La Loi Générale de Protection des Données Personnelles brésilienne (Loi nº 13.709/2018, ou « LGPD ») a été adoptée en 2018 et est entrée en vigueur en septembre 2020. C’est donc un texte récent.
Jusqu’à présent, le travail de l’Agence Nationale de Protection des Données personnelles - ANPD était uniquement préventif : diffusion d’informations, avertissements, demandes de régularisation, plans de mise en conformité, etc.
Avec la publication, le 27 février dernier, du règlement sur la dosimétrie et l’application de sanctions administratives (Résolution CD/ANPD nº 4/2023, le « règlement »), l’ANPD commence son activité répressive, avec effet immédiat.
La LGPD a une portée extraterritoriale, tout comme le règlement européen de protection des données (RGPD). Elle s’applique à toute opération de traitement de données personnelles effectuée au Brésil, ou ayant pour objet l’offre ou la fourniture de biens ou de services au Brésil, ou portant sur des données collectées au Brésil, indépendamment du pays du siège du siège du responsable du traitement ou du sous-traitant (LGPD, article 3).
Ce texte concerne donc non seulement les entreprises brésiliennes, mais aussi toutes les entreprises étrangères qui ont des activités au Brésil.
Proportionnalité et Transparence.
Le règlement cherche à garantir la proportionnalité entre la gravité de l’infraction et la sévérité de la sanction, ainsi que la sécurité juridique et la transparence de la procédure administrative. Plus techniquement :
il réglemente les articles 52 et 53 de la LGPD pour définir les critères et les paramètres d’application des sanctions administratives par l’ANPD, ainsi que la méthodologie de calcul du montant des amendes ; et
il modifie la Résolution CD/ANPD n° 1/2021 pour adapter la procédure d’enquête et de sanction administrative dans le respect de la légalité et du contradictoire.
Les sanctions administratives sont l’arme du régulateur la plus redoutée par les responsables de traitements de données personnelles. La publication du règlement (également appelé « règle de dosimétrie ») était donc très attendue par le marché.
Le règlement définit de manière détaillée les conditions et les méthodes d’application des sanctions en fonction des risques et dommages causés à la personne concernée.
Systématisation des infractions et des sanctions.
Le règlement classe les infractions entre légères, moyennes et graves, en fonction de leur gravité, de leur nature, et des droits personnels affectés.
L’infraction moyenne est celle qui a le potentiel d’affecter de manière significative les intérêts et les droits fondamentaux des personnes concernées. Pour que l’infraction soit qualifiée comme grave, elle doit également concerner une opération de traitement effectuée sans base légale, ou de grande échelle, ou de données sensibles ou d’enfants, d’adolescents ou de personnes âgées ; offrir un avantage économique à son auteur ; constituer un risque pour la vie des personnes concernées ; avoir des effets discriminatoires ; ou encore s’intégrer à des pratiques irrégulières systématiques.
L’éventail des sanctions administratives est ample et ne présente pas d’originalité particulière : avertissement ; amende, pouvant aller jusqu’à 2% du chiffre d’affaires de l’entreprise, dans la limite de 50 millions de reals par infraction ; amende journalière plafonnée à 50 millions de reals ; publicité de l’infraction ; blocage ou suppression des données personnelles ; suspension partielle du fonctionnement de la base de données ou de l’activité de traitement des données pour une durée maximale de six mois renouvelable ; et interdiction partielle ou totale d’exercer toute activité liée au traitement de données personnelles.
Ces sanctions sont cumulatives et doivent être appliquées de manière progressive, au terme d’une procédure administrative garantissant les droits de la défense.
Au-delà de l’impératif de proportionnalité, la décision de sanction de l’ANPD doit prendre en compte un certain nombre de critères : gravité et nature de l’infraction et des dommages causés ; bonne foi et coopération de l’auteur de l’infraction ; situation économique de l’auteur de l’infraction ; avantage obtenu ou recherché ; récidive ; existence de mécanismes, règles et procédures internes de nature à minimiser les dommages ; adoption rapide de mesures correctives.
Une méthode objective de calcul des amendes.
Le règlement comporte une Annexe I décrivant de manière détaillée la méthodologie de calcul du montant des amendes.
La formule est la suivante :
Montant de l’amende = Montant de Base * (1 + [% d’augmentation lié aux circonstances aggravantes] - [% de réduction lié aux circonstances atténuantes]).
L’application de la formule suit quatre étapes successives :
Détermination du taux de base pour la dosimétrie, en fonction de la classification de l’infraction et de la gravité du dommage sur une échelle de 1 à 3.
Détermination du montant de base de l’amende, en multipliant le taux de base par le chiffre d’affaires brut hors taxes de l’auteur de l’infraction. En l’absence de chiffre d’affaires, sont utilisés des montants absolus qui oscillent entre 1.500,00 BRL et 15.750,00 BRL en fonction de la situation.
Détermination du montant de l’amende, en appliquant au montant de base les pourcentages d’augmentation et de réduction liés aux éventuelles circonstances aggravantes et atténuantes.
Ajustement final du montant de l’amende aux limites minimales et maximales légales. Par exemple, si l’avantage obtenu peut être chiffré, le montant final de l’amende doit être au moins le double de cet avantage.
Les circonstances aggravantes sont limitativement énumérées par le règlement, qui leur attribue des pourcentages fixes d’augmentation du montant de l’amende : récidive spécifique (+10% pour chaque cas, dans la limite de 40%) ou générale (+5% pour chaque cas, dans la limite de 20%), et non-respect d’une mesure préventive (+20% pour chaque mesure, dans la limite de 80%) ou corrective (+30% pour chaque mesure, dans la limite de 90%).
Il en est de même pour les circonstances atténuantes : cessation de l’infraction (entre -30% et -75%, en fonction du moment auquel elle intervient) ; existence de bonnes pratiques, d’une politique de gouvernance, ou adoption de mécanismes et de procédures internes pertinentes (-20%) ; mise en œuvre de mesures capables d’atténuer les effets de l’infraction (-10% ou -20%, en fonction du moment auquel elle intervient) ; coopération ou bonne foi (-5%).
Prévisibilité et sécurité juridique.
L’application de sanctions administratives est rarement une bonne nouvelle pour les acteurs économiques. C’était cependant une mesure attendue et le résultat, en l’occurrence, peut être accueilli positivement.
La précision de la méthodologie et des critères de détermination des amendes administratives est source de prévisibilité pour les entreprises, qui peuvent avoir une idée précise du risque qu’elles encourent dans une situation déterminée. Ceci est un élément extrêmement positif au Brésil, où les autorités sectorielles disposent de vastes compétence et ont un pouvoir de sanction parfois à la limite du discrétionnaire.
Cette méthodologie ne retire pas au régulateur tout pouvoir d’appréciation. L’ANPD peut appliquer une sanction différente ou adapter le montant de l’amende en cas de disproportion entre la gravité de l’infraction et la sévérité de la sanction (règlement, article 27). Cette décision doit cependant être motivée au regard de l’intérêt public ; elle ne peut être fondée sur des valeurs juridiques abstraites et doit définir les paramètres adoptés dans l’application de la sanction, en tenant compte des conséquences pratiques de la décision.
Cet équilibre entre protection des droits individuels et intérêts légitimes des entreprises sera certainement favorable aux activités économiques liées à l’exploitation des données personnelles.
Le règlement n’aborde cependant pas la question des conséquences civiles et pénales des infractions à la LGPD. La réparation des dommages subis par les personnes concernées constitue un risque financier pour les responsables de traitement et les sous-traitants. Les juges brésiliens peuvent se montrer très généreux dans l’allocation de dommages-intérêts et les décisions peuvent varier d’une région à l’autre du pays.