Guide de la Loi générale brésilienne de protection des données personnelles (LGPD)
Qu’est-ce que la LGPD ? Êtes-vous concerné ? Et comment vous mettre en conformité avec elle ? Sur cette page, nous décortiquons cette loi pour vous — sans jargon juridique !
La loi générale brésilienne de protection des données personnelles, ou Lei Geral de Proteção de Dados Pessoais (LGPD) peut être considérée comme le pendant brésilien du RGPD — la loi brésilienne est en de nombreux points alignée sur le règlement européen, tout en s’en distinguant sur d’autres. Elle vise à remplacer ou à compléter un panorama juridique auparavant très dispersé (on comptait plus de 40 normes fédérales au niveau sectoriel) par un cadre réglementaire unique.
La LGPD crée un nouveau cadre légal d’utilisation des données personnelles au Brésil, à la fois en ligne et hors-ligne, et dans les secteurs public et privé.
D’une manière générale, la LGPD limite votre traitement des données personnelles à des finalités légitimes, spécifiques, explicites et clairement exposées. Comme pour le RGPD, les principes de transparence et de minimisation (n’utiliser que les données dont vous avez besoin) s’imposent.
Initialement, il avait été proposé de reporter l’entrée en vigueur de la LGPD au mois de décembre. Mais un vote du Sénat a supprimé la proposition de report de la loi de conversion (« Conversion bill »)(PLV) 34/2020. Depuis, le président brésilien a promulgué la loi, confirmant ainsi son entrée en vigueur au 18 septembre 2020. Dans ce contexte, un décret actant la création de l’Autorité nationale de protection des données, appelée Autoridad Nacional de Protección de Datos (ANPD) a été publié.
L’APD brésilienne (ANPD) a publié une version mise à jour de ses « Directives pour les agents de traitement des données personnelles et délégués à la protection des données », clarifiant ainsi des concepts prévus par la LGPD et par les lignes directrices précédentes. Consultez les changements ici.
Par exemple, sur Internet, une société peut recueillir des informations sur les utilisateurs par le biais de son site Web et les conserver à l’aide d’un service cloud tiers. Dans ce scénario, la société est le responsable du traitement et l’organisation qui met à disposition le service cloud est le sous-traitant.
Comme pour le RGPD, le champ d’application de la LGPD s’étend au-delà des frontières du Brésil. En d’autres termes, vous êtes susceptibles de devoir vous y conformer même si votre activité n’est pas basée au Brésil. Concrètement, vous êtes soumis à la LGPD si :
D’une manière générale, partez du principe que la LGPD s’applique à votre cas si vous traitez les données personnelles de personnes situées au Brésil ou si vous traitez des données personnelles sur le territoire brésilien, quelle que soit la nationalité de leur titulaire.
L’application de la LGPD porte des exceptions, même lorsque le responsable du traitement relève du champ d’application territorial de la loi. Elles sont énumérées ci-dessous. La LGPD n’est pas applicable lorsque :
La LGPD adopte une définition large de la notion de données personnelles. Comme pour le RGPD, les données personnelles dans le cadre de la LGPD désignent toutes les données que l’on peut lier à une personne identifiée ou identifiable. Globalement, sont considérées comme des données personnelles toutes les données qui se rapportent à une personne identifiée ou identifiable. Cette définition inclut les données pouvant être combinées à d’autres informations pour permettre d’identifier une personne.
Les données véritablement anonymisées (c’est-à-dire celles qui ne permettent pas, directement ou indirectement, et en utilisant des moyens raisonnables, d’identifier une personne) ne sont pas concernées par la LGPD. Celle-ci reste toutefois applicable si le processus d’anonymisation peut être inversé ou si les données sont utilisées à des fins de profilage comportemental.
Les données personnelles incluent par exemple les données élémentaires relatives à l’identité d’une personne (comme son nom), les données de santé, les données génétiques et biométriques, les données Web telles que les adresses IP et les adresses e-mail personnelles, ou encore les données relatives aux opinions politiques et à l’orientation sexuelle.
Les données non personnelles peuvent être le numéro d’immatriculation d’une entreprise, les adresses e-mail générales d’une société (comme info@société.com), et les données anonymisées.
La LGPD distingue les données « sensibles » des données personnelles « classiques » et leur attribue des règles particulières. Les données sensibles sont les données liées à l’origine raciale ou ethnique ou aux convictions religieuses, les données concernant la santé ou la vie sexuelle, ou celles permettant d’identifier l’utilisateur de manière univoque et permanente, telles que les données génétiques ou biométriques.
Dans la mesure où leur traitement est davantage susceptible d’exposer l’utilisateur à un risque de discrimination, les données sensibles doivent être traitées avec un niveau de sécurité particulièrement élevé, et sur des bases juridiques très spécifiques.
D’une manière générale, vous ne pouvez traiter des données sensibles que si l’utilisateur (ou son tuteur légal si la personne est mineure) a consenti à ce traitement en particulier. Il existe des exceptions.
💡 Astuce : utilisez le menu flottant à gauche pour accéder directement aux sections que vous souhaitez consulter ensuite (par exemple : « comment se mettre en conformité »)
Voici les principaux concepts contenus dans la LGPD
Les principes régissant le traitement des données sont très similaires à ceux du RGPD. Notamment :
En vertu du LGPD, le traitement des données n’est autorisé que lorsqu’il repose sur au moins une base juridique.
Les bases juridiques autorisées sont les suivantes :
*Ne constitue pas une base juridique au titre du RGPD.
Le consentement est un sujet essentiel, particulièrement pertinent dans le cadre du traitement en ligne des données. Nous allons donc examiner ci-après les exigences de la LGPD en la matière.
La LGPD dispose que le consentement doit être « libre, informé et univoque ». En d’autres termes, le consentement ne doit pas être contraint, l’acte de consentement de l’utilisateur doit être explicite, et ce dernier doit être proprement informé avant de donner son consentement. Le consentement doit également porter sur une finalité précise, et l’utilisateur doit pouvoir le retirer ou l’annuler.
La LGPD dispose que le consentement doit être libre, informé et univoque.
En ce qui concerne le consentement des enfants de moins de 12 ans, vous devez obtenir le consentement spécifique et explicite d’un parent ou d’un tuteur. Les mineurs de 13 à 18 ans peuvent donner leur consentement eux-mêmes, dès lors que le traitement de leurs données à caractère personnel est réalisé dans leur intérêt. Vous devez prendre toutes les mesures raisonnables (compte tenu des moyens technologiques disponibles) pour vérifier que la personne qui donne son consentement est bien titulaire de la responsabilité parentale à l’égard de l’enfant.
*Remarque : au Brésil, la pleine capacité contractuelle est acquise à 18 ans.
Données accessibles publiquement
Avant la LGPD, la législation permettait aux entreprises de collecter et de traiter les données personnelles accessibles publiquement sur Internet et à partir de n’importe quelle source, quelle qu’en soit la raison. Avec la LGPD, ce n’est plus possible.
La LGPD prévoit que les données personnelles publiques ne peuvent être collectées et utilisées que dans deux cas :
Remarque : Pour ces raisons, la LGPD limitera probablement le recours au « scraping » ou à d’autres types de collecte de données publiquement accessibles à des fins de marketing ou autres.
Données sensibles
Pour le traitement des données sensibles, il est possible de se passer du consentement uniquement lorsque ce traitement est absolument nécessaire aux finalités suivantes :
Données de mineurs
La LGPD prévoit des exceptions à l’obligation de consentement au traitement des données de mineurs lorsque le traitement est nécessaire pour contacter les parents ou les tuteurs de l’enfant ou pour le protéger. Les données ne peuvent être utilisées qu’une fois et ne doivent pas être conservées. Elles ne doivent pas non plus être transmises à des tiers sans consentement en bonne et due forme.
La LGPD dispose que les utilisateurs (les « personnes concernées ») jouissent des droits suivants :
Si vous devez transférer des données protégées par la LGPD hors du Brésil, vous devez garder certains principes à l’esprit. La LGPD autorise le transfert transfrontalier de données personnelles dès lors qu’un niveau adéquat de protection de ces données est garanti.
Concrètement, cela signifie que le transfert est permis s’il est estimé que la législation du pays de réception garantit un niveau de protection approprié. C’est l’Autorité de protection des données (APD) qui évalue le niveau d’adéquation offert par le pays ou l’organisation internationale réceptionnaire des données.
Si ce niveau est jugé insuffisant, il reste possible de transférer les données à l’étranger pourvu qu’une des conditions suivantes soit satisfaite :
La LGPD exige que les responsables du traitement et les sous-traitants tiennent un registre de leurs activités de traitement des données à caractère personnel, et ce tout particulièrement lorsque le traitement est fondé sur des intérêts légitimes. Tous les responsables du traitement et les sous-traitants, quels que soient l’ampleur et la fréquence du traitement ou le type de données traitées, doivent respecter cette obligation de tenir un registre. L’autorité de protection des données peut toutefois accorder des exemptions.
Tous les responsables du traitement et les sous-traitants doivent respecter l’obligation de tenir un registre.
L’analyse d’impact relative à la protection des données (AIPD) est, en substance, un processus qui aide le responsable du traitement à se conformer aux règles relatives à la confidentialité des données — à faire en sorte que les principes généraux sont bien respectés.
Au titre de la LGPD, les documents composant l’AIPD décrivent généralement les activités de traitement de données à caractère personnel susceptibles d’engendrer des risques pour les droits et les libertés civiles, ainsi que toutes les mesures, garanties et mécanismes en place pour réduire ces risques.
Le document d’AIPD doit contenir au moins :
La loi ne précise pas explicitement quand une AIPD est nécessaire. Toutefois, l’Autorité de protection des données peut, à tout moment, demander au responsable du traitement d’en réaliser une et de la lui transmettre.
La LGPD dispose que le responsable du traitement, c’est-à-dire vous, doit désigner un Délégué à la protection des données (DPD). Cette règle ne souffre aucune exception. Les DPD sont des personnes chargées des responsabilités suivantes :
Aux termes de la LGPD, les responsables du traitement, les sous-traitants ou tout autre agent impliqué dans le traitement des données à caractère personnel doivent appliquer des mesures de sécurité et des mesures techniques et administratives pour protéger les données personnelles de tout accès non autorisé ou de toute destruction, perte, altération, divulgation ou autre sorte de traitement non légitime, que ce soit de manière accidentelle ou illicite.
Tout incident touchant à la sécurité et susceptible de créer pour l’utilisateur un risque ou un préjudice doit être signalé dans un délai raisonnable à l’APD.
Ce signalement doit contenir, au moins, les éléments suivants :
Dès qu’elle est informée de la violation, l’APD est susceptible d’ordonner au responsable du traitement d’alerter les médias, ou de prendre d’autres mesures pour réduire les effets négatifs de l’incident.
Tout comme pour le RGPD, la transparence est l’un des principes fondamentaux de la LGPD. La LGPD dispose que les utilisateurs ont droit à un accès facilité à l’information concernant le traitement de leurs données à caractère personnel. Ces informations doivent être disponibles de manière intelligible, adéquate et évidente.
Ces informations portent sur :
La LGPD dispose que les responsables du traitement et les sous-traitants peuvent mettre en place des procédures et des politiques internes pour garantir la conformité à la loi. Il peut s’agir, notamment, d’un plan de gouvernance de la protection de la vie privée et de mesures pour démontrer son efficience.
Le plan de gouvernance doit, au minimum :
Le responsable du traitement doit être en mesure de démontrer à tout moment l’efficience du programme de gouvernance de la protection de la vie privée, tout particulièrement à la demande de l’autorité nationale.
La violation des dispositions de la LGPD expose à des amendes représentant 2 % du chiffre d’affaires annuel de l’entreprise, jusqu’à hauteur de 50 millions de reals brésiliens (quelque 8 M€ ou 9 M US$) par violation. Les autres mesures correctives qui peuvent être prises à l’encontre des contrevenants ne sont pas moins importantes.
La violation de la loi expose à des amendes de 2 % du chiffre d’affaires annuel de l’entreprise, jusqu’à hauteur de 50 millions de reals brésiliens (8 M€).
La LGPD attribue à l’Autorité brésilienne de protection des données des pouvoirs correctifs, tels que donner des avertissements et infliger des amendes, rendre publique la violation, et bloquer ou supprimer les activités de traitement ou les données personnelles concernées par l’infraction. Concrètement, si l’infraction s’est produite dans le cadre de la collecte d’adresses e-mail, le responsable du traitement contrevenant risque de perdre toute la liste d’adresses e-mail correspondante. L’APD brésilienne peut également exiger la suspension partielle de la base de données liée à l’incident, pour une durée pouvant aller jusqu’à 6 mois, interrompant ainsi potentiellement les autres activités qui en dépendaient.
En outre, comme pour le RGPD, la LGPD permet aux utilisateurs ayant des motifs d’action de demander réparation (pécuniaire ou morale) aux tribunaux pour violation de la législation sur la protection de la vie privée.
Déterminer (et documenter) les bases juridiques justifiant le traitement des données personnelles. Les responsables du traitement doivent déterminer la base juridique de chacune des activités de traitement et en garder trace dans leurs registres de traitement.
Tenir un registre des activités de traitement (requis au titre de l’article 37). Bien que la LGPD ne précise pas ses exigences quant à la forme et au contenu de ces registres, il est probable qu’elles seront semblables à celles applicables au registre des traitements requis à l’article 30 du RGPD. iubenda facilite la création et la tenue de vos registres des traitements des données. Pour en savoir plus, cliquez ici.
Inclure les informations obligatoires dans votre politique de confidentialité. Indispensable (Art. 9) pour satisfaire aux exigences de la LGPD en matière de transparence. Plus de détails sur l’intégration en un clic des informations requises par la LGPD dans notre Générateur de Politique de Confidentialité ici.
Collecter et conserver des preuves de consentement valables (requis au titre de l’article 8). Comme dans le RGPD, la LGPD fait reposer sur vous, le responsable du traitement, la charge de la preuve du consentement valable. iubenda facilite la création et la tenue de vos registres de consentement. Pour en savoir plus, cliquez ici.
Désigner un délégué à la protection des données (DPD) — requis au titre de l’article 41. La LGPD impose à tous les responsables du traitement de désigner un DPD chargé des missions détaillées ici. À l’heure actuelle, la loi n’impose pas que le DPD soit physiquement situé au Brésil, et laisse également la possibilité aux responsables du traitement de nommer DPD des consultants indépendants tiers.
Établir des politiques et des procédures internes permettant d’honorer les droits des utilisateurs et de répondre aux demandes de ces derniers à ce sujet. Les responsables du traitement doivent convenablement répondre à toute demande des personnes concernées visant à exercer leurs droits au titre de la LGPD, notamment les droits d’accès, de correction, d’anonymisation, de suppression et de portabilité.
Appliquer un protocole de sécurité. Les responsables du traitement et les sous-traitants doivent tous deux adopter des mesures de sécurité conçues pour protéger les données personnelles. L’APD pourra définir ultérieurement des lignes directrices concernant les normes techniques minimums à respecter. On peut trouver des orientations supplémentaires dans certains cadres juridiques du droit brésilien portant sur d’autres normes, par exemple le Cadre des droits civils sur Internet, ou Marco Civil da Internet (qui fixe des principes, des garanties, des droits et des obligations pour les utilisateurs d’Internet au Brésil).
Développer un plan de réponse et de réparation des incidents (conformément à l’article 50). Les responsables du traitement et les sous-traitants doivent mettre en œuvre un plan de réponse aux incidents. Celui-ci doit garantir que le responsable du traitement est en mesure de respecter son obligation de signalement des incidents (voir ci-dessous).
Si une violation de données engendre un risque ou un préjudice important pour les utilisateurs, vous devez en informer l’APD et les utilisateurs (conformément à l’article 50).
Réaliser des analyses d’impact relatives à la protection des données (AIPD). Il peut être obligatoire de procéder à une AIPD en cas de situation à risque ou sur demande de l’autorité, lorsque le traitement des données est fondé sur l’intérêt légitime.
Appliquer le principe de protection de la vie privée dès la conception et par défaut. Aux termes de la LGPD, il est obligatoire de mettre en place des mesures par défaut qui garantissent la protection des données personnelles. Concrètement, les paramètres par défaut doivent être ceux qui garantissent le plus haut niveau de protection.
Respecter les obligations en matière de transferts de données transfrontaliers. Veillez à bien connaître les limites applicables aux transferts de données transfrontaliers et à respecter les dispositions les concernant. Pour en savoir plus, cliquez ici.
Pour vous mettre en conformité, l’une des étapes essentielles est de vous assurer que vos documents sont conformes aux obligations légales. Chez iubenda, nous adoptons une approche complète de la conformité avec le droit des données. Nous concevons nos solutions en tenant compte des règlements les plus stricts et mettons à votre disposition de nombreuses options de personnalisation de vos documents. Nous vous aidons à respecter vos obligations légales, à protéger vos clients — en instaurant un climat de confiance et en renforçant votre crédibilité — et, ainsi, à réduire le risque de litige.
Voici les étapes incontournables pour être pleinement conforme :
Toutes les politiques de confidentialité générées avec iubenda vous permettent de vous mettre en conformité avec la LGPD, car elles vous donnent la possibilité d’appliquer facilement aux utilisateurs brésiliens les normes juridiques qu’elle définit.
Grâce à notre Générateur de Politique de Confidentialité et de Cookies, vous pouvez créer une politique de confidentialité précise et visuellement agréable, conçue avec soin par un avocat, qui s’intègre de façon harmonieuse à votre site Web ou application. Il vous suffit de cliquer sur un bouton pour ajouter l’une des nombreuses clauses préexistantes ou d’utiliser le formulaire intégré pour rédiger vos propres clauses personnalisées.
Grâce à notre solution , il vous est facile de respecter les exigences de la LGPD. En un clic, nous mettons à votre disposition :
Vous pouvez inclure à la politique de confidentialité une politique de cookies (cette inclusion est nécessaire si votre site Web ou votre application utilise des cookies et si certains des utilisateurs se situent dans l’UE). Ces politiques peuvent être personnalisées selon vos besoins et sont mises à jour à distance par une équipe juridique internationale.
Pour plus d’informations sur les politiques de confidentialité, cliquez ici.
Il peut être techniquement difficile de se mettre concrètement en conformité avec les dispositions de la LGPD, et tout particulièrement concernant la gestion de la protection de la vie privée en interne.
Notre solution vous simplifie l’enregistrement et la gestion de toutes les activités de traitement de données pour vous permettre de vous conformer facilement aux exigences de la LGPD, et plus généralement de respecter vos obligations légales. Elle vous permet également de créer un registre des activités de traitement : ajoutez des activités de traitement en choisissant parmi plus de 1700 options prédéfinies, divisez-les par domaines (des subdivisions au sein desquelles les activités de traitement des données sont identiques), affectez-leur des sous-traitants et d’autres rôles. Vous pouvez également l’utiliser pour documenter les bases juridiques et pour tenir tout autre registre exigé par la LGPD.
Pour obtenir une liste complète des fonctionnalités de notre Registre des activités de traitement des données, cliquez ici ou lisez le guide disponible ici.
Pour être en conformité avec les législations sur la protection de la vie privée comme la LGPD ou le RGPD, vous devez conserver des preuves permettant de démontrer que vous avez obtenu le consentement des utilisateurs de manière conforme à la loi.
Consent Database simplifie ce processus en vous aidant à conserver facilement la preuve du consentement et à gérer le consentement et les préférences en matière de vie privée de chacun de vos utilisateurs. Notre solution vous permet de suivre tous les aspects du consentement (y compris la déclaration de confidentialité ou toute autre information juridique et le formulaire de consentement qui ont été présentés à l’utilisateur au moment du recueil de consentement) ainsi que les préférences connexes exprimées par l’utilisateur.
Pour l’utiliser, il vous suffit d’activer Consent Database à partir de votre tableau de bord et d’en récupérer la clé API, puis de l’installer via les en-têtes HTTP ou le widget JS. C’est tout ! Vous pourrez alors à tout moment récupérer les données sur le consentement et les tenir à jour.
Pour obtenir une liste complète des fonctionnalités de notre outil Consent Database, cliquez ici ou lisez le guide disponible ici.
💡 Si vous opérez au Brésil ou avez des utilisateurs brésiliens, il est recommandé d’afficher un bandeau cookies et de demander le consentement de vos utilisateurs avant d’installer des cookies non-techniques.
Notre produit Privacy Controls and Cookie Solution facilite cette procédure ! De plus, vous pouvez personnaliser votre bandeau cookies, collecter aisément le consentement et mettre en place le blocage préalable avec réactivation asynchrone.
Remarque : les lois sont susceptibles d’être modifiées ou mises à jour. Il est donc important de vous assurer que vos politiques répondent aux exigences les plus récentes. C’est pourquoi nous utilisons une méthode d’intégration, et NON de copier-coller. Avec cette méthode, vous avez l’assurance que votre politique reste à jour grâce au travail effectué à distance par notre équipe juridique.
