RGPD vs LGPD : comparaison des lois sur la vie privée de l'UE et du Brésil (2026)
Le RGPD de l'UE et la LGPD brésilienne (loi n° 13.709/2018) partagent des principes fondateurs communs, mais diffèrent sur trois points structurels essentiels : la LGPD offre 10 fondements juridiques contre 6 pour le RGPD, plafonne les amendes au chiffre d'affaires réalisé au Brésil plutôt qu'au chiffre d'affaires mondial, et fait passer l'ensemble des mesures d'application par une autorité nationale unique plutôt que par plus de 30 autorités de contrôle.
Le règlement général sur la protection des données (RGPD) de l'UE et la Lei Geral de Proteção de Dados brésilienne (LGPD, loi n° 13 709/2018) figurent parmi les cadres de protection des données les plus importants au monde. La LGPD s'est directement inspirée du RGPD, et les deux lois partagent une architecture commune. Elles divergent pourtant de manière significative : fondements juridiques, structures de sanctions, modèles d'application, délais de notification de violation et exigences relatives au DPD diffèrent tous.
Cette comparaison couvre toutes les différences structurelles significatives entre les deux cadres, y compris la décision d'adéquation mutuelle de janvier 2026, qui a transformé la situation en permettant désormais la libre circulation des données entre l'UE et le Brésil.
Réponse rapide : RGPD contre LGPD en un coup d'œil
Le RGPD s'applique à l'ensemble de l'Espace économique européen. La LGPD s'applique à tout traitement de données lié au Brésil. Les deux lois partagent des principes fondamentaux (limitation de la finalité, minimisation des données, transparence, responsabilisation) et exigent toutes deux un délégué à la protection des données, des droits pour les personnes concernées, une notification de violation et des contrôles sur les transferts internationaux.
Les principales différences : la LGPD offre davantage de fondements juridiques (10 contre 6), plafonne les amendes au chiffre d'affaires brésilien plutôt qu'au chiffre d'affaires mondial, est appliquée par une autorité nationale unique plutôt que par plus de 30 autorités de contrôle, et a historiquement imposé des règles d'indépendance du DPD moins contraignantes. Depuis janvier 2026, les deux régimes se reconnaissent officiellement mutuellement adéquats, le développement le plus important depuis l'entrée en vigueur des deux lois.
Les deux régimes en un coup d'œil
| Caractéristique | RGPD | LGPD |
|---|---|---|
| Juridiction | UE/EEE (27 États membres + Norvège, Islande, Liechtenstein) | Brésil |
| Adopté | 14 avril 2016 | 14 août 2018 |
| Applicable | 25 mai 2018 | 18 septembre 2020 (amendes : 1er août 2021) |
| Autorité d'application | 30+ autorités de contrôle nationales + CEPD | ANPD (autorité fédérale unique) |
| Fondements juridiques | 6 (art. 6) | 10 (art. 7) |
| Amende maximale | 20 M€ ou 4 % du chiffre d'affaires mondial | 2 % du chiffre d'affaires au Brésil, plafonné à 50 M de reais par violation |
| Notification de violation | 72 heures à l'autorité de contrôle | L'ANPD recommande 2 jours ouvrables (règle contraignante en attente) |
| DPD requis | Conditionnel (organismes publics, traitement à haut risque/grande échelle) | Tous les responsables de traitement (avec exemption limitée pour les PME via la résolution 2/2022) |
| Adéquation mutuelle | Oui : décision d'exécution (UE) 2026/179, 27 janvier 2026 | Oui : résolution CD/ANPD n° 32, 26 janvier 2026 |
Un ADN commun et des similitudes structurelles
La LGPD a délibérément emprunté son architecture fondatrice au RGPD. Les législateurs brésiliens ont étudié le RGPD et en ont repris les éléments constitutifs essentiels : les droits des personnes concernées, les rôles de responsable et de sous-traitant, les fondements juridiques du traitement, les catégories de données sensibles, les restrictions sur les transferts internationaux, et une autorité de contrôle dédiée.
Les deux lois définissent largement les données personnelles comme toute information se rapportant à une personne physique identifiée ou identifiable. Les deux reconnaissent une catégorie distincte de données sensibles requérant une protection renforcée. Les deux exigent des responsables de traitement qu'ils mettent en œuvre des mesures de sécurité techniques et organisationnelles appropriées, réalisent des analyses d'impact pour les traitements à haut risque, et documentent leurs activités de traitement.
Résultat pratique : un programme conforme au RGPD constitue une base solide pour la conformité à la LGPD. Mais les écarts sont suffisamment importants pour qu'un programme RGPD à lui seul n'équivaille pas à une conformité LGPD.
Champ d'application
La portée territoriale du RGPD est extraterritoriale par nature. Il s'applique à toute organisation qui traite des données personnelles de personnes se trouvant dans l'EEE, quel que soit son lieu d'établissement. Une entreprise de commerce électronique basée aux États-Unis qui vend à des résidents de l'UE relève du RGPD.
La LGPD s'applique à toute opération de traitement réalisée au Brésil, visant à offrir des biens ou services à des personnes se trouvant au Brésil, ou impliquant des données personnelles collectées au Brésil. Comme le RGPD, elle n'exige pas que l'organisation dispose d'une présence physique au Brésil.
La LGPD s'applique tant aux organisations à but lucratif qu'à but non lucratif. Les exceptions comprennent le traitement purement personnel ou domestique, les finalités journalistiques ou artistiques, la recherche académique menée dans l'intérêt public, la sécurité publique, la défense nationale et les enquêtes pénales. Une différence significative : la LGPD s'applique au traitement des données par les administrations publiques mais exempte les entités publiques des amendes pécuniaires. Les organismes publics peuvent recevoir des avertissements, des ordres de divulgation obligatoire des violations et des ordres de suspension du traitement, mais pas les sanctions financières de 50 millions de reais applicables aux entreprises privées.
Comparaison terminologique
| Terme RGPD | Équivalent LGPD |
|---|---|
| Personne concernée | Titular |
| Données personnelles | Dados pessoais |
| Catégories particulières / données sensibles | Dados pessoais sensíveis (art. 5, II) |
| Responsable du traitement | Controlador |
| Sous-traitant | Operador |
| Délégué à la protection des données | Encarregado |
| Autorité de contrôle | ANPD |
La définition des données personnelles sensibles de la LGPD reprend de près les catégories particulières du RGPD, mais inclut explicitement les convictions philosophiques (aux côtés des convictions religieuses) et traite les données concernant les enfants et adolescents comme une catégorie sensible autonome nécessitant un traitement spécial au titre de l'article 14 de la LGPD.
Fondements juridiques du traitement : six contre dix
C'est la différence structurelle la plus significative entre les deux cadres.
Le RGPD prévoit six fondements juridiques à l'article 6 : le consentement, l'exécution d'un contrat, une obligation légale, la sauvegarde des intérêts vitaux, l'exécution d'une mission d'intérêt public, et les intérêts légitimes.
La LGPD prévoit dix fondements juridiques à l'article 7. Elle reprend les six fondements du RGPD et en ajoute quatre :
| Fondement juridique | RGPD | LGPD |
|---|---|---|
| Consentement | Oui (art. 6(1)(a)) | Oui (art. 7, I) |
| Exécution d'un contrat | Oui (art. 6(1)(b)) | Oui (art. 7, V) |
| Obligation légale ou réglementaire | Oui (art. 6(1)(c)) | Oui (art. 7, II) |
| Intérêts vitaux | Oui (art. 6(1)(d)) | Couvert par la protection de la santé et de la vie |
| Intérêt public / mission d'intérêt public | Oui (art. 6(1)(e)) | Oui (art. 7, III) |
| Intérêts légitimes | Oui (art. 6(1)(f)) | Oui (art. 7, IX) |
| Études menées par des organismes de recherche | Rattaché à l'intérêt public | Oui, fondement autonome (art. 7, IV) |
| Exercice de droits dans une procédure judiciaire, administrative ou arbitrale | Rattaché à l'obligation légale | Oui, fondement autonome (art. 7, VI) |
| Protection de la santé ou de la vie | Rattaché aux intérêts vitaux | Oui, fondement autonome (art. 7, VIII) |
| Protection du crédit | Pas de fondement distinct | Oui, propre à la LGPD (art. 7, X) |
Le fondement de protection du crédit est propre au droit brésilien. Il reflète l'importance économique des systèmes de notation de crédit et de données financières sur le marché brésilien. Un établissement financier traitant les données d'un client pour effectuer une vérification de crédit peut s'appuyer directement sur ce fondement.
Le fondement de protection de la santé couvre les procédures menées par des professionnels de santé, des services de santé ou des autorités sanitaires. Il fonctionne de manière similaire à l'exception des intérêts vitaux du RGPD, mais est explicitement circonscrit au secteur sanitaire plutôt qu'à toute urgence mettant la vie en danger.
Pour les données personnelles sensibles, le RGPD exige un consentement explicite ou l'une des exceptions restreintes de l'article 9(2). L'article 11 de la LGPD autorise le traitement de données sensibles sans consentement lorsqu'il est indispensable pour des obligations légales, une politique publique, la recherche, l'exercice de droits, la protection de la santé, la protection de la vie ou la prévention de la fraude.
Comparaison des droits des personnes concernées
Les deux cadres accordent aux personnes des droits étendus sur leurs données personnelles, avec un chevauchement significatif.
| Droit | RGPD | LGPD |
|---|---|---|
| Confirmation du traitement | Oui (art. 15) | Oui (art. 18, I) |
| Accès aux données | Oui (art. 15) | Oui (art. 18, II) |
| Rectification | Oui (art. 16) | Oui (art. 18, III) |
| Effacement / suppression | Oui, « droit à l'oubli » (art. 17) | Oui (art. 18, VI) |
| Portabilité des données | Oui (art. 20) | Oui (art. 18, V) |
| Limitation du traitement | Oui (art. 18) | Pas d'équivalent direct |
| Opposition au traitement | Oui (art. 21) | Oui (art. 18, IV : anonymisation, blocage ou suppression) |
| Réexamen des décisions automatisées | Oui, droit à l'intervention humaine (art. 22) | Oui (art. 20), mais l'intervention humaine n'est pas explicitement exigée |
| Information sur le partage | Inclus dans le droit d'accès | Droit autonome explicite (art. 18, VII) |
| Retrait du consentement | Oui (art. 7(3)) | Oui (art. 18, IX) |
| Réclamation auprès de l'autorité | Oui | Oui (art. 18, § 1) |
Deux différences méritent d'être notées. Premièrement, la LGPD ne comporte pas de droit explicite à la limitation du traitement comparable à l'article 18 du RGPD. Les personnes concernées peuvent demander l'anonymisation, le blocage ou la suppression, mais il n'existe aucun mécanisme permettant de simplement suspendre le traitement le temps de résoudre un litige.
Deuxièmement, l'article 20 de la LGPD accorde le droit de demander un réexamen des décisions automatisées, mais, contrairement à l'article 22 du RGPD, il n'exige pas explicitement une intervention humaine. L'agenda réglementaire 2025-2026 de l'ANPD prévoit d'émettre des orientations contraignantes sur les droits relatifs à la prise de décision automatisée, mais ces orientations n'avaient pas été finalisées en mai 2026.
En matière de délais de réponse, la LGPD impose un délai de 15 jours pour fournir une réponse détaillée à une demande d'accès d'une personne concernée. Le RGPD accorde aux responsables de traitement 30 jours (prolongeables à trois mois pour les demandes complexes). Le délai plus court de la LGPD crée une pression opérationnelle plus forte pour les organisations traitant un volume élevé de demandes.
Autorités de contrôle : l'ANPD face aux autorités de contrôle de l'UE
La différence structurelle dans l'architecture d'application est significative.
Sous le RGPD, l'application est répartie entre plus de trente autorités nationales de contrôle, coordonnées par le Comité européen de la protection des données (CEPD). Pour les traitements transfrontaliers impliquant plusieurs États membres de l'UE, le mécanisme de « guichet unique » désigne une autorité de contrôle chef de file dans le pays où le responsable de traitement dispose de son établissement principal dans l'UE, les autres autorités agissant en tant qu'« autorités concernées ». Ce mécanisme a produit des amendes emblématiques de la part de la DPC irlandaise (qui supervise Meta, Google et Apple pour l'UE) et de la CNIL française.
La LGPD est appliquée par une autorité fédérale unique : l'ANPD. Créée en 2020, elle a été érigée en agence fédérale de réglementation pleinement indépendante en février 2025, lui conférant une autonomie fonctionnelle, technique, décisionnelle, administrative et financière. Cette indépendance protège l'ANPD des pressions politiques et la place, sur le plan institutionnel, sur un pied d'égalité avec la Banque centrale du Brésil et l'autorité de la concurrence (CADE).
La capacité d'application de l'ANPD est encore en développement par rapport aux autorités de contrôle européennes les plus actives. Ses premières actions d'application significatives datent de 2023 et 2024. À la fin de 2025, le total des amendes et sanctions de l'ANPD s'élevait à environ 98 millions de reais (soit approximativement 20 millions de dollars).
Comparaison des sanctions
Les régimes de sanctions diffèrent tant par leur ampleur que par leur mode de calcul.
| Aspect de l'application | RGPD | LGPD |
|---|---|---|
| Amende maximale | 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel (le montant le plus élevé étant retenu) | 2 % du chiffre d'affaires de l'entreprise au Brésil, plafonné à 50 millions de reais (~10 millions de dollars) par violation |
| Base de chiffre d'affaires | Chiffre d'affaires mondial annuel | Chiffre d'affaires brésilien uniquement (groupe ou conglomérat) |
| Astreinte journalière | Disponible dans certaines juridictions d'États membres | Oui (soumise au plafond agrégé de 50 millions de reais) |
| Sanctions non pécuniaires | Avertissements, interdictions de traitement, ordres de suppression de données | Avertissements, divulgation publique, blocage/suppression de données, suspension du traitement |
| Entités publiques | Soumises aux amendes dans la plupart des États membres | Exemptées des amendes pécuniaires |
| Droit d'action privé | Variable selon l'État membre | Oui, en vertu du droit de la consommation et de la responsabilité civile |
Pour les grandes multinationales, la base de calcul du RGPD (4 % du chiffre d'affaires mondial) produit une exposition considérablement plus élevée. Une entreprise réalisant 10 milliards de dollars de chiffre d'affaires mondial s'expose à une amende maximale RGPD de 400 millions de dollars ; l'amende maximale LGPD de cette même entreprise est plafonnée à environ 10 millions de dollars, quelle que soit son envergure mondiale.
La LGPD prévoit également la suspension du traitement comme sanction, ce qui peut être opérationnellement significatif même en l'absence d'une lourde sanction pécuniaire. L'ANPD a utilisé ce pouvoir dans son affaire Meta : en juillet 2024, l'ANPD a ordonné à Meta de suspendre immédiatement l'utilisation des données personnelles des utilisateurs brésiliens à des fins d'entraînement de l'IA, assortie d'une astreinte journalière de 50 000 reais en cas de non-respect. La suspension a été levée fin août 2024 après que Meta a accepté un plan de conformité sous surveillance. L'ANPD a estimé que Meta s'était appuyé de manière inadéquate sur l'intérêt légitime comme fondement juridique de l'entraînement de l'IA, manquait de transparence sur les détails du traitement, et ne protégeait pas suffisamment les données des mineurs.
Exigences relatives au DPD et à l'encarregado
Les deux lois exigent un délégué à la protection des données (la LGPD nomme ce rôle encarregado), mais les exigences diffèrent substantiellement.
Sous le RGPD, un DPD n'est obligatoire que pour : les autorités et organismes publics, les organisations dont les activités principales impliquent un suivi régulier et systématique des personnes à grande échelle, et les organisations traitant à grande échelle des catégories particulières de données ou des données relatives aux condamnations pénales (article 37). Le RGPD précise que le DPD doit posséder des connaissances spécialisées du droit de la protection des données, doit agir de manière indépendante, doit rendre compte directement à la direction générale, et ne peut être révoqué ni sanctionné pour l'exercice de ses fonctions.
Sous la LGPD, tous les responsables de traitement étaient à l'origine tenus de désigner un encarregado, quels que soient leur taille ou leur champ de traitement. L'ANPD a par la suite publié la résolution CD/ANPD n° 2/2022, qui exempte les agents de traitement de petite échelle (petites entreprises, jeunes pousses et entrepreneurs individuels) de cette obligation, sauf s'ils traitent des données à haut risque. La LGPD ne précise pas les qualifications de l'encarregado avec la même spécificité que le RGPD, et les exigences d'indépendance sont moins rigoureuses. L'encarregado doit être publiquement identifié (son nom et ses coordonnées doivent être publiés), mais aucune ligne hiérarchique directe obligatoire vers le conseil d'administration n'est requise.
Un écart pratique existe : une entreprise qui n'est pas un organisme public et ne réalise pas de suivi systématique à grande échelle peut ne pas avoir besoin d'un DPD au titre du RGPD, mais si elle traite en qualité de responsable des données personnelles de personnes brésiliennes, elle peut néanmoins avoir besoin d'un encarregado au titre de la LGPD (sauf si l'exemption pour petite entreprise s'applique).
Notification de violation de données
Le RGPD exige que les responsables de traitement notifient l'autorité de contrôle compétente dans les 72 heures suivant la prise de connaissance d'une violation de données personnelles présentant un risque pour les droits des personnes. Les personnes concernées doivent être notifiées directement sans retard indu lorsque la violation présente un risque élevé.
L'article 48 de la LGPD exige que les responsables de traitement notifient l'ANPD et les personnes concernées des incidents de sécurité susceptibles de causer un risque ou un dommage significatif. La loi ne fixe pas de délai précis de notification. L'ANPD a recommandé un « délai raisonnable » de deux jours ouvrables pour la notification, mais il ne s'agit à ce jour que d'une simple orientation, et non d'un délai légal contraignant, en mai 2026. L'ANPD a indiqué son intention d'émettre une réglementation contraignante sur la notification de violation dans le cadre de son agenda réglementaire, mais cette réglementation restait en attente.
Pour les organisations multinationales, l'approche pratique consiste à appliquer le délai de 72 heures du RGPD comme norme interne. Toute violation exigeant une notification RGPD devrait déclencher simultanément le processus de notification LGPD si des personnes concernées brésiliennes sont affectées.
Analyses d'impact relatives à la protection des données
Les deux lois prévoient des analyses d'impact, mais avec des déclencheurs et des structures de conformité différents.
Le RGPD exige une analyse d'impact relative à la protection des données (AIPD) au titre de l'article 35 chaque fois qu'un traitement est susceptible d'engendrer un risque élevé pour les droits des personnes. Trois catégories exigent systématiquement une AIPD : l'évaluation systématique impliquant du profilage, le traitement à grande échelle de données sensibles, et la surveillance systématique à grande échelle de zones accessibles au public. Les responsables de traitement doivent documenter l'AIPD et, dans certains cas, consulter l'autorité de contrôle avant de procéder.
L'article 38 de la LGPD adopte une approche réactive : l'ANPD peut demander à tout moment à un responsable de traitement de produire un Relatório de Impacto à Proteção de Dados Pessoais (RIPD). Les responsables de traitement ne sont pas tenus de réaliser proactivement un RIPD avant d'entreprendre un traitement à haut risque. Toutefois, l'agenda réglementaire 2025-2026 de l'ANPD inscrit les AIPD comme sujet prioritaire pour une nouvelle réglementation contraignante, et les organisations opérant au Brésil devraient commencer dès maintenant à réaliser des RIPD pour les traitements à haut risque plutôt que d'attendre que l'obligation devienne contraignante.
Transferts internationaux de données
La décision d'adéquation mutuelle de janvier 2026
Le 27 janvier 2026, la Commission européenne et le Brésil ont simultanément adopté des décisions d'adéquation mutuelle. L'UE a adopté la décision d'exécution (UE) 2026/179, reconnaissant le Brésil comme un pays offrant un niveau de protection des données essentiellement équivalent au RGPD au titre de l'article 45. Le Brésil a réciproqué par la résolution CD/ANPD n° 32 du 26 janvier 2026, reconnaissant l'UE comme une juridiction adéquate au titre de la LGPD.
Les conséquences pratiques sont significatives dans les deux sens :
Les transferts de l'UE vers le Brésil peuvent désormais s'effectuer sans clauses contractuelles types, règles d'entreprise contraignantes, ni aucun autre mécanisme de garantie prévu à l'article 46. La décision d'adéquation couvre les transferts aussi bien du secteur public que du secteur privé, avec l'exclusion habituelle pour les finalités de sécurité nationale, de défense et d'enquêtes pénales.
Les transferts du Brésil vers l'UE peuvent s'effectuer en vertu de la constatation d'adéquation de l'ANPD, sans garanties contractuelles supplémentaires.
Cette décision fait l'objet d'un réexamen formel tous les quatre ans. L'avis 28/2025 du CEPD s'est montré globalement favorable, tout en invitant la Commission européenne à continuer de surveiller la mise en œuvre par le Brésil des AIPD, des règles de transfert ultérieur, des restrictions en matière de transparence et des garanties d'accès des autorités publiques.
La résolution CD/ANPD n° 19/2024 et le cadre des CCT
Avant la décision d'adéquation, le cadre de référence pour les transferts sortants depuis le Brésil était la résolution 19/2024 de l'ANPD, publiée le 23 août 2024. Cette résolution a établi les clauses contractuelles types du Brésil pour les transferts internationaux de données et fixé une période de grâce d'un an pour permettre aux entreprises de les intégrer. Cette période de grâce a expiré le 23 août 2025, date après laquelle les transferts du Brésil vers des pays tiers non adéquats devaient s'appuyer sur des CCT ou un autre mécanisme approuvé.
Pour les transferts du Brésil vers des organisations de l'UE, la constatation d'adéquation de l'ANPD de janvier 2026 supplante désormais l'exigence de CCT. Pour les transferts vers d'autres juridictions, le cadre de la résolution 19/2024 (CCT, règles d'entreprise contraignantes ou clauses contractuelles spécifiques) demeure la garantie requise.
Les organisations ayant conclu des CCT propres au Brésil pour les flux UE-Brésil pourraient souhaiter mettre à jour leur documentation de transfert pour faire référence au fondement d'adéquation. Les CCT restent techniquement valides mais ne sont plus juridiquement requises pour ce volet du transfert.
L'application en pratique : le bilan de l'ANPD
Les premières actions formelles d'application de l'ANPD datent de 2023. En 2024, l'autorité a appliqué des sanctions contre trois entités publiques brésiliennes : la Direction régionale de l'éducation du District fédéral (SEEDF), l'Institut national de sécurité sociale (INSS) et le ministère de la Santé. Les trois affaires impliquaient des manquements dans la notification de violation et des mesures de sécurité inadéquates. Ces entités étant des organismes publics, les sanctions ont pris la forme d'avertissements et de divulgation publique obligatoire, plutôt que d'amendes pécuniaires.
L'action la plus marquante de l'ANPD dans le secteur privé a été la suspension, en juillet 2024, de l'entraînement de l'IA de Meta sur les données d'utilisateurs brésiliens. L'ANPD a estimé que la politique de confidentialité actualisée de Meta s'appuyait de manière inadéquate sur l'intérêt légitime comme fondement juridique de l'entraînement de l'IA, manquait de transparence sur les détails du traitement, créait des obstacles à l'exercice des droits des personnes concernées, et ne garantissait pas de protections adéquates pour les données des mineurs. La suspension a été assortie d'une astreinte journalière de 50 000 reais. Meta et l'ANPD sont parvenus à un accord fin août 2024, aux termes duquel Meta s'est engagé sur un plan de conformité sous surveillance en échange de la levée de la suspension.
À la fin de 2025, l'ensemble des mesures d'application de l'ANPD avait généré environ 98 millions de reais d'amendes et de sanctions. L'indépendance institutionnelle de l'ANPD (acquise en février 2025) et ses priorités d'application annoncées pour 2026-2027 laissent présager une période d'application plus active à venir.
Développements récents : agenda réglementaire 2024-2026
Enjeux prioritaires de l'ANPD pour 2026-2027
En décembre 2025, l'ANPD a publié la résolution CD/ANPD n° 30, établissant sa carte des enjeux prioritaires pour le biennium 2026-2027, ainsi que la résolution CD/ANPD n° 31/2025, actualisant son agenda réglementaire 2025-2026. Les quatre domaines prioritaires d'application et de réglementation sont :
- Les droits des personnes concernées, avec un accent particulier sur les données sensibles utilisées à des fins publicitaires
- La protection des enfants et adolescents en vertu du Statut numérique de l'enfant et de l'adolescent (ECA numérique), y compris la vérification de l'âge et les exigences de confidentialité par défaut
- La conformité des autorités publiques à la LGPD, y compris la gouvernance des données et les règles de partage entre entités publiques
- L'IA et les technologies émergentes, y compris la supervision de l'usage des données personnelles dans les systèmes d'IA
Des réglementations contraignantes sur les AIPD, les droits relatifs à la prise de décision automatisée et les délais de notification de violation figurent toutes à l'agenda.
Le projet de loi brésilien sur l'IA
Le Sénat brésilien a adopté le projet de loi sur l'IA n° 2338/2023 le 10 décembre 2024, et l'a transmis à la Chambre des députés en mars 2025. Le projet de loi adopte une approche fondée sur les risques, étroitement calquée sur l'AI Act européen, classant les systèmes d'IA en risque excessif, risque élevé ou usage général. En vertu de ce projet de loi, l'ANPD ferait office de principal régulateur pour les systèmes d'IA traitant des données personnelles, avec un rôle concurrent joué par des régulateurs sectoriels.
L'adoption définitive reste incertaine. Le consensus politique à la Chambre des députés faisait encore défaut début 2026, et le cycle électoral brésilien de 2026 réduit la probabilité d'une adoption avant 2027. Les entreprises devraient suivre l'avancement législatif, mais ne devraient pas encore s'appuyer sur le projet de loi sur l'IA comme référence de conformité.
Recommandations pour la double conformité
Les organisations soumises à la fois au RGPD et à la LGPD devraient traiter les deux cadres comme complémentaires plutôt que redondants. Les domaines suivants requièrent une attention spécifique à la LGPD, même pour les programmes conformes au RGPD.
Fondements juridiques. Cartographiez les fondements de la LGPD pour chaque activité de traitement séparément de votre cartographie RGPD. Les activités s'appuyant sur les intérêts légitimes au titre du RGPD peuvent disposer d'un fondement LGPD plus spécifique (protection du crédit, protection de la santé, recherche par des organismes de recherche). Documentez les deux.
DPD / encarregado. Une entreprise qui ne déclenche pas l'obligation conditionnelle de DPD du RGPD peut néanmoins avoir besoin d'un encarregado au titre de la LGPD, sauf si l'exemption pour petite entreprise prévue par la résolution CD/ANPD 2/2022 s'applique. L'encarregado doit être publiquement nommé avec ses coordonnées.
Notification de violation. La LGPD n'a pas de délai légal fixe. Traitez la recommandation de deux jours ouvrables de l'ANPD comme votre norme interne, en parallèle du délai de 72 heures du RGPD.
AIPD / RIPD. Réalisez proactivement des RIPD pour les traitements à haut risque, même si la LGPD ne l'exige pas encore. L'ANPD peut les exiger à tout moment, et une obligation proactive contraignante est à venir.
Délais de réponse. Le délai de 15 jours de la LGPD pour les réponses détaillées d'accès est plus court que les 30 jours du RGPD. Configurez les processus de traitement des demandes d'accès selon le délai le plus contraignant, celui de la LGPD.
Transferts internationaux. Depuis le 27 janvier 2026, les flux de données UE-Brésil sont couverts par l'adéquation mutuelle dans les deux sens. Mettez à jour votre registre des activités de traitement pour refléter le fondement d'adéquation plutôt que les CCT pour ces volets de transfert. Pour les transferts du Brésil vers d'autres pays non adéquats, les CCT de la résolution 19/2024 restent requises.
Prestataires publics. Le traitement distinct que la LGPD réserve aux entités publiques concerne les entreprises qui traitent des données personnelles en qualité d'opérateur pour le compte d'agences gouvernementales brésiliennes. Des règles spécifiques s'appliquent au partage de données gouvernementales.
Pour un examen approfondi du cadre du RGPD, consultez notre guide complet des lois européennes de protection des données. Pour la LGPD brésilienne prise isolément, consultez notre guide sur les lois brésiliennes de protection des données.
Cette page reflète l'état du droit en mai 2026. Le RGPD comme la LGPD continuent d'évoluer par le biais d'orientations réglementaires et de décisions d'application. Consultez un avocat qualifié pour des conseils adaptés à votre organisation.
Frequently Asked Questions
La LGPD est-elle simplement une copie du RGPD ?
La LGPD s'est fortement inspirée du RGPD mais n'en est pas une copie directe. Elle partage les mêmes principes fondateurs (limitation de la finalité, minimisation des données, transparence, responsabilisation), mais diverge sur plusieurs points. La LGPD compte 10 fondements juridiques contre 6 pour le RGPD, plafonne les amendes à 2 % du chiffre d'affaires brésilien plutôt qu'à 4 % du chiffre d'affaires mondial, est appliquée par une autorité unique plutôt que par un réseau de plus de 30 autorités de contrôle, et prévoit un délai de réponse plus court pour les demandes d'accès des personnes concernées (15 jours contre 30 jours).
Quelle loi prévoit les amendes les plus élevées, le RGPD ou la LGPD ?
Le RGPD prévoit des amendes maximales nettement plus élevées pour les grandes entreprises. Les sanctions du RGPD atteignent 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Les sanctions de la LGPD plafonnent à 2 % du chiffre d'affaires de l'entreprise au Brésil, avec un plafond de 50 millions de reais (environ 10 millions de dollars) par violation. Pour une multinationale réalisant 5 milliards de dollars de chiffre d'affaires mondial, l'exposition RGPD atteint 200 millions de dollars ; l'exposition LGPD est plafonnée à 10 millions de dollars, quelle que soit l'envergure mondiale.
La LGPD exige-t-elle le consentement pour tout traitement de données ?
Non. Comme le RGPD, la LGPD prévoit plusieurs fondements juridiques pour le traitement des données personnelles. La LGPD offre en réalité davantage d'options que le RGPD, avec 10 fondements juridiques incluant le consentement, les intérêts légitimes, l'exécution d'un contrat, l'obligation légale, la protection du crédit et la protection de la santé. Le consentement est une option parmi d'autres, et non l'exigence par défaut.
Le Brésil dispose-t-il d'une décision d'adéquation de l'UE ?
Oui. Le 27 janvier 2026, la Commission européenne a adopté la décision d'exécution (UE) 2026/179, reconnaissant formellement le Brésil comme offrant une protection adéquate des données au titre de l'article 45 du RGPD. Les données personnelles peuvent désormais circuler de l'UE vers le Brésil sans clauses contractuelles types ni autres garanties de l'article 46. Le Brésil a simultanément adopté la résolution CD/ANPD n° 32, reconnaissant l'UE comme adéquate au titre de la LGPD.
Une entreprise peut-elle utiliser la même politique de confidentialité pour la conformité au RGPD et à la LGPD ?
Une politique de confidentialité mondiale unique peut couvrir les deux cadres, mais elle doit inclure des mentions spécifiques à la LGPD. La politique doit faire référence aux fondements juridiques applicables de la LGPD, nommer l'encarregado avec ses coordonnées, décrire les droits disponibles au titre du droit brésilien, y compris le délai de réponse d'accès de 15 jours, et expliquer comment saisir l'ANPD. De nombreuses multinationales maintiennent une politique unique comportant des sections propres à chaque juridiction.
La LGPD exige-t-elle une analyse d'impact relative à la protection des données ?
Pas proactivement par défaut. L'article 38 de la LGPD donne à l'ANPD le pouvoir d'exiger à tout moment d'un responsable de traitement qu'il produise un Relatório de Impacto à Proteção de Dados Pessoais (RIPD), mais n'exige pas des responsables de traitement qu'ils en réalisent un avant d'entreprendre un traitement à haut risque. L'article 35 du RGPD exige des AIPD proactives avant certaines activités à haut risque. L'agenda réglementaire 2025-2026 de l'ANPD prévoit une obligation proactive contraignante d'AIPD, les organisations devraient donc commencer dès maintenant à réaliser des RIPD pour les traitements à haut risque.
Quelle a été l'action de l'ANPD contre Meta ?
En juillet 2024, l'ANPD a ordonné à Meta de suspendre immédiatement l'utilisation des données personnelles des utilisateurs brésiliens à des fins d'entraînement de l'IA, assortie d'une astreinte journalière de 50 000 reais en cas de non-respect. L'ANPD a estimé que la politique de confidentialité actualisée de Meta s'appuyait de manière inadéquate sur l'intérêt légitime comme fondement juridique de l'entraînement de l'IA, manquait de transparence, et ne protégeait pas les données des mineurs. La suspension a été levée fin août 2024 après que Meta a accepté un plan de conformité sous surveillance.
Sources and References
- Décision d'exécution (UE) 2026/179 — décision d'adéquation de l'UE pour le Brésil(eur-lex.europa.eu).gov
- LGPD, texte intégral — loi n° 13.709/2018(planalto.gov.br).gov
- Site officiel de l'ANPD — Autoridade Nacional de Proteção de Dados(gov.br).gov
- Commission européenne — Vue d'ensemble de la protection des données(commission.europa.eu).gov
- RGPD Article 6 — Licéité du traitement(gdpr-info.eu)
- RGPD Article 9 — Catégories particulières de données(gdpr-info.eu)
- RGPD Article 35 — Analyse d'impact relative à la protection des données(gdpr-info.eu)
- RGPD Article 37 — Désignation du DPD(gdpr-info.eu)
- RGPD Article 33 — Notification de violation à l'autorité de contrôle(gdpr-info.eu)
- Communiqué de presse de la Commission européenne — décision d'adéquation UE-Brésil, janvier 2026(ec.europa.eu).gov
- Avis 28/2025 du CEPD — projet de décision d'adéquation de l'UE pour le Brésil(edpb.europa.eu).gov
- US International Trade Administration — nouvelles règles brésiliennes sur les transferts internationaux(trade.gov).gov
- IAPP — l'ANPD devient une agence de réglementation indépendante(iapp.org)