Transfert International de Données Personnelles : La Résolution CD/ANPD n° 19/2024

Le transfert international de données personnelles reste l’un des sujets les plus complexes dans le contexte mondial de la protection des données, à mesure que les flux d’informations transfrontaliers s’intensifient. La Résolution CD/ANPD n° 19/2024, publiée par l’Autorité Nationale de Protection des Données (ANPD), introduit des règles détaillées pour réguler ces transferts au Brésil, cherchant à s’aligner sur les régulations internationales telles que le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne et les législations américaines comme le California Consumer Privacy Act (CCPA) et le récent Cadre de Protection des Données UE-USA (EU-US Data Privacy Framework).

La nouvelle Résolution de l’ANPD n° 19/2024 établit des critères et des mécanismes pour que les transferts internationaux de données respectent la Loi Générale de Protection des Données (LGPD). Bien qu’elle présente des similitudes avec les régulations européennes et américaines, elle apporte des nuances spécifiques qui façonnent le paysage de la protection des données au Brésil.

Pays avec un Niveau Adéquat de Protection

La Résolution n° 19/2024, tout comme le RGPD en Europe, autorise le transfert de données vers des pays qui offrent un niveau adéquat de protection. Tandis que la Commission Européenne a déjà reconnu des pays tels que le Japon et le Royaume-Uni comme adéquats, l’Autorité Nationale de Protection des Données (ANPD), bien qu’elle procède à sa propre analyse d’adéquation, n’a formellement reconnu aucun pays comme adéquat. Cette analyse prend en compte des aspects tels que la législation en matière de protection des données du pays récepteur, l’efficacité des autorités régulatrices, le respect des droits des titulaires, entre autres.

Étant donné qu’aujourd’hui au Brésil, aucun pays n’a encore été reconnu comme offrant des niveaux adéquats de protection, les entreprises qui souhaitent transférer des données personnelles vers d’autres pays doivent utiliser l’un des mécanismes prévus par la Résolution 19, tels que les Clauses Contractuelles Types (SCCs) et les Règles d’Entreprise Contraignantes (BCRs).

Clauses Contractuelles Types (SCCs)

L’un des mécanismes les plus courants pour les transferts internationaux sont les Clauses Contractuelles Types (SCCs). Le RGPD a déjà consolidé ces clauses comme un outil essentiel pour garantir que les transferts de données personnelles vers des pays hors de l’Union Européenne se fassent de manière sécurisée. Ces SCCs spécifient des obligations claires pour les exportateurs et les importateurs de données, assurant que les pratiques de traitement des données soient conformes aux principes de protection des données.De manière similaire, l’ANPD a publié ses propres SCCs dans la Résolution n° 19, qui doivent être intégrées aux contrats conclus entre responsables ou sous-traitants au Brésil et leurs partenaires 

étrangers. Cette mesure aligne le Brésil sur les pratiques mondiales, offrant une voie standardisée pour garantir la conformité du transfert de données, quel que soit la destination.

Une des dispositions les plus importantes de la résolution est que les Clauses Contractuelles Types (SCCs) doivent être appliquées sans aucune modification, conformément à l’annexe de la norme. Cela signifie que les entreprises qui choisissent d’utiliser ce mécanisme ne peuvent pas modifier le contenu des clauses, sauf si une autorisation expresse de l’ANPD est accordée pour des adaptations spécifiques, et elles doivent être préparées et avoir un Programme de Gouvernance des données personnelles mis en place pour être en mesure de respecter les SCCs.

Règles d’Entreprise Contraignantes (Binding Corporate Rules – BCRs)

Tant l’Union Européenne que le Brésil, avec la Résolution n° 19, reconnaissent les Règles d’Entreprise Contraignantes (BCRs) comme un mécanisme efficace pour les transferts intragroupe. Les multinationales qui mettent en œuvre des BCRs démontrent un engagement envers un niveau uniforme de protection des données, applicable à toutes leurs filiales, quel que soit leur emplacement géographique.

Pour une entreprise au Brésil ayant son siège en Europe, les principales dispositions de la Résolution incluent la nécessité d’adoption et d’approbation des BCRs par l’ANPD, garantissant que ces règles sont alignées avec les principes de la LGPD et offrent un niveau adéquat de protection des données personnelles transférées entre entités du même groupe. Les BCRs facilitent le transfert sécurisé de données entre filiales et succursales situées dans différents pays, comme le Brésil et l’Europe, sans nécessiter d’évaluation de conformité pour chaque transaction individuelle.

De plus, les BCRs doivent garantir que les droits des titulaires de données, tels que l’accès, la rectification et la suppression, soient respectés dans toutes les entités du groupe, quel que soit la juridiction. Les entreprises doivent mettre en place des mécanismes clairs et transparents pour répondre à ces demandes des titulaires, assurant la protection des données tout au long du processus. Les règles déterminent également la responsabilité et la gouvernance du traitement des données, y compris la désignation d’un Délégué à la Protection des Données (DPO) et la création de politiques internes solides pour la protection des données dans toutes les unités de l’entreprise.

L’ANPD joue également un rôle de supervision des BCRs, pouvant exiger des audits et des demandes d’informations supplémentaires pour garantir que la protection des données personnelles est correctement mise en œuvre et surveillée dans toutes les opérations internationales de l’entreprise.

Garanties Contractuelles Supplémentaires et Mécanismes de Transfert

En plus des SCCs et BCRs, la Résolution n° 19 ainsi que le RGPD permettent l’utilisation d’autres garanties contractuelles ou mécanismes, tels que des codes de conduite ou des certifications, à condition que ces mécanismes offrent des protections équivalentes aux droits assurés par la législation. L’ANPD encourage l’adoption de pratiques documentées et auditables afin que les responsables du traitement et les sous-traitants puissent démontrer leur conformité à la LGPD lors des transferts internationaux de données.

Conclusion

La Résolution CD/ANPD n° 19/2024 constitue une étape importante pour la protection des données au Brésil dans le cadre des transferts internationaux. La réglementation cherche à équilibrer les meilleures pratiques mondiales, telles que celles mises en œuvre dans l’Union Européenne via le RGPD, tout en répondant aux spécificités du contexte brésilien.

L’équipe Data de GT Lawyers est à disposition pour suivre les évolutions de la Résolution CD/ANPD n° 19/2024 et assister les entreprises dans tous les aspects liés aux transferts internationaux de données.

Voir l’article 11 de la Résolution CD/ANPD n° 19/2024:  « L’évaluation du niveau de protection des données personnelles d’un pays étranger ou d’un organisme international prendra en considération : I – les normes générales et sectorielles en vigueur ayant un impact sur la protection des données personnelles dans le pays de destination ou l’organisme international ; II – la nature des données ; III – le respect des principes généraux de protection des données personnelles et des droits des titulaires prévus par la Loi n° 13.709 du 14 août 2018 ; IV – l’adoption de mesures de sécurité adéquates pour minimiser les impacts sur les libertés civiles et les droits fondamentaux des titulaires ; V – l’existence de garanties judiciaires et institutionnelles pour le respect des droits de protection des données personnelles ; et VI – d’autres circonstances spécifiques liées au transfert. ».

Voir l’article 16 de la Résolution CD/ANPD n° 19/2024: « La validité du transfert international de données, lorsqu’elle est fondée sur l’adoption des clauses standard, suppose l’adoption intégrale et sans modification du texte fourni en Annexe II, au moyen d’un instrument contractuel signé entre l’exportateur et l’importateur. ».