CNPD Portugal : Relier le GDPR et le LGPD du Brésil — Pourquoi les PII en langue portugaise nécessitent une détection duale

La Comissão Nacional de Proteção de Dados (CNPD) du Portugal occupe une position unique parmi les autorités de protection des données de l'UE : elle relie le GDPR de l'Union européenne et la Lei Geral de Proteção de Dados (LGPD) du Brésil — les deux principaux cadres de confidentialité régissant la sphère mondiale de la langue portugaise couvrant 215 millions de personnes.

La CNPD a émis 42 décisions d'application en 2024, y compris une amende de 2,5 millions d'euros contre un hôpital portugais pour une anonymisation inadéquate des données des patients — l'une des plus grandes amendes liées au GDPR dans le secteur de la santé en Europe du Sud.

La connexion GDPR-LGPD

GDPR de l'UE (Portugal) : Amende maximale de 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Appliqué par la CNPD.

LGPD du Brésil (Loi n° 13.709/2018) : Amende maximale de 2 % du chiffre d'affaires annuel brésilien, jusqu'à 50 millions de R$ par violation (≈ 9 millions d'euros). Appliqué par l'ANPD (Autoridade Nacional de Proteção de Dados), avec les premières actions d'application majeures en 2024.

Plus de 2 400 entreprises maintiennent des arrangements actifs de transfert de données entre l'UE et le Brésil. L'UE n'a actuellement pas de décision d'adéquation avec le Brésil, ce qui signifie que les transferts UE-Brésil nécessitent des Clauses Contractuelles Standards ou un autre mécanisme de l'Article 46.

La décision de l'hôpital : L'anonymisation comme norme technique

L'amende de 2,5 millions d'euros de la CNPD dans le secteur de la santé a établi des précédents critiques :

Politique ≠ conformité. L'hôpital avait des politiques documentées indiquant que les données de recherche des patients étaient "anonymisées". L'examen technique de la CNPD a révélé que le jeu de données "anonymisé" conservait des numéros NIF, des dates de naissance, des codes de diagnostic et des dates de traitement — permettant la ré-identification de patients spécifiques.

L'exemption de recherche nécessite des garanties techniques. L'hôpital a soutenu que les données de recherche clinique étaient couvertes par l'exemption de recherche de l'Article 89 du GDPR. La CNPD a constaté que l'exemption nécessite une véritable anonymisation ou des garanties appropriées — pas une exemption générale des mesures techniques.

Les amendes dans le secteur de la santé reflètent le statut de catégorie spéciale. L'amende de 2,5 millions d'euros reflétait le traitement de catégorie spéciale des données de santé selon l'Article 9 du GDPR, l'échelle des patients affectés (23 000 individus) et l'absence de mise en œuvre d'une validation de base de l'anonymisation.

PII portugais vs. brésilien : Pourquoi ils ne sont pas interchangeables

Le portugais est une langue. Mais les systèmes d'identification nationaux au Portugal et au Brésil sont complètement différents — créant un écart de conformité critique pour les organisations qui supposent qu'un "soutien en langue portugaise" est suffisant.

Identifiants de l'UE portugais :

• NIF : numéro d'identification fiscale à 9 chiffres. Principal identifiant des citoyens au Portugal. Chiffre de contrôle validé par un algorithme spécifique.
• NIS : numéro d'identification de sécurité sociale à 11 chiffres.
• Cartão de Cidadão : numéro de carte de citoyen à 8 chiffres avec suffixe lettre.
• Passeport : format standard de l'UE.

Identifiants PII brésiliens :

• CPF : registre des contribuables individuels à 11 chiffres, avec deux chiffres de contrôle validés par des algorithmes différents de ceux du NIF portugais.
• CNPJ : numéro d'enregistrement d'entreprise à 14 chiffres.
• RG : document d'identité délivré par l'État — le format varie selon l'État d'émission (São Paulo diffère de Rio de Janeiro, Minas Gerais, etc.).
• CNH : numéro de permis de conduire à 11 chiffres.
• Título de Eleitor : numéro d'enregistrement des électeurs à 12 chiffres.
• PIS/PASEP : numéro de programme d'intégration sociale à 11 chiffres dans les dossiers d'emploi.

Une organisation déployant un outil PII avec "soutien en langue portugaise" peut détecter correctement le NIF dans des documents portugais tout en manquant complètement le CPF dans des documents brésiliens — ou vice versa. Les identifiants nécessitent une logique de détection distincte malgré leur apparition dans des documents écrits dans la même langue.

Conformité au transfert UE-Brésil

Pour les organisations ayant des flux de données UE-Brésil, les directives de la CNPD de 2024 sur les exigences d'adéquation des transferts :

SCC avec TIA adéquate : Les Clauses Contractuelles Standards sont le principal mécanisme actuel, mais doivent être accompagnées d'Évaluations d'Impact de Transfert abordant si le cadre juridique du Brésil offre une protection équivalente. La CNPD a constaté que de nombreuses TIA existantes étaient inadéquates.

Traitement dans l'UE : Les organisations qui traitent des données de citoyens brésiliens au sein de l'infrastructure de l'UE — sans jamais transférer de données personnelles brutes au Brésil — peuvent satisfaire aux deux cadres simultanément. Le traitement basé dans l'UE signifie que le LGPD s'applique (données des citoyens brésiliens) et que le GDPR s'applique (traitement dans l'UE), mais aucun transfert transfrontalier n'a lieu.

Pour les organisations servant le marché de langue portugaise à la fois dans l'UE et au Brésil : la détection PII à double juridiction couvrant les identifiants portugais de l'UE (NIF, NIS) et les identifiants brésiliens (CPF, CNPJ, RG, CNH, Título de Eleitor, PIS/PASEP) n'est pas optionnelle — c'est la norme pour démontrer des mesures techniques adéquates selon les deux cadres.

Sources :

• CNPD : Commission portugaise de protection des données
• ANPD : Autorité brésilienne de protection des données