’égard de l’enfant.

*Remarque : au Brésil, la pleine capacité contractuelle est acquise à 18 ans.

Données accessibles publiquement

Avant la LGPD, la législation permettait aux entreprises de collecter et de traiter les données personnelles accessibles publiquement sur Internet et à partir de n’importe quelle source, quelle qu’en soit la raison. Avec la LGPD, ce n’est plus possible.

La LGPD prévoit que les données personnelles publiques ne peuvent être collectées et utilisées que dans deux cas :

  • lorsque la finalité est la même que celle pour laquelle les données ont été traitées à l’origine — auquel cas le consentement de l’utilisateur n’est pas nécessaire ; ou
  • lorsque la finalité est différente, vous (responsable du traitement) ne pouvez légitimement traiter les données que sur le fondement d’une base juridique valable (plus d’informations ci-après).

Remarque : Pour ces raisons, la LGPD limitera probablement le recours au « scraping » ou à d’autres types de collecte de données publiquement accessibles à des fins de marketing ou autres.

Données sensibles

Pour le traitement des données sensibles, il est possible de se passer du consentement uniquement lorsque ce traitement est absolument nécessaire aux finalités suivantes :

  • mise en conformité avec une obligation légale qui incombe au responsable du traitement ;
  • traitement partagé nécessaire à la mise en œuvre de mesures légales ou réglementaires par l’administration publique.
  • réalisation d’études par un organisme de recherche — en veillant, si possible, à l’anonymisation des données sensibles ;
  • protection de la vie ou de la sécurité physique de l’utilisateur ou de tiers ;
  • protection de la santé — exclusivement dans le cadre de procédures menées par des professionnels ou des services de santé ou par une autorité sanitaire ;
  • supervision sanitaire dans le cadre d’une procédure menée par des professionnels ou des organismes de santé ;
  • exercice habituel de droits dans des procédures judiciaires, administratives ou d’arbitrage ; ou
  • prévention de la fraude et sécurité de l’utilisateur (p. ex. pour l’identification et l’authentification d’une inscription dans un système électronique) — dès lors que les droits de l’utilisateur sont protégés et pourvu que ces droits et libertés de l’utilisateur ne priment pas sur cette finalité.

Données de mineurs

La LGPD prévoit des exceptions à l’obligation de consentement au traitement des données de mineurs lorsque le traitement est nécessaire pour contacter les parents ou les tuteurs de l’enfant ou pour le protéger. Les données ne peuvent être utilisées qu’une fois et ne doivent pas être conservées. Elles ne doivent pas non plus être transmises à des tiers sans consentement en bonne et due forme.

Les droits de l’utilisateur dans le cadre de la LGPD

La LGPD dispose que les utilisateurs (les « personnes concernées ») jouissent des droits suivants :

  • Confirmation. Les utilisateurs ont le droit d’obtenir la confirmation de l’existence des activités de traitement.
  • Accès. Les utilisateurs disposent d’un droit d’accès à leurs données personnelles qui font l’objet d’un traitement par le responsable du traitement.
  • Portabilité des données. Les utilisateurs ont le droit d’obtenir la portabilité de leurs données vers un autre fournisseur de services ou de produits, sur demande expresse, conformément à la réglementation de l’autorité nationale et sous réserve du respect du secret commercial et industriel.
  • Rectification. Les utilisateurs disposent d’un droit de rectification de leurs données personnelles inexactes ou incomplètes.
  • Anonymisation. Les utilisateurs ont le droit d’obtenir l’anonymisation, le blocage ou la suppression de leurs données personnelles inutiles ou excessives, ou de celles dont le traitement contrevient à la LGPD.
  • Suppression. Les utilisateurs ont le droit de demander la suppression de leurs données personnelles lorsque le traitement de ces dernières est fondé sur leur consentement.
  • Information. Les utilisateurs ont le droit d’être informés du fait que des sous-sous-traitants et autres tiers ont accès à leurs données à caractère personnel ou qu’ils les traitent. Ils ont également le droit d’être informés de leurs choix en matière de consentement et des conséquences de leur refus de consentir.
  • Révocation. Les utilisateurs ont le droit de révoquer ou de retirer leur consentement.
  • Dépôt de plainte. Les utilisateurs ont le droit de déposer plainte auprès de l’Autorité de protection des données (APD).
  • Opposition. Les utilisateurs ont le droit de s’opposer au traitement de leurs données en cas de non-respect des dispositions de la loi.
  • Demande de réexamen. Les utilisateurs ont le droit de demander le réexamen des décisions prises uniquement sur la base du traitement automatisé de leurs données à caractère personnel et qui portent atteinte à leurs intérêts. Ces décisions incluent celles visant à définir leur profil personnel, professionnel, consommateur ou de crédit ou les aspects de leur personnalité.

Le responsable du traitement et le sous-traitant dans le cadre de la LGPD

Transferts de données transfrontaliers

Si vous devez transférer des données protégées par la LGPD hors du Brésil, vous devez garder certains principes à l’esprit. La LGPD autorise le transfert transfrontalier de données personnelles dès lors qu’un niveau adéquat de protection de ces données est garanti.

Concrètement, cela signifie que le transfert est permis s’il est estimé que la législation du pays de réception garantit un niveau de protection approprié. C’est l’Autorité de protection des données (APD) qui évalue le niveau d’adéquation offert par le pays ou l’organisation internationale réceptionnaire des données.

Si ce niveau est jugé insuffisant, il reste possible de transférer les données à l’étranger pourvu qu’une des conditions suivantes soit satisfaite :

  • le responsable du traitement reçoit le consentement préalable, informé et explicite, de l’utilisateur, lequel consentement doit être distinct des autres finalités et demandes concernant le traitement ;
  • le responsable du traitement garantit la conformité avec la LGPD par une section spécifique dans le contrat, par des clauses contractuelles types ou par des règles d’entreprise globales ;
  • le transfert des données est conforme aux normes fixées par des certificats et des codes de conduite valables et régulièrement approuvés par l’ADP ;
  • l’APD autorise directement le transfert ;
  • le transfert est nécessaire dans le cadre de la coopération judiciaire internationale entre les services de renseignement, d’enquête et de poursuites (conformément au droit international) ;
  • le transfert est nécessaire pour protéger la vie et la sécurité physique de l’utilisateur ou d’un tiers ;
  • le transfert est nécessaire pour appliquer une politique publique ;
  • le transfert découle d’un engagement pris dans un accord de coopération internationale ;
  • le transfert est requis par une obligation légale du responsable du traitement, ou est nécessaire à l’exercice de droits devant un tribunal ou dans une procédure d’arbitrage ;
  • le transfert est nécessaire à l’exécution d’un contrat conclu avec l’utilisateur.

Registres des activités de traitement des données

La LGPD exige que les responsables du traitement et les sous-traitants tiennent un registre de leurs activités de traitement des données à caractère personnel, et ce tout particulièrement lorsque le traitement est fondé sur des intérêts légitimes. Tous les responsables du traitement et les sous-traitants, quels que soient l’ampleur et la fréquence du traitement ou le type de données traitées, doivent respecter cette obligation de tenir un registre. L’autorité de protection des données peut toutefois accorder des exemptions.

Tous les responsables du traitement et les sous-traitants doivent respecter l’obligation de tenir un registre.

Analyse d’impact relative à la protection des données (AIPD)

L’analyse d’impact relative à la protection des données (AIPD) est, en substance, un processus qui aide le responsable du traitement à se conformer aux règles relatives à la confidentialité des données — à faire en sorte que les principes généraux sont bien respectés.

Au titre de la LGPD, les documents composant l’AIPD décrivent généralement les activités de traitement de données à caractère personnel susceptibles d’engendrer des risques pour les droits et les libertés civiles, ainsi que toutes les mesures, garanties et mécanismes en place pour réduire ces risques.

Le document d’AIPD doit contenir au moins :

  • une description complète des catégories de données traitées ;
  • les méthodes utilisées pour collecter les données ;
  • les mesures de sécurité appliquées ; et
  • une description des mesures en place pour réduire les risques induits par le traitement des données personnelles.

La loi ne précise pas explicitement quand une AIPD est nécessaire. Toutefois, l’Autorité de protection des données peut, à tout moment, demander au responsable du traitement d’en réaliser une et de la lui transmettre.

Désignation d’un délégué à la protection des données

La LGPD dispose que le responsable du traitement, c’est-à-dire vous, doit désigner un Délégué à la protection des données (DPD). Cette règle ne souffre aucune exception. Les DPD sont des personnes chargées des responsabilités suivantes :

  • recevoir les réclamations et les communications des utilisateurs, leur apporter les précisions nécessaires et adopter les mesures correspondantes ;
  • conseiller les employés et les sous-traitants du responsable du traitement pour la mise en place de mesures de protection des données personnelles traitées ;
  • recevoir les communications de l’APD et prendre les mesures adéquates ; et
  • remplir d’autres missions « telles que déterminées par le responsable du traitement ou établies par des règles supplémentaires ».

Sécurité des données et violation de données à caractère personnel

Aux termes de la LGPD, les responsables du traitement, les sous-traitants ou tout autre agent impliqué dans le traitement des données à caractère personnel doivent appliquer des mesures de sécurité et des mesures techniques et administratives pour protéger les données personnelles de tout accès non autorisé ou de toute destruction, perte, altération, divulgation ou autre sorte de traitement non légitime, que ce soit de manière accidentelle ou illicite.

Tout incident touchant à la sécurité et susceptible de créer pour l’utilisateur un risque ou un préjudice doit être signalé dans un délai raisonnable à l’APD.

Ce signalement doit contenir, au moins, les éléments suivants :

  • une description de la nature des données personnelles affectées ;
  • des renseignements sur les utilisateurs affectés ;
  • des informations sur les mesures techniques et les mesures de sécurité utilisées pour protéger les données, sous réserve du respect du secret commercial et industriel ;
  • les risques liés à l’incident ;
  • si l’incident n’a pas été signalé immédiatement à l’APD, les raisons de ce retard ; et
  • les mesures prises ou à prendre pour inverser ou pour atténuer le préjudice.

Dès qu’elle est informée de la violation, l’APD est susceptible d’ordonner au responsable du traitement d’alerter les médias, ou de prendre d’autres mesures pour réduire les effets négatifs de l’incident.

Transparence

Tout comme pour le RGPD, la transparence est l’un des principes fondamentaux de la LGPD. La LGPD dispose que les utilisateurs ont droit à un accès facilité à l’information concernant le traitement de leurs données à caractère personnel. Ces informations doivent être disponibles de manière intelligible, adéquate et évidente.

Ces informations portent sur :

  • la finalité précise des activités de traitement ;
  • le type et la durée du traitement ;
  • l’identité du responsable du traitement ;
  • les coordonnées du responsable du traitement ;
  • les personnes ou entités avec lesquelles les données sont partagées et les motifs de ce partage ;
  • les responsabilités qui incombent aux sous-traitants ou aux agents qui vont exécuter les activités de traitement ;
  • les droits de l’utilisateur (personne concernée), avec mention explicite des droits prévus à l’article 18 de la LGPD (détaillés ci-dessus)et la manière de faire valoir ces droits, tout en précisant si une demande d’exercer ces droits donnera lieu, ou non, à un traitement des données personnelles.

Responsabilité : protection de la vie privée dès la conception et par défaut

La LGPD dispose que les responsables du traitement et les sous-traitants peuvent mettre en place des procédures et des politiques internes pour garantir la conformité à la loi. Il peut s’agir, notamment, d’un plan de gouvernance de la protection de la vie privée et de mesures pour démontrer son efficience.

Le plan de gouvernance doit, au minimum :

  • montrer l’engagement du responsable du traitement à garantir la conformité aux règles et aux bonnes pratiques ;
  • être applicable à l’ensemble des données personnelles sous le contrôle d’un responsable du traitement donné, quels que soient les moyens utilisés pour leur collecte ;
  • être adapté à la structure, à l’échelle et au volume de l’activité, ainsi qu’au degré de sensibilité des données traitées ;
  • définir des politiques et des garanties appropriées, fondées sur l’évaluation systématique des effets et des risques pour la protection de la vie privée ;
  • avoir pour finalité la création d’une relation de confiance avec l’utilisateur, fondée sur la transparence ;
  • veiller à ce que les mécanismes de participation de l’utilisateur soient pleinement intégrés à la structure de gouvernance générale, et que des mécanismes de contrôle internes et externes soient prévus et appliqués ;
  • avoir des plans et des solutions en place pour répondre aux incidents ; et
  • être tenu à jour grâce aux informations provenant d’un suivi permanent et d’évaluations régulières.

Le responsable du traitement doit être en mesure de démontrer à tout moment l’efficience du programme de gouvernance de la protection de la vie privée, tout particulièrement à la demande de l’autorité nationale.

Conséquences en cas de violation

La violation des dispositions de la LGPD expose à des amendes représentant 2 % du chiffre d’affaires annuel de l’entreprise, jusqu’à hauteur de 50 millions de reals brésiliens (quelque 8 M€ ou 9 M US$) par violation. Les autres mesures correctives qui peuvent être prises à l’encontre des contrevenants ne sont pas moins importantes.

La violation de la loi expose à des amendes de 2 % du chiffre d’affaires annuel de l’entreprise, jusqu’à hauteur de 50 millions de reals brésiliens (8 M€).

La LGPD attribue à l’Autorité brésilienne de protection des données des pouvoirs correctifs, tels que donner des avertissements et infliger des amendes, rendre publique la violation, et bloquer ou supprimer les activités de traitement ou les données personnelles concernées par l’infraction. Concrètement, si l’infraction s’est produite dans le cadre de la collecte d’adresses e-mail, le responsable du traitement contrevenant risque de perdre toute la liste d’adresses e-mail correspondante. L’APD brésilienne peut également exiger la suspension partielle de la base de données liée à l’incident, pour une durée pouvant aller jusqu’à 6 mois, interrompant ainsi potentiellement les autres activités qui en dépendaient.

En outre, comme pour le RGPD, la LGPD permet aux utilisateurs ayant des motifs d’action de demander réparation (pécuniaire ou morale) aux tribunaux pour violation de la législation sur la protection de la vie privée.

Comment se mettre en conformité avec la LGPD

Check-list de conformité à la LGPD

Déterminer (et documenter) les bases juridiques justifiant le traitement des données personnelles. Les responsables du traitement doivent déterminer la base juridique de chacune des activités de traitement et en garder trace dans leurs registres de traitement.

Tenir un registre des activités de traitement (requis au titre de l’article 37). Bien que la LGPD ne précise pas ses exigences quant à la forme et au contenu de ces registres, il est probable qu’elles seront semblables à celles applicables au registre des traitements requis à l’article 30 du RGPD. iubenda facilite la création et la tenue de vos registres des traitements des données. Pour en savoir plus, cliquez ici.

Inclure les informations obligatoires dans votre politique de confidentialité. Indispensable (Art. 9) pour satisfaire aux exigences de la LGPD en matière de transparence. Plus de détails sur l’intégration en un clic des informations requises par la LGPD dans notre Générateur de Politique de Confidentialité ici.

Collecter et conserver des preuves de consentement valables (requis au titre de l’article 8). Comme dans le RGPD, la LGPD fait reposer sur vous, le responsable du traitement, la charge de la preuve du consentement valable. iubenda facilite la création et la tenue de vos registres de consentement. Pour en savoir plus, cliquez ici.

Désigner un délégué à la protection des données (DPD) — requis au titre de l’article 41. La LGPD impose à tous les responsables du traitement de désigner un DPD chargé des missions détaillées ici. À l’heure actuelle, la loi n’impose pas que le DPD soit physiquement situé au Brésil, et laisse également la possibilité aux responsables du traitement de nommer DPD des consultants indépendants tiers.

Établir des politiques et des procédures internes permettant d’honorer les droits des utilisateurs et de répondre aux demandes de ces derniers à ce sujet. Les responsables du traitement doivent convenablement répondre à toute demande des personnes concernées visant à exercer leurs droits au titre de la LGPD, notamment les droits d’accès, de correction, d’anonymisation, de suppression et de portabilité.

Appliquer un protocole de sécurité. Les responsables du traitement et les sous-traitants doivent tous deux adopter des mesures de sécurité conçues pour protéger les données personnelles. L’APD pourra définir ultérieurement des lignes directrices concernant les normes techniques minimums à respecter. On peut trouver des orientations supplémentaires dans certains cadres juridiques du droit brésilien portant sur d’autres normes, par exemple le Cadre des droits civils sur Internet, ou Marco Civil da Internet (qui fixe des principes, des garanties, des droits et des obligations pour les utilisateurs d’Internet au Brésil).

Développer un plan de réponse et de réparation des incidents (conformément à l’article 50). Les responsables du traitement et les sous-traitants doivent mettre en œuvre un plan de réponse aux incidents. Celui-ci doit garantir que le responsable du traitement est en mesure de respecter son obligation de signalement des incidents (voir ci-dessous).

Si une violation de données engendre un risque ou un préjudice important pour les utilisateurs, vous devez en informer l’APD et les utilisateurs (conformément à l’article 50).

Réaliser des analyses d’impact relatives à la protection des données (AIPD). Il peut être obligatoire de procéder à une AIPD en cas de situation à risque ou sur demande de l’autorité, lorsque le traitement des données est fondé sur l’intérêt légitime.

Appliquer le principe de protection de la vie privée dès la conception et par défaut. Aux termes de la LGPD, il est obligatoire de mettre en place des mesures par défaut qui garantissent la protection des données personnelles. Concrètement, les paramètres par défaut doivent être ceux qui garantissent le plus haut niveau de protection.

Respecter les obligations en matière de transferts de données transfrontaliers. Veillez à bien connaître les limites applicables aux transferts de données transfrontaliers et à respecter les dispositions les concernant. Pour en savoir plus, cliquez ici.

Comment iubenda vous aide à vous conformer aux exigences de la LGPD

Pour vous mettre en conformité, l’une des étapes essentielles est de vous assurer que vos documents sont conformes aux obligations légales. Chez iubenda, nous adoptons une approche complète de la conformité avec le droit des données. Nous concevons nos solutions en tenant compte des règlements les plus stricts et mettons à votre disposition de nombreuses options de personnalisation de vos documents. Nous vous aidons à respecter vos obligations légales, à protéger vos clients — en instaurant un climat de confiance et en renforçant votre crédibilité — et, ainsi, à réduire le risque de litige.

Voici les étapes incontournables pour être pleinement conforme :

La Politique de Confidentialité

Toutes les politiques de confidentialité générées avec iubenda vous permettent de vous mettre en conformité avec la LGPD, car elles vous donnent la possibilité d’appliquer facilement aux utilisateurs brésiliens les normes juridiques qu’elle définit.

Grâce à notre Générateur de Politique de Confidentialité et de Cookies, vous pouvez créer une politique de confidentialité précise et visuellement agréable, conçue avec soin par un avocat, qui s’intègre de façon harmonieuse à votre site Web ou application. Il vous suffit de cliquer sur un bouton pour ajouter l’une des nombreuses clauses préexistantes ou d’utiliser le formulaire intégré pour rédiger vos propres clauses personnalisées.

Grâce à notre solution , il vous est facile de respecter les exigences de la LGPD. En un clic, nous mettons à votre disposition :

  • Des textes rédigés suivant les normes de la LGPD (langage adapté, informations spécifiques, etc.)  ; et
  • La possibilité d’activer l’option « LGPD » dans le générateur. Votre politique de confidentialité incorporera automatiquement le contenu de la LGPD  — sans devoir réintégrer le code sur votre site Web !

Vous pouvez inclure à la politique de confidentialité une politique de cookies (cette inclusion est nécessaire si votre site Web ou votre application utilise des cookies et si certains des utilisateurs se situent dans l’UE). Ces politiques peuvent être personnalisées selon vos besoins et sont mises à jour à distance par une équipe juridique internationale.

 

Pour plus d’informations sur les politiques de confidentialité, cliquez ici.

L’ « Internal Privacy Management »

Il peut être techniquement difficile de se mettre concrètement en conformité avec les dispositions de la LGPD, et tout particulièrement concernant la gestion de la protection de la vie privée en interne.

Notre solution vous simplifie l’enregistrement et la gestion de toutes les activités de traitement de données pour vous permettre de vous conformer facilement aux exigences de la LGPD, et plus généralement de respecter vos obligations légales. Elle vous permet également de créer un registre des activités de traitement : ajoutez des activités de traitement en choisissant parmi plus de 1700 options prédéfinies, divisez-les par domaines (des subdivisions au sein desquelles les activités de traitement des données sont identiques), affectez-leur des sous-traitants et d’autres rôles. Vous pouvez également l’utiliser pour documenter les bases juridiques et pour tenir tout autre registre exigé par la LGPD.

Pour obtenir une liste complète des fonctionnalités de notre outil Internal Privacy Management, cliquez ici ou lisez le guide disponible ici.

La gestion du consentement et la tenue d’un registre détaillé s’y rapportant

Pour être en conformité avec les législations sur la protection de la vie privée comme la LGPD ou le RGPD, vous devez conserver des preuves permettant de démontrer que vous avez obtenu le consentement des utilisateurs de manière conforme à la loi.

Consent Solution simplifie ce processus en vous aidant à conserver facilement la preuve du consentement et à gérer le consentement et les préférences en matière de vie privée de chacun de vos utilisateurs. Notre solution vous permet de suivre tous les aspects du consentement (y compris la déclaration de confidentialité ou toute autre information juridique et le formulaire de consentement qui ont été présentés à l’utilisateur au moment du recueil de consentement) ainsi que les préférences connexes exprimées par l’utilisateur.

Pour l’utiliser, il vous suffit d’activer Consent Solution à partir de votre tableau de bord et d’en récupérer la clé API, puis de l’installer via les en-têtes HTTP ou le widget JS. C’est tout ! Vous pourrez alors à tout moment récupérer les données sur le consentement et les tenir à jour.

Pour obtenir une liste complète des fonctionnalités de notre outil Consent Solution, cliquez ici ou lisez le guide disponible ici.

Mettez votre site en conformité avec la LGPD en quelques minutes

Générer dès maintenant

Remarque : les lois sont susceptibles d’être modifiées ou mises à jour. Il est donc important de vous assurer que vos politiques répondent aux exigences les plus récentes. C’est pourquoi nous utilisons une méthode d’intégration, et NON de copier-coller. Avec cette méthode, vous avez l’assurance que votre politique reste à jour grâce au travail effectué à distance par notre équipe juridique.

Voir aussi