🧠 Le blog est dédié au sujet du VPN et de la sécurité, de la confidentialité des données sur Internet. Nous parlons des tendances actuelles et des nouvelles liées à la protection.

Le LGPD du Brésil sera-t-il meilleur que le GDPR ? Peut-être pas

14

Le RGPD européen (Règlement général sur la protection des données) a sensibilisé le public à l’importance de la législation sur la protection de la vie privée dans le monde entier. Incité par les préoccupations croissantes en matière de confidentialité avec les Big Tech (Facebook, Google, Apple, etc.) empiétant sans vergogne sur la vie privée des utilisateurs, la rédaction du RGPD a rapidement inspiré d’autres pays à suivre avec leurs propres lois sur la protection des données. Les États-Unis sont venus avec le CCPA, l’Australie avec un amendement sur la confidentialité, le Japon avec un amendement sur la loi sur la protection des informations personnelles, ainsi que la Thaïlande, la Corée du Sud, le Canada et d’autres.

La plus récente de ces lois inspirées du RGPD est la loi brésilienne générale sur la protection des données, Lei Geral de Proteção de Dados Pessoais (LGPD). Prévu pour être introduit en août 2020, le LGPD devrait rationaliser et unifier la nature fragmentée des lois sur la protection de la vie privée au Brésil, avec quelque 40 statuts juridiques de ce type qui régissent la protection des données dans le pays d’une manière sectorielle.

Cet article décrit brièvement les principaux points de la loi, ses différences avec le RGPD et les questions relatives à l’application et au gouvernement de la LGPD. Une grande partie de ce qui suit a été co-écrit par M. Leandro Chahde, un avocat brésilien à Advogado Zona Norte qui connaît directement le LGPD.

À qui s’applique la LGPD ?

Comme GDPR, le LGPD s’applique à toute personne située au Brésil, quelle que soit sa nationalité. Cela signifie que toute entreprise ou site Web dans le monde qui traite les données d’un individu vivant au Brésil doit se conformer à la LGPD. La nature extraterritoriale de la loi la rend tout aussi importante que le RGPD, puisque toutes les entreprises, nationales ou multinationales, grandes ou petites, sont tenues aux mêmes normes et sanctions. sous LGPD.

Droits des consommateurs en vertu de la LGPD

La LGPD se compose de 10 chapitres avec un total de 65 articles. Ces articles définissent les droits et dispositions couverts par la LGPD. Bien qu’un traitement complet de la loi ne soit pas possible ici, voici les principaux droits des personnes sous LGPD :

Consentement explicite : la personne concernée doit être clairement informée de la raison de la collecte des données personnelles et de la finalité de l’utilisation.

Correction: le titulaire peut demander des modifications de ses données (corrections, mises à jour et suppressions).

Droit à l’oubli : quelle que soit la raison, le titulaire peut demander la suppression de ses données dans un certain système.

Portabilité : le titulaire doit pouvoir exporter ses données personnelles d’un système à un autre.

Droit à l’explication :  le titulaire peut demander des informations sur tous les algorithmes qui interagissent avec ses données pour comprendre, par exemple, pourquoi un prêt bancaire a été refusé.

En quoi diffère-t-il du RGPD ?

Le RGPD et la LGPD partagent de nombreux points de similitude, mais ils diffèrent également de plusieurs manières importantes :

  • Traitement des données sensibles : la législation européenne interdit le traitement des données sensibles, établissant certaines exceptions à l’interdiction. Deux d’entre eux n’étaient pas inclus dans la loi brésilienne: (i) Données rendues publiques par le titulaire ; (ii) Données relatives aux membres actuels ou anciens de fondations, associations ou organisations à but non lucratif, traitées à des fins légitimes et avec des mesures de sécurité appropriées.
  • Marketing direct : la loi brésilienne applique les règles générales de consentement, de transparence et de droit d’opposition aux titulaires de données personnelles. L’Européen, en revanche, présente des prévisions précises. La personne concernée a le droit de s’opposer à tout moment au traitement de ses données personnelles, qui comprend la définition de profils dans la mesure où il est lié au marketing direct.
  • Relation entre le responsable du traitement et l’opérateur : bien que la loi brésilienne établisse que l’opérateur doit effectuer le traitement des données conformément aux instructions du responsable du traitement, il n’y a aucune exigence de formalisation par un contrat. À son tour, le droit européen prévoit que le traitement des données effectué par un opérateur doit être régi par un contrat ou un autre acte juridique qui lie le responsable du traitement à l’opérateur.
  • Rapport d’impact :  la loi brésilienne n’a pas précisé dans quelles situations le responsable du traitement sera tenu d’effectuer un rapport d’impact sur la protection des données personnelles, déléguant à une réglementation ultérieure le traitement de cette question. Le droit européen prévoit que le responsable du traitement doit fournir un rapport d’impact sur la protection des données à caractère personnel, lorsque le traitement entraîne un risque élevé pour le droit et la liberté des personnes. Le RGPD fournit également une description détaillée de ce qui devrait être couvert dans ce rapport.
  • Transfert international de données : la loi brésilienne autorise le transfert de données personnelles vers des pays ou des organismes internationaux qui assurent une protection adéquate des données personnelles. La loi est brève sur cette procédure et les éléments à considérer comme adéquats. La LGPD n’établit que des lignes directrices génériques à observer par les autorités nationales. La réglementation européenne soutient que le transfert international de données peut être effectué indépendamment d’une autorisation spécifique si la Commission européenne reconnaît que le pays tiers assure un niveau de protection adéquat. Dans le cas contraire, le transfert international sera soumis à des garanties adéquates, qui doivent être garanties par l’Agent. Toutes les procédures et tous les éléments pris en compte par la Commission pour l’autorisation du transfert sont décrits dans le RGPD.
  • Contrôle des forces de l’ordre :  Le projet de loi à l’origine de la LGPD prévoyait la création de l’Autorité nationale de protection des données, dans la lignée du règlement européen. Cependant, les dispositions qui prévoyaient sa création et ses responsabilités ont fait l’objet d’un veto, car elles encourent l’inconstitutionnalité dans le processus législatif. La réglementation européenne prévoit la création du Comité européen de la protection des données, chargé de veiller à l’application cohérente du RGPD.

Lorsque le RGPD est entré en vigueur, les fournisseurs de VPN ont dû réorganiser leurs politiques de confidentialité pour tenir compte des dispositions de la nouvelle législation. Il sera intéressant de voir si le LGPD sera traité avec le même respect par l’industrie VPN.

Quelle sera son efficacité ?

L’autorité responsable de la réglementation et de l’application de la LGPD est l’ Autorité nationale de protection des données (ANPD). Cependant, aucun membre de l’organisme n’a encore été nommé. De plus, le fait que l’ANPD sera étroitement lié au gouvernement soulève de sérieuses inquiétudes quant à l’application équitable de la loi.

Au Brésil, les principaux organismes de réglementation appartiennent à l’État. La conséquence en est la politisation de ces instances et, par conséquent, la corruption. Le favoritisme envers les entreprises puissantes et l’ingérence injuste du gouvernement qui sert leurs intérêts politiques n’est donc pas exclu.

Le fait que le GDPR lui-même ait largement échoué à tenir les entreprises responsables, deux ans après son adoption, est extrêmement décourageant. La société de navigateur Web Brave a déposé une plainte auprès de la Commission européenne, affirmant que les gouvernements européens n’avaient pas fourni les ressources nécessaires aux autorités de protection des données pour s’acquitter de leurs fonctions.

Ainsi, les craintes que LGPD subisse le même sort que GDPR sont tout à fait fondées. En même temps, cependant, nous avons des exemples positifs d’agences d’État qui travaillent de manière exquise au Brésil, comme PROCON, qui agit pour la défense des droits des consommateurs.

Le Brésil est un pays connu pour avoir des lois qui fonctionnent et d’autres qui ne fonctionnent pas. Sur la base d’expériences antérieures, la croyance que la loi remplira partiellement son rôle n’est pas trop exagérée. Le gouvernement aura intérêt à obtenir des fonds par le biais d’amendes qui seront appliquées aux entreprises qui ne respectent pas les paramètres établis par la loi générale sur la protection des données.

Enfin, il y aura certainement une grande judiciarisation de la question, par les entreprises qui s’estiment injustes en raison d’amendes illégales ou abusives. Reste à savoir si la justice brésilienne sera techniquement en mesure de résoudre de tels conflits.

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'acceptePlus de détails