Loading…
Si vous êtes déjà conforme au GDPR, vous avez parcouru 80 % du chemin vers la LGPD. Les deux partagent dix principes directeurs, des droits similaires pour les personnes concernées et un régime de notification des violations d'environ 72 heures. La divergence réside dans le calcul des sanctions (la LGPD plafonne les amendes à 2 % du chiffre d'affaires au Brésil ou à 50 M R$ par infraction), l'exemption pour les petits responsables du traitement définie par la résolution CD/ANPD n° 2/2022, et l'absence de droit à la portabilité ou d'opposition aux décisions automatisées. Ce guide vous indique précisément où vous pouvez réutiliser le travail GDPR et où vous avez besoin d'un écart.
| Dimension | 🇪🇺 GDPR | 🇧🇷 LGPD |
|---|---|---|
| Instrument juridique | Règlement (UE) 2016/679 | Lei nº 13.709/2018 |
| Date d'entrée en vigueur | 25 mai 2018 | Dispositions de fond : août 2020 ; sanctions administratives : août 2021 |
| Portée territoriale | UE + extraterritorial (art. 3) | Traitement au Brésil, ou visant des individus au Brésil, ou lorsque les données ont été collectées au Brésil (art. 3) |
| Bases légales | Six (art. 6) + conditions de catégorie particulière (art. 9) | Dix (art. 7) — y compris intérêts légitimes, contrat, obligation légale, santé publique, protection du crédit |
| Principes | Six (art. 5) | Dix (art. 6) — finalité, adéquation, nécessité, libre accès, qualité des données, transparence, sécurité, prévention, non-discrimination, responsabilité |
| Délégué à la protection des données | Obligatoire dans certains cas définis (art. 37) | Obligatoire pour tous les responsables du traitement ; exemption pour les petits responsables via la résolution CD/ANPD n° 2/2022 |
| Amende maximale | 20 M€ ou 4 % du chiffre d'affaires mondial (art. 83(5)) | Jusqu'à 2 % du chiffre d'affaires au Brésil de l'exercice fiscal précédent, plafonné à 50 M R$ par infraction |
| Amendes journalières | Pas une structure standard | Autorisées au titre de l'art. 52(III) — jusqu'à 50 M R$ par infraction et par jour |
| Autres sanctions | Avertissement, interdiction de traitement (art. 58) | Avis public d'infraction, blocage des données, suppression des données, suspension partielle/totale (art. 52) |
| Notification des violations | 72 heures à l'autorité de contrôle (art. 33) | 3 jours ouvrés à l'ANPD selon la résolution CD/ANPD n° 15/2024 en cas de risque/préjudice raisonnable |
| Régulateur | 27 autorités de contrôle des États membres de l'UE + EDPB | Autoridade Nacional de Proteção de Dados (ANPD) |
| DPO/Encarregado | Délégué à la protection des données | Encarregado de Proteção de Dados |
| Représentant local | Représentant UE de l'article 27 obligatoire | Non formellement requis, mais l'ANPD attend un point de contact au Brésil |
| Droit à la portabilité | Oui (art. 20) | Oui (art. 18, V) |
| Droit d'opposition aux décisions automatisées | Oui (art. 22) | Droit de révision par une personne physique (art. 20) |
| Droit à l'information sur le partage | Implicite (art. 13 à 15) | Explicite (art. 18, VII) — liste des entités publiques/privées avec lesquelles les données personnelles ont été partagées |
| Transfert transfrontalier | SCCs/BCR/adéquation (chapitre V) | Mécanismes approuvés par l'ANPD — résolution CD/ANPD n° 19/2024 |
| Données des enfants | Âge de consentement par défaut de 16 ans (variation selon les États membres) | Consentement spécifique du parent/tuteur légal pour les moins de 12 ans (art. 14) |
| Anonymisation | Hors champ d'application si irréversible (considérant 26) | Hors champ d'application (art. 12) — mais norme d'irréversibilité plus stricte que celle du GDPR |
| Début des sanctions | Mai 2018 | Août 2021 (les premiers avertissements de l'ANPD et de petites amendes ont commencé) |
Proche — même finalité, structure similaire, une grande partie du même vocabulaire — mais avec 10 bases légales au lieu de 6, 10 principes au lieu de 6, et un calcul des sanctions différent. Le style d'application de l'ANPD est par ailleurs encore en cours de développement.
En grande partie. L'écart est le suivant : désigner un Encarregado de Proteção de Dados, déposer l'artefact de notification à l'ANPD pour les violations significatives dans les 3 jours ouvrés, veiller à ce que votre politique de confidentialité reflète les 10 principes de la LGPD, et utiliser les mécanismes approuvés par l'ANPD (rés. 19/2024) pour les transferts transfrontaliers.
L'amende administrative maximale est de 2 % du chiffre d'affaires au Brésil par infraction, plafonnée à 50 M R$ (~10 M$ USD). Les amendes journalières peuvent s'accumuler rapidement. L'ANPD dispose également de pouvoirs d'injonction (blocage des données, ordre de suppression) qui peuvent être plus perturbateurs que la sanction pécuniaire.
Oui — l'article 3(II) vise « l'activité de traitement qui a pour objectif d'offrir ou de fournir des biens ou des services » à des personnes situées au Brésil, quel que soit le lieu de votre établissement.
L'application monte en puissance depuis 2023. L'ANPD a publié plusieurs Résolutions clarifiant la notification des violations, les bacs à sable réglementaires et les exemptions pour les petits responsables de traitement. Le niveau des sanctions reste modeste par rapport au RGPD, mais la trajectoire tend clairement vers une application plus active.
Ce n'est pas strictement exigé par la LGPD, mais c'est opérationnel. L'Encarregado doit répondre à l'ANPD et aux personnes concernées de manière effective ; un point de contact local ou un service de représentation (comme RegulatoryBridge Brazil) couvre ce besoin.
Cartographiez les contrôles une fois, conformez-vous deux fois. RegulatoryBridge vous offre un pipeline DSAR unique, un DPO unique, un guide d'intervention en cas de violation unique — couvrant les deux cadres réglementaires.