Peu connue en dehors du continent sud-américain, la Loi générale de protection des données du Brésil est pourtant d’une importance significative, étant l’une des premières législations au monde à faire pendant au RGPD. Pour mémoire, le RGPD est le Règlement général de protection des données adopté par les pays de l’Union européenne en 2018 et qui a marqué le début d’un vent de transformation législative non seulement en Europe mais dans le monde entier. En témoigne l’adoption récente de la Loi 25 au Québec ou même des discussions autour du projet de loi C-27 au niveau canadien.
Au Brésil, la La loi générale de protection des données ou LGPD est entrée en vigueur en septembre 2020, deux ans après son adoption, dans le but de venir davantage protéger les renseignements personnels des Brésiliens et d’imposer de nouvelles responsabilités aux personnes et entités qui viennent collecter, utiliser, entreposer et partager des données (on parle dans la Loi de « traitement des données »). Comme dans d’autres pays, la nouvelle Loi sur les données personnelles était la bienvenue au Brésil, car elle est venue remplacer ou compléter un vaste éventail de législations antérieures (près de 40 au niveau fédéral !).
Pour mieux connaître le contexte brésilien de la protection des données personnelles et les obligations qui incombent aux organisations qui traitent des données de ressortissants du Brésil, découvrons ensemble quelques-unes des spécificités de la Loi générale de protection des données et ses ressemblances avec le RGPD.
La Loi peut aussi s’appliquer aux Non-Brésiliens
Tout d’abord, il est important de souligner que comme le RGPD, la loi brésilienne a aussi une application extra-territoriale. Ceci signifie que que si vous êtes amenés à utiliser des données de personnes qui vivent au Brésil ou si vous traitez des données personnelles sur le territoire brésilien, la Loi s’applique à vous, quelle que soit votre nationalité.
Il est donc bien important de prendre conscience des responsabilités que cela implique.
Les principes au coeur du traitement des données personnelles
Les principes qui gouvernent l’utilisation des données personnelles au Brésil présentent de fortes similitudes avec ceux du RGPD. En voici le descriptif :
Les données personnelles et les données sensibles
Tout comme le RGPD, la loi brésilienne s’applique à toutes les données identifiantes d’une personne ou qui peuvent conduire à son identification (par exemple via l’association de plusieurs jeux de données). Ceci signifie que que les données dé-identifiées ou pseudoanonymisées (selon le vocable européen) sont concernées par la Loi. Toutefois, les données anonymisées, qui ne peuvent plus conduire à l’identification d’une personne, ne sont pas couvertes par la LGPD.
La LGPD établit également une distinction entre les données personnelles « classiques » et les données « sensibles », et leur applique des règles spécifiques. Les données sensibles comprennent les informations sur l’origine raciale ou ethnique, les croyances religieuses, la santé ou la vie sexuelle d’une personne, ainsi que les données biométriques ou génétiques permettant une identification unique et permanente d’un individu.
En raison de leur caractère sensible, ces données exigent un niveau de protection élevée et requièrent (sauf exceptions) l’obtention du consentement des personnes pour leur traitement.
Le consentement et ses exemptions
Avant la LGPD, les entreprises brésiliennent pouvaient sur Internet collecter et utiliser largement les renseignements d’une personne s’ils étaient disponibles publiquement. Ceci ne pourra plus avoir cours désormais.
Pour une utilisation de données personnelles, le consentement doit être libre, éclairé et univoque. Et il est donné pour des finalités spécifiques, légitimes, explicites et clairement posées.
Afin de pouvoir utiliser des données personnelles sans obtenir un consentement, il faut entrer dans le cadre de certaines exemptions, telles que l’utilisation des données dans le cadre de politiques publiques, à des fins de recherche, pour la protection de la santé ou d’autres intérêts légitimes des utilisateurs. Tout comme avec le RGPD, le traitement des données personnelles repose donc sur des bases juridiques : elles sont au nombre de 10 au Brésil, contre 6 en Union Européenne.
Le gendarme des données personnelles au Brésil
L’Agence nationale de protection des données (ANPD) est l’organisme indépendant du pouvoir exécutif du gouvernement fédéral qui a été créé dans le but de superviser l’application de la LGPD par les organisations et les individus concernés. En plus d’établir les lignes directrices qui régissent le traitement des données personnelles, d’inspecter les organisations et d’appliquer des sanctions en cas de non-respect de la loi, l’ANPD a également pour fonction d’informer et de sensibiliser la population aux politiques, pratiques et droits en matière de protection des données.
La mission de l’ANPD est aussi de favoriser la compréhension et l’adoption des règles par les organisations qui utilisent les données personnelles des citoyens brésiliens. Ce rôle d’explication est essentiel car les amendes peuvent être très intimidantes pour les organisations. Tout comme en Europe avec le RGPD, une organisation qui enfreint la LGPD peut s’exposer à une sanction qui lui coutera au maximum 2% de son chiffre d’affaire annuel. De quoi conduire plus d’un à se mettre rapidement en conformité !