ANPD Brésil : Application du LGPD en 2024
L'autorité brésilienne de protection des données, l'ANPD, a commencé à appliquer activement le LGPD en 2024. Elle a infligé ses premières amendes importantes en vertu de la loi LGPD — Loi n° 13 709/2018. Le Brésil compte 215 millions de personnes couvertes par ce texte. Il dispose également de 180 millions d'internautes — la plus grande économie numérique d'Amérique latine. La conformité au LGPD est désormais une réalité concrète.
LGPD : La loi brésilienne sur la vie privée
Le LGPD s'inspire du RGPD mais présente des différences importantes.
Amendes maximales : Jusqu'à 2 % du chiffre d'affaires annuel brésilien. Le plafond est de R$50 millions (≈9 M€) par infraction. Le RGPD utilise 4 % du chiffre d'affaires mondial. La base brésilienne du LGPD entraîne des sanctions maximales plus faibles pour les multinationales. Mais elle crée un risque relatif plus élevé pour les entreprises purement brésiliennes.
Catégories sensibles : La liste du LGPD est proche de l'article 9 du RGPD. Elle couvre la race, les opinions politiques, la religion, les données de santé, les données génétiques, la biométrie et l'orientation sexuelle. Les lignes directrices 2024 de l'ANPD ont étendu ces règles à l'article 11.
Droits des personnes : Accès, rectification, suppression et portabilité. Ainsi que le droit de connaître le partage de leurs données. Le LGPD ajoute un droit absent du RGPD : le droit de savoir si une décision a été prise par intelligence artificielle.
Début de l'application : L'ANPD a prononcé ses premières sanctions en 2024. Principales cibles : télécommunications, services financiers et prestataires de santé. Les multinationales opérant au Brésil sont la priorité de 2025.
Pour une vue d'ensemble, consultez notre guide sur la conformité mondiale en matière d'IPI.
Identifiants brésiliens d'IPI
Le système d'identification brésilien est complexe. C'est une république fédérale où certains documents varient selon l'État.
CPF : Un numéro fiscal à 11 chiffres (format : XXX.XXX.XXX-XX). Deux chiffres de contrôle avec arithmétique modulaire. Le CPF est le principal identifiant universel du Brésil pour les services bancaires, fiscaux, sanitaires et administratifs. Les 215 millions de Brésiliens en possèdent un.
CNPJ : Un numéro d'enregistrement d'entreprise à 14 chiffres (format : XX.XXX.XXX/XXXX-XX). Deux chiffres de contrôle. Il apparaît dans les documents commerciaux liés aux représentants de l'entreprise.
RG : Une carte d'identité civile délivrée par l'État. Le format varie selon l'État. Le RG de São Paulo diffère de celui de Rio de Janeiro — et ainsi de suite dans les 26 États et le District fédéral. Un outil ne connaissant qu'un seul format d'État manquera la plupart des numéros RG brésiliens.
CNH : Un numéro de permis de conduire à 11 chiffres avec un chiffre de contrôle.
Título de Eleitor : Un identifiant électoral à 12 chiffres. Il encode la zone d'inscription électorale.
PIS/PASEP : Un numéro de programme social à 11 chiffres. Il figure dans les documents de paie et d'emploi.
Numéro SUS : Un identifiant de santé à 15 chiffres. Chaque Brésilien en possède un. Il apparaît dans tous les documents de santé.
Notre guide mondial des identifiants d'IPI couvre le CPF aux côtés du SSN, de l'Aadhaar et d'autres identifiants nationaux.
LGPD vs. RGPD : Différences clés
Les deux cadres protègent les données personnelles, mais diffèrent sur des points importants.
Bases légales : Le LGPD compte 10 bases légales ; le RGPD en compte 6. Le LGPD inclut la « protection du crédit » — une base liée à la culture fintech brésilienne. Aucun équivalent n'existe dans le RGPD.
Pas de décision d'adéquation UE pour le Brésil : L'UE n'a pas accordé de décision d'adéquation au Brésil. Les transferts UE–Brésil nécessitent des clauses contractuelles types ou des règles d'entreprise contraignantes — comme pour les transferts vers les États-Unis.
Règles de consentement : Le consentement LGPD doit être spécifique, éclairé, libre et clair — similaire au RGPD. Pour les catégories sensibles, le LGPD autorise un consentement plus large que la norme par finalité du RGPD, à condition que la finalité soit indiquée.
Priorités d'application de l'ANPD en 2025
L'ANPD a publié ses priorités pour 2025 sur la base des résultats de 2024.
Données de santé
L'article 11 exige un consentement explicite — ou une base légale précise — pour traiter des données de santé. L'ANPD a constaté que de nombreuses applications de santé et prestataires manquaient de cette base pour les numéros SUS et les dossiers médicaux.
Services financiers
Les numéros CPF dans les dossiers de crédit, les rapports de solvabilité et les polices d'assurance sont les principales cibles. L'ANPD vérifie si les durées de conservation correspondent aux finalités déclarées.
Conformité des plateformes technologiques
Les plateformes de réseaux sociaux, de commerce électronique et de streaming au Brésil sont au cœur des contrôles 2025. L'ANPD examine les pratiques de profilage et les transferts transfrontaliers.
Ce qu'il faut faire maintenant
La base de la conformité brésilienne est la détection du CPF et du CNPJ avec validation des chiffres de contrôle. Ajoutez la détection du RG avec une logique de format par État. Incluez la prise en charge du CNH, du Título de Eleitor et du numéro SUS pour une couverture complète. Consultez notre guide d'anonymisation LGPD pour les étapes détaillées.