L'Autorité Nationale de Protection des Données (ANPD) du Brésil est entrée en mode d'application actif en 2024, infligeant ses premières amendes majeures en vertu de la Loi Générale sur la Protection des Données (LGPD) — Loi n° 13,709/2018. Avec 215 millions de Brésiliens couverts par le cadre et le Brésil abritant la plus grande économie numérique d'Amérique Latine (180 millions d'utilisateurs d'internet), la conformité à la LGPD est désormais une réalité d'application, et non une préoccupation future.
LGPD : Le GDPR du Brésil avec des dispositions spécifiques au Brésil
La LGPD a été modélisée sur le GDPR mais comprend des dispositions qui diffèrent considérablement en portée et en application :
Amendes maximales : 2 % du chiffre d'affaires annuel brésilien (pas du chiffre d'affaires mondial), jusqu'à 50 millions de R$ (≈ 9M€) par violation. Contrairement au plafond de 4 % du chiffre d'affaires mondial du GDPR, la base de chiffre d'affaires brésilien de la LGPD crée des pénalités maximales plus faibles pour les entreprises multinationales — mais une exposition relative plus élevée pour les entreprises uniquement brésiliennes.
Catégories de données sensibles : Les catégories de données sensibles de la LGPD reflètent de près l'Article 9 du GDPR mais ajoutent des dispositions spécifiques concernant l'origine raciale/ethnique, l'opinion politique, la croyance religieuse, les données de santé, les données génétiques, les données biométriques et — notamment — l'orientation sexuelle et la vie sexuelle. Les directives de l'ANPD de 2024 ont étendu les protections des données sensibles à l'exigence de consentement de l'Article 11 de la LGPD pour tout traitement de données sensibles.
Droits des personnes concernées : Semblable au GDPR — accès, correction, anonymisation, portabilité, suppression et information sur le partage de données. La LGPD du Brésil ajoute un droit spécifique de savoir si l'IA a été utilisée dans les décisions de traitement des données.
Début de l'application de l'ANPD : Premières sanctions formelles émises en 2024. Les télécommunications, les services financiers et les organisations de santé étaient les principales cibles d'application. L'ANPD a signalé que les entreprises multinationales opérant au Brésil seront un axe de focus en 2025.
Identifiants PII brésiliens : Le défi de la détection
Le système d'identification national du Brésil est plus complexe que dans la plupart des pays de l'UE — en partie parce que le Brésil est une république fédérale où les systèmes d'identification varient selon l'état d'émission pour certains documents.
CPF (Cadastro de Pessoas Físicas) : Numéro d'enregistrement fiscal individuel à 11 chiffres, format XXX.XXX.XXX-XX, avec deux chiffres de contrôle validés à l'aide d'une arithmétique modulaire spécifique. Le CPF est l'identifiant universel principal du Brésil — utilisé pour la banque, l'emploi, les impôts, les soins de santé et les services gouvernementaux. Tous les 215 millions de Brésiliens ont un CPF.
CNPJ (Cadastro Nacional da Pessoa Jurídica) : Numéro d'enregistrement d'entreprise à 14 chiffres, format XX.XXX.XXX/XXXX-XX, avec deux chiffres de contrôle. Apparaît aux côtés des données personnelles des représentants de l'entreprise dans les documents commerciaux.
RG (Registro Geral) : Document d'identité civil délivré par l'État. Critiquement : Le format RG varie selon l'état d'émission. Le format RG de São Paulo diffère de celui de Rio de Janeiro, qui diffère de celui de Minas Gerais, et ainsi de suite à travers 26 États + le District Fédéral. Un outil PII qui ne reconnaît qu'un format RG d'un seul État manque la majorité des numéros RG brésiliens dans les documents d'autres États.
CNH (Carteira Nacional de Habilitação) : Numéro de permis de conduire à 11 chiffres avec chiffre de contrôle.
Título de Eleitor : Numéro d'enregistrement des électeurs à 12 chiffres encodant des informations géographiques sur la zone d'enregistrement de l'électeur.
PIS/PASEP : Numéro de programme d'intégration sociale à 11 chiffres utilisé dans les dossiers d'emploi et les fiches de paie.
Numéro SUS (Cartão SUS) : Numéro à 15 chiffres attribué à chaque Brésilien pour le système de santé unifié — apparaît dans tous les documents de santé.
LGPD vs. GDPR : Différences clés pour les organisations brésiliennes-européennes
Les organisations opérant sous la LGPD et le GDPR font face à d'importantes différences :
Bases légales pour le traitement : La LGPD fournit 10 bases légales (comparé aux 6 du GDPR), y compris "intérêt légitime", "protection de la santé" et "protection du crédit" — cette dernière étant unique à la LGPD et reflétant la culture de crédit axée sur la fintech du Brésil.
Pas de mécanisme d'adéquation pour le Brésil : L'UE n'a pas accordé de décision d'adéquation au Brésil. Les transferts de données UE-Brésil nécessitent des Clauses Contractuelles Standard ou des règles d'entreprise contraignantes — le même mécanisme requis pour les transferts vers les États-Unis ou d'autres pays non adéquats.
Exigences de consentement brésiliennes : La LGPD exige que le consentement soit spécifique, informé, sans ambiguïté et librement donné — similaire au GDPR. Cependant, la LGPD permet que le consentement pour les données sensibles soit plus large que l'exigence de consentement explicite pour chaque but spécifique du GDPR, à condition que le but soit clairement communiqué.
Focus d'application de l'ANPD en 2025
Sur la base des priorités d'application publiées par l'ANPD et des résultats d'enquête de 2024 :
Données de santé : L'Article 11 de la LGPD exige un consentement explicite ou une base légale spécifique pour le traitement des données de santé. L'ANPD a constaté que plusieurs prestataires de soins de santé et applications de santé manquaient de base légale adéquate pour le traitement des numéros SUS et des dossiers médicaux.
Services financiers : Les numéros CPF dans les documents financiers — demandes de prêt, rapports de crédit, polices d'assurance — sont des cibles principales d'application. L'ANPD vérifie si les politiques de conservation des données des institutions financières sont conformes aux objectifs documentés.
Conformité des plateformes technologiques : Les plateformes technologiques internationales (réseaux sociaux, commerce électronique, services de streaming) opérant au Brésil sont le focus de l'ANPD en 2025, en particulier pour les pratiques de profilage et les transferts de données transfrontaliers.
Pour les organisations traitant des données personnelles brésiliennes : La détection CPF et CNPJ avec des chiffres de contrôle validés est la base technique. Ajouter la détection RG avec reconnaissance de format spécifique à l'État, CNH, Título de Eleitor et support de numéro SUS fournit une couverture complète conforme à la LGPD des PII brésiliens.
Sources :