CNPD Portugal : Conformité PII au RGPD et au LGPD
L'autorité de protection de la vie privée au Portugal est la CNPD. Elle applique le RGPD de l'UE. Elle fait aussi le lien entre le droit européen et brésilien. Cela couvre 215 millions de lusophones.
En 2024, la CNPD a rendu 42 décisions d'application. L'une d'elles était une amende de 2,5 millions d'euros contre un hôpital portugais. Raison : anonymisation insuffisante des dossiers patients. C'est l'une des plus grandes amendes RGPD dans le secteur de la santé en Europe du Sud.
Le pont entre RGPD et LGPD
Deux lois sur la vie privée couvrent le monde lusophone.
Le RGPD de l'UE s'applique au Portugal. Amende maximale : 20 millions d'euros ou 4 % du chiffre d'affaires mondial. La CNPD l'applique.
Le LGPD brésilien — Loi n° 13 709/2018 — s'applique au Brésil. Amende maximale : 2 % du chiffre d'affaires brésilien, jusqu'à R$50 millions par violation (≈ 9 M€). L'ANPD brésilienne l'applique. Les premières grandes amendes sont arrivées en 2024.
Plus de 2 400 entreprises ont des flux de transfert actifs UE–Brésil. L'UE n'a pas de décision d'adéquation avec le Brésil. Les transferts UE–Brésil nécessitent des clauses contractuelles types ou un outil prévu à l'article 46.
Pour plus de détails, consultez notre guide d'anonymisation LGPD.
L'amende hospitalière : trois règles
L'amende de 2,5 millions d'euros a établi trois règles claires.
Les politiques ne suffisent pas. L'hôpital affirmait que ses dossiers de recherche étaient anonymisés. Les auditeurs de la CNPD ont trouvé des numéros NIF, des dates de naissance et des codes de diagnostic encore présents. Ces éléments pouvaient réidentifier des patients. Une politique écrite n'est pas une solution technique.
Les exemptions de recherche nécessitent une vraie anonymisation. L'hôpital invoquait l'article 89 du RGPD — l'exemption de recherche. La CNPD a dit non. L'exemption exige toujours de vraies mesures techniques.
Les amendes pour dossiers médicaux sont plus lourdes. L'article 9 du RGPD traite les dossiers médicaux comme une catégorie spéciale. L'amende en a tenu compte. 23 000 patients étaient concernés. L'hôpital n'avait aucun processus de validation.
PII portugaise vs. brésilienne
Le portugais est une seule langue. Mais le Portugal et le Brésil ont des systèmes d'identification différents. La « prise en charge de la langue portugaise » dans un outil PII ne suffit pas.
Identifiants du Portugal (UE) :
- NIF — numéro fiscal à 9 chiffres. Principal identifiant citoyen. Algorithme de chiffre de contrôle. VERIFIED
- NIS — numéro de sécurité sociale à 11 chiffres. VERIFIED
- Cartão de Cidadão — carte de citoyen à 8 chiffres avec suffixe alphabétique. VERIFIED
- Passeport — format standard UE. VERIFIED
Identifiants du Brésil (LGPD) :
- CPF — numéro fiscal à 11 chiffres. Deux chiffres de contrôle. Méthode différente du NIF. VERIFIED
- CNPJ — immatriculation d'entreprise à 14 chiffres. VERIFIED
- RG — pièce d'identité émise par l'État. Format variable selon l'État. São Paulo diffère de Rio de Janeiro. VERIFIED
- CNH — permis de conduire à 11 chiffres. VERIFIED
- Título de Eleitor — identifiant électoral à 12 chiffres. VERIFIED
- PIS/PASEP — numéro de programme social à 11 chiffres. Présent dans les fiches de paie. VERIFIED
Un outil qui détecte le NIF peut rater le CPF. L'inverse est vrai aussi. Chaque pays a besoin de sa propre logique de détection.
Consultez notre guide de détection PII multilingue pour en savoir plus sur les lacunes cross-langues.
Règles de transfert UE–Brésil
Les orientations 2024 de la CNPD ont couvert les transferts UE–Brésil.
Les CCT nécessitent des analyses d'impact valides. Les clauses contractuelles types sont l'outil principal. Mais chacune doit inclure une analyse d'impact montrant que le Brésil offre une protection équivalente. La CNPD a constaté que beaucoup d'analyses ne passaient pas ce test.
Le traitement en UE supprime le risque de transfert. Certaines entreprises conservent tous leurs dossiers dans des systèmes UE. Aucune information personnelle brute ne va au Brésil. Cela fonctionne pour les deux lois. Le RGPD couvre le traitement. Le LGPD couvre les dossiers des citoyens brésiliens. Mais aucun transfert transfrontalier n'a lieu.
Pour les organisations des deux marchés : la double détection est le minimum. NIF et NIS pour le Portugal. CPF, CNPJ, RG, CNH, Título de Eleitor et PIS/PASEP pour le Brésil. Les deux lois l'exigent pour démontrer des contrôles techniques adéquats.