La nouvelle loi générale brésilienne sur la protection des données – LGPD – dans ce texte appelé «loi» pour faciliter la lecture – est déjà partiellement en vigueur. Il provient du règlement général européen sur la protection des données – GDPR – en vigueur depuis 2018 dans l’Union européenne, dans lequel il présente de nombreuses similitudes. Notre propos ici est de chercher à répondre très brièvement aux questions les plus objectives sur la loi afin de fournir au lecteur une introduction au sujet.
Cette loi a pour objectif d’accroître la sécurité des données des individus et leur protection, qui sont en possession d’entités et de professionnels, afin de protéger les droits fondamentaux de la liberté et de la vie privée et de permettre le libre développement de sa personnalité. Concrètement, la loi vise à protéger les données des personnes contre les violations, les collectes ou les échanges non autorisés et l’utilisation abusive de ces données, dans un environnement numérique de plus en plus désireux de traiter les informations pour les raisons les plus diverses, souvent indépendantes du contrôle des personnes.
Il est important de préciser que les personnes physiques, si elles utilisent des données à des fins professionnelles ou commerciales (avocats, comptables, médecins, dentistes, psychologues, thérapeutes corporels, représentants commerciaux, enseignants privés, entre autres), ainsi que toutes les personnes morales et collectives (telles que les sociétés à responsabilité limitée et leurs filiales, les magasins, les usines et également les sociétés, les représentations commerciales, les cliniques, les hôpitaux, les églises, les partis politiques, les universités, les écoles, les associations, etc.) doivent se conformer à la loi. Il y a très peu d’exceptions qui s’appliquent.
La réponse sur la manière de s’adapter à la loi signifie avant tout comprendre quelles données sont actuellement traitées et comment elles doivent être traitées en vertu de la loi. Le critère qui détermine l’adéquation au système de traitement actuel est la nature des données analysées, qui sont directement liées à l’activité professionnelle. En effet, la LGPD établit clairement deux ensembles de données à traiter différemment: la norme la plus courante – «données personnelles» et, qu’elle contient et en tant que sous-ensemble, soumise à des règles de traitement encore plus strictes, la norme des données personnelles «sensibles».
Les données «personnelles» selon la loi sont celles relatives aux personnes physiques identifiées ou identifiables. Autrement dit, tout ce que l’on sait d’une personne que nous permettra potentiellement de l’individualiser. Ainsi, le numéro de registre des contribuables brésilien (CPF), les adresses personnelles et professionnelles, le nom complet, le numéro de téléphone, mais aussi les informations permettant une identification plus approfondie, comme l’appartenance à un club ou à une confrérie, sont des données personnelles.
Les données personnelles «sensibles» selon la loi font référence aux données sur l’origine raciale ou ethnique de l’individu, ses convictions religieuses, ses opinions politiques, son appartenance à un syndicat ou à une organisation de nature religieuse, philosophique ou politique, des données relatives à sa santé ou sa vie sexuelle, ou génétique ou des données biométriques, lorsqu’elles sont liées à une personne physique. On en déduit évidemment que les informations issues des dossiers médicaux et dentaires sont à considérer comme «sensibles», mais aussi les photos, images, voix, iris et empreintes digitales, par exemple.
Une fois la typologie clarifiée, l’avocat pourra conseiller le client en consultation sur la mesure et la nécessité de modifier les processus afin de respecter le devoir de protection des données personnelles et le devoir de protection des données personnelles sensibles. Il y aura des cas dans lesquels il suffira d’établir des protocoles simples de protection, d’autres qui nécessiteront de nouvelles règles internes, de nouvelles procédures et de nouveaux contrats avec des tiers. Le client définira l’investissement à assumer pour le traitement et la protection recommandés. La mesure soumise à mise en œuvre doit être directement liée à l’objectif de la loi, c’est-à-dire assurer la sécurité et la confidentialité des données qu’elle protège.
Il y a toujours une perception que la loi n’est pas exactement en vigueur. En effet, dans la loi, l’autorité de contrôle à créer (Agence nationale de protection des données – ANPD) n’aurait été nommée et installée que récemment pour remplir ses fonctions, et aussi parce que la loi prévoit l’application des réprimandes légales et des amendes administratives prévues ( pouvant atteindre 50 millions de reais) à partir d’août 2021 seulement. Néanmoins, cette interprétation est dangereuse et expose les personnes et les entreprises à des risques juridiques inutiles.
La loi s’applique immédiatement au traitement et à l’échange de données dans le secteur privé et aux relations commerciales et professionnelles entre les personnes et les personnes morales situées au Brésil et à l’étranger, et établit les principes, les devoirs et les règles pour le traitement des données auxquelles elle se réfère, tous actuellement en vigueur. Et puisque chaque devoir correspond à une responsabilité, dans tous les cas la violation du devoir de protection requis par la loi, une fois la cause et le dommage avérés, obligera l’indemnisation du lésé.
Il appartiendra au juge, dans le cas concret, de décider de l’attribution de la responsabilité de la violation malgré la preuve de la culpabilité de l’entreprise, lorsqu’il ne demande à la personne lésée que la preuve du dommage elle-même, ou si la personne lésée devra fournir la preuve de la violation comme cause probable du dommage. Dans ce dernier cas, la personne lésée devra démontrer que la violation résulte d’un acte ou d’une omission involontaire (mais prévisible et évitable), ou d’une négligence dans le traitement ou d’un manque de technique correcte appliquée au cas qui, en raison du non-respect de l’obligation légale, est à son tour avérée être la cause du dommage.
Dans la pratique, nous prévoyons une tendance pour un plus grand nombre de décisions à exiger que la personne lésée n’ait à prouver que le dommage subi et à l’exempter d’avoir à prouver la culpabilité de l’entité à l’origine du dommage. En fait, il existe de nombreuses situations dans lesquelles il est relativement facile de démontrer par des documents la divulgation ou la fuite de données précédemment protégées, sans nécessairement recourir à des procédures plus complexes avec des experts, des témoins et des preuves. Il est à noter que la responsabilité découlant de cette violation, dans tous les cas, sera attribuée à l’entité juridique qui contrôle les données, malgré les engagements d’externalisation.
La loi permet également au juge et à l’autorité de contrôle d’atténuer les sanctions en cas de violation par des entités qui prouvent l’équité, la conformité et la bonne foi dans leurs opérations, c’est-à-dire si, malgré la violation, l’entité est en mesure de démontrer qu’elle a utilisé le meilleures pratiques et systèmes dans la direction opposée. Une mise en œuvre rapide est donc également un argument efficace pour atténuer les risques financiers.
Nous comprenons que le potentiel de futures sanctions administratives par l’autorité de contrôle, applicables à partir d’août 2021, n’est pas le cadre absolu et pertinent pour imposer le respect de la loi. Nous recommandons aux entités soumises à la loi de revoir – avec leurs avocats de confiance – la manière dont elles traitent et protègent les données des tiers sous leur garde, afin de réduire voire d’éliminer le risque de violation éventuelle d’une obligation légale déjà en vigueur.