Les entreprises européennes ne sont pas seulement soumises au RGPD. Lorsqu’elles reçoivent et traitent des données personnelles venues de l’extérieur, elles doivent aussi prendre en compte la réglementation du pays d’origine. Les transfert internationaux de données à partir du Brésil sont soumis à un régime strict qui contient encore de nombreuses zones d’ombre.

La Loi Générale de Protection des Données Personnelles brésilienne (Loi nº 13.709/2018 - LGPD), adoptée en 2018, est entrée en vigueur en septembre 2020 et ses dispositions relatives au sanctions administratives en août 2021. C’est donc un texte récent.

Elle est très largement inspirée de la réglementation européenne (Règlement UE 2016/679 du Parlement Européen et du Conseil - RGPD) : champs d’application matériel et territorial, définitions, principes, droits des personnes concernées, mécanismes de protection, etc. Au-delà de sa commodité, ce choix législatif a été fait dans une optique de convergence et pour acquérir plus rapidement le statut convoité de pays à protection adéquate, délivré par la Commission européenne.

Parmi les opérations de traitement de données personnelles, les transferts internationaux présentent un risque accru pour les personnes concernées en ce qu’ils peuvent conduire à une évasion des données vers un pays où elles ne sont pas adéquatement protégées. Or, ces transferts sont constants et vont de pair avec une économie globalisée : ils contribuent à la fluidité et à la rapidité des échanges, facilitent le fonctionnement de groupes multinationaux, permettent la réalisation d’opérations transnationales (fusions et acquisitions), etc. Il est donc nécessaire de faire un arbitrage entre ces intérêts conflictuels.

En pratique, il est fréquent que des sociétés brésiliennes transfèrent leurs bases de données de clients ou de salariés à leur société mère étrangère, à des sociétés tiers ou même à des cabinets d’audit, dans le cadre d’opérations d’acquisition (due diligence). Nombre de ces sociétés ignorent l’existence de la LGPD et son application extraterritoriale.

La règle : Une prohibition aménagée.

Ces transferts sont encadrés par un régime spécial (Chapitres V de la LGPD et du RGPD), plus strict que celui applicable aux autres opérations de traitement de données personnelles non sensibles. Ce régime conditionne l’envoi de données à l’étranger à l’existence de certaines garanties.

La règle est donc la prohibition ; les transferts internationaux de données personnelles ne sont autorisés dans des cas limitativement énumérés où le risque d’atteinte aux droits des personnes concernées peut-être maîtrisé.

En particulier, des entreprises peuvent transférer ces données vers des pays tiers dans les situation suivantes [1] :
 Envoi des données dans un pays qui garantit un degré de protection adéquat ;
 Utilisation de clauses contractuelles spécifiques autorisées ou des clauses types publiées par l’autorité de contrôle ; existence de règles d’entreprise contraignantes ou de codes de conduite ; recours à un mécanisme de certification ;
 Transfert spécifiquement autorisé par l’autorité de contrôle ;
 Consentement exprès de la personne concernée ; ou
 Exécution d’un contrat auquel est partie la personne concernée, à la demande de ce dernier.

Ce régime est très proche des règles du RGPD et dépend largement d’orientations de l’autorité de contrôle : décision d’adéquation de pays tiers ; publication de clauses contractuelles types ; autorisation de clauses contractuelles spécifiques ou des normes d’entreprises ; définition des critères techniques permettant la mise en place de certifications ; etc.

Or, alors que la réglementation européenne est déjà robuste en la matière, l’autorité nationale brésilienne - ANPD, qui fête à peine ses deux ans d’existence, n’a encore publié aucune orientation. Ce vide juridique crée un risque important pour les entreprises, qui n’ont aucune garantie sur la conformité des transferts internationaux à la loi.

Une réglementation encore en suspens.

Les transferts internationaux de données personnelles faisaient partie de l’agenda réglementaire 2021-2022 de l’autorité de contrôle et ont fait l’objet d’une consultation publique au cours du premier semestre 2022. A cette occasion, l’ANPD a souligné l’importance d’équilibrer les intérêts en présence : si la protection des données personnelles ne doit pas être un obstacle à l’insertion du Brésil dans l’économie mondiale, l’innovation et le développement économique ne doivent pas nuire à la protection d’un droit fondamental des individus.

Parmi les mécanismes prévus par la LGPD, les clauses contractuelles types sont le plus utilisé dans le monde et un outil de convergence qui permet de rendre compatibles les règles de différentes juridictions. Elles sont simples d’utilisation et moins onéreuses, donc plus accessibles aux petites et moyennes entreprises.

Inversement, les décisions d’adéquation demandent du temps et leur portée géographique est limitée ; les certifications sont coûteuses et dépendent de la définition préalable de normes techniques complexes ; les codes de conduite ont un champ d’application plus étroit.

Ainsi, compte tenu de l’urgence des entreprises à disposer de mécanismes de conformité, l’ANPD a décidé de diviser le sujet en trois blocs et de commencer par les instruments contractuels : clauses types, clauses spécifiques et règles d’entreprise contraignantes.

La consultation publique s’est clôturée en juin dernier et l’ANPD est actuellement en phase d’analyse et de rédaction, sans prévision de délai de publication de la norme.

Les transferts internationaux ont été reconduits dans l’agenda réglementaire 2023-2024 comme sujet prioritaire. Le marché va donc devoir faire preuve de patience.

En attendant, le recours au consentement.

Faute de réglementation, le consentement des personnes concernées semble requis dans la plupart des cas. Les modalités de ce consentement sont cependant très strictes, proportionnelles aux risques encourus par les personnes concernées lorsque leurs données sont envoyées à l’étranger sans autre garantie réglementaire ou contractuelle.

La LGPD définit le consentement comme une manifestation libre, informée et non équivoque par laquelle la personne intéressée accepte le traitement de ses données personnelles dans un but précis. Il doit être donné par écrit (dans une clause dans une clause clairement distinguée du reste du contrat) ou par tout autre moyen qui établisse la manifestation de volonté, et pour des finalités déterminées (nullité des autorisations génériques).

Pour les transferts internationaux, le consentement doit être spécifique à cette finalité, clairement distingué des autres termes, et précédé d’une information sur le caractère international de l’opération, elle-même clairement distincte de toute autre finalité. Il est donc difficile à obtenir en pratique et peut être retiré à tout moment.

Comme dans le cadre du RGPD, le recours au consentement a donc vocation à être exceptionnel et transitoire, jusqu’à ce que l’autorité de contrôle émette les orientations relatives aux autres hypothèses de transferts internationaux de données.

Commentaire final et perspectives.

Contrairement au RGPD, qui a succédé à une réglementation déjà exhaustive (la Directive 95/46/CE et les travaux du WP29 et des agences nationales), la LGPD est la première norme spécifique en la matière au Brésil. Tout reste donc à faire, au niveau juridique, mais aussi culturel et social. L’ANPD doit encore adopter toute une série de réglementations d’application et se prononcer de manière concrète sur de nombreux points non tranchés par la loi.

En attendant que ce corpus juridique prenne forme, les praticiens raisonnent par analogie avec le RGPD et les orientation de l’EDPB et des agences nationales des pays de l’Union Européenne. Compte tenu de la proximité de la LGPD avec le RGPD sur la question des transferts internationaux, la réglementation brésilienne devrait largement converger vers le système européen. La grande inconnue est le temps que cela prendra à l’ANPD. Jusque-là, malheureusement, les entreprises n’auront aucune garantie d’être totalement conformes à la loi.

Les sanctions sont graduées et peuvent être dissuasives, avec des amendes allant jusqu’à 2% du chiffre d’affaires au Brésil au cours du dernier exercice financier, hors taxes, dans la limité de 50 millions de réais par infraction. Si l’ANPD privilégie pour l’instant une approche pédagogique, le risque demeure.

En portugais dans le texte :
 Lei nº 13.709/2018 [2] - Lei Geral de Proteção de Dados Pessoais (LGPD)
 LGPD : Lei Geral de Proteção de Dados Comentada, Viviane Nóbrega Maldonado et Renato Opice Blum, Capítulo V - Da transferência internacional de dados, Luis Fernando Prado Chaves - Revista dos Tribunais, Ed. 2020.

Mickael Viglino, Avocat Barreau de Paris et OAB/RJ, JG Assis de Almeida & Associados