< Tous nos articles
International

La nouvelle loi brésilienne sur la protection des données personnelles inspirée du RGPD européen

18/06/2019

Par Gabriela Greco de Marco Leite et Ali Bougrine

Le 14 août 2018, fut approuvée par l’ancien président Michel Temer la nouvelle loi brésilienne sur la protection et le traitement des données personnelles (LGPD – Loi nº 13.709/2018), qui modifie la Loi nº 12.965, du 23 avril 2014 et entre en vigueur en août 2020, 24 mois après son adoption. La nouvelle loi s’inspire du Règlement général sur la protection des données (RGPD) européen, entré en vigueur en mai 2016 et applicable à partir de mai 2018.

Les nouvelles règles s’assurent que les données personnelles tels que le nom, l’adresse, l’adresse mail, l’âge, l’état civil et la situation patrimoniale ne soient pas utilisées par les entreprises et le Gouvernement sans le consentement de la personne concernée.

            Parmi les plus grands changements : la nécessité du consentement chaque fois que le numéro de sécurité sociale de l’individu est concerné, et la possibilité de demander la suppression des données personnelles d’une base de données.

            La nouvelle loi s’impose à toutes les entreprises qui collectent des données sur le territoire brésilien. Contrairement à la loi brésilienne la loi européenne impose à toutes entreprises situées en dehors de l’Union européenne qui souhaite traiter les données des personnes européennes à se soumettre à la législation.  A contrario, la loi brésilienne, de son côté, n’impose aucune obligation aux entreprises situées hors du Brésil qui souhaitent collecter et traiter les données sur le territoire brésilien.

            La nouvelle règlementation qualifie les données personnelles comme n’importe quelle information qui peut être utilisée pour identifier une personne, y compris le nom, le surnom, l’adresse postale, l’adresse mail et les données de localisation. La loi traite aussi des « données sensibles », celles concernant l’origine raciale ou ethnique, la conviction religieuse, l’opinion politique et l’affiliation à un syndicat. Les informations qui ne permettent pas l’identification d’une personne – celles utilisées par les entreprises pour définir les profils des utilisateurs et appelées « données anonymisées » – en opposition aux deux catégories ci-mentionnées, ne requièrent pas le consentement de l’utilisateur pour pouvoir être traitées par l’entreprise.

            A partir de l’adoption de la nouvelle règlementation, les données personnelles ne pourront être traitées, analysées ou manipulées par une entreprise que si la personne impliquée a donné un consentement explicite. Avant le consentement, l’entreprise doit fournir à la personne les informations concernant la finalité de l’utilisation des données, sa durée et les personnes morales responsables de ce traitement. Le consentement peut, toutefois, être annulé à n’importe quel moment par l’utilisateur concerné et doit être renouvelé à chaque fois qu’un changement a lieu. Concernant les mineurs, l’entreprise doit obtenir le consentement des parents ou responsables légaux.

            À l’instar de la règlementation européenne, la loi brésilienne exige que les entreprises ne collectent que les données nécessaires à l’activité développée. A défaut, l’autorisation donnée par le titulaire des données sera annulée.

            Une autre nouveauté apportée par la loi est l’autorisation aux utilisateurs d’accéder aux données collectées auprès des entreprises, ainsi que la demande de correction, mise à jour et suppression de ces données.

            Les pouvoirs publics ne peuvent pas transférer aux entreprises privées les données personnelles qui se situent dans leur base de données, sauf dans les cas où les données concernées sont déjà accessibles publiquement et dans les cas prévus par la loi d’accès à l’information.

            En outre, la nouvelle loi dispose que le transfert de données personnelles situées au Brésil à d’autres pays est possible sous deux conditions :

  • si le pays destinataire présente un niveau de protection des données personnelles assimilé à celui du Brésil ; et 
  • si l’entreprise qui reçoit les données fournit une garantie de conformité aux principes établis par la loi brésilienne.

Par ailleurs, pour les entreprises qui ne respectent pas les nouvelles obligations, le paiement d’une amende de 2% de son chiffre d’affaires dans la limite de R$ 50.000,00, est prévue. Pour cette raison, il est important que les entreprises brésiliennes aient connaissance de la règlementation et s’adaptent à ses dispositions.

Partager cet article :