Compte tenu du panorama actuelle des lois brésiliennes et européennes en matière de confidentialité et face aux risques croissants de fuite de données et d’attaques intrusives telles que le ransomware, les entreprises doivent prendre des mesures adéquates pour protéger leurs actifs et respecter les exigences de réglementation sur la confidentialité, afin de réduire les risques, les coûts potentiels, les litiges, les dommages à la réputation et les sanctions légales, parmi d’autres conséquences possibles.
En 2018, le gouvernement brésilien a adopté la Loi n° 13.709, couramment appelée Loi Générale de Protection des Données (« LGPD »). Cette législation, inspirée par le Règlement Général sur la Protection des Données (« RGPD ») de l’Union Européenne, adopté en 2016, impose des obligations et des devoirs aux entreprises brésiliennes et aux entités étrangères exerçant des activités au Brésil.
Bien que ces législations présentent de nombreuses similitudes, il existe des différences dans les sanctions auxquelles une entreprise peut être exposée au Brésil et en Europe.
Dans les deux juridictions, les autorités administratives ont le pouvoir d’imposer des avertissements, des amendes, des mesures correctives, des inspections et des sanctions. Cependant, par exemple, le RGPD[1]prévoit des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’exercice précédent (le montant le plus élevé étant retenu) par infraction, selon la gravité de la violation. En vertu de la LGPD, les amendes peuvent atteindre jusqu’à 2 % des revenus de l’entreprise, du groupe ou du conglomérat de l’année précédant l’enquête, hors taxes, avec un maximum de 50 millions de R$ par infraction.
De plus, la LGPD prévoit deux types d’amendes pécuniaires – une amende simple et une amende journalière[2] – applicables uniquement aux entités privées. En revanche, le RGPD établit une seule catégorie d’amendes administratives applicables tant aux organisations privées qu’aux entités gouvernementales.
Pour mieux distinguer les différences, nous avons comparé ci-dessous les principales sanctions administratives imposées par le RGPD et la LGPD :
En outre, les individus victimes d’usurpation d’identité ou d’accès non autorisé à leurs comptes suite à une fuite de données, par exemple, peuvent, dans les deux juridictions, demander la responsabilité civile des entreprises devant les tribunaux pour réclamer des indemnités.
En résumé, tant la LGPD au Brésil que le RGPD en Europe prévoient une série de sanctions et de pénalités pour garantir la conformité avec les lois de protection des données et protéger les droits des individus en matière de confidentialité et de protection des données.
Des pays européens, comme la France, l’Allemagne, le Royaume-Uni, l’Italie et l’Irlande, sont réputés pour leur application rigoureuse des lois de protection des données. L’autorité française (CNIL), par exemple, est connue pour imposer des sanctions sévères et significatives, avec des cas notables comme les lourdes amendes infligées à Google et Amazon pour violations du consentement et de l’utilisation des cookies[4]. Au Brésil, malgré la création plus récente de l’ANPD, un engagement rigoureux dans l’application de la LGPD est également observé.
Enfin, il est important de noter l’obligation de double conformité, à la fois avec la LGPD et le RGPD, pour une entreprise établie en France, par exemple, et ayant des filiales au Brésil.Aborder les spécificités de la LGPD nécessite donc une approche de conformité adaptée, au-delà d’une simple duplication du RGPD. S’associer à l’équipe DataTeam de GT Lawyers est un atout contre les coûts de compensation et les sanctions potentiellement mentionnés, tant au niveau administratif qu’en cas de contentieux.
[1] Contrairement à la LGPD, le RGPD prévoit deux niveaux d’amendes : (i) des amendes administratives pour les infractions moins graves, pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu), et (ii) des amendes pour infractions plus graves, pouvant s’élever à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu). La détermination du type et du montant de l’amende prend en compte des facteurs tels que la nature, la gravité et la durée de la violation, le degré de coopération avec les autorités de contrôle, l’impact sur les droits des personnes concernées, ainsi que les mesures prises pour atténuer la violation.
[2] L’« amende simple » est une pénalité unique appliquée pour une violation spécifique de la LGPD, tandis que l’ « amende journalière » est une sanction imposée de manière continue jusqu’à ce que l’entreprise se conforme à la décision de l’autorité. Bien que le RGPD ne mentionne pas explicitement une « amende journalière », il autorise les autorités à appliquer des sanctions répétées en cas de non-conformité persistante, jouant ainsi, en pratique, un rôle similaire à celui d’une « amende journalière ».
[3] La publicité de la violation, une fois dûment investiguée et confirmée par l’autorité, n’est pas une sanction applicable en vertu du RGPD, comme le prévoit la LGPD. Par exemple, l’Autorité Brésilienne (ANPD) peut exiger que la décision soit publiée sur le site internet de l’entreprise en infraction, dans des journaux à large diffusion ou par d’autres moyens pertinents, en fonction de la portée nécessaire pour assurer une publicité adéquate de la condamnation. Cependant, tant la LGPD que le RGPD soulignent l’importance de la transparence et de la sensibilisation du public en matière de protection des droits à la vie privée et des données personnelles. Dans ce sens, ces lois exigent que les individus soient informés en cas de certaines violations de données.
[4] Disponible sur : https://www.cnil.fr/en/cookies-council-state-confirms-2020-sanction-imposed-cnil-against-amazon et https://privacyinternational.org/news-analysis/4347/cnil-fines-google-and-amazon-unlawful-use-cookies.
