« Les entreprises doivent-elles toujours se mettre en conformité avec la LGPD ? »
Jusqu’à présent, le souci majeur des entreprises et des organisations qui souhaitaient se mettre en conformité avec la nouvelle loi brésilienne sur la protection des données personnelles (LGPD – loi n° 13.709/18) était le manque de lignes directrices pratiques et de personnes expérimentées dans le domaine de la protection des données personnelles ; même l’Autorité de contrôle brésilienne (ANPD), qui n’existe encore que sur le papier, n’est pas en mesure de jouer ce rôle de conseil.
Mais une nouvelle inconnue vient de se rajouter à l’équation, avec l’adoption par les pouvoirs publics de mesures de lutte contre le Coronavirus qui impactent directement les entreprises.
1. Quand la LGPD entrera-t-elle en vigueur ?
Le 30 mars, les pouvoirs législatif et judiciaire avaient présenté le projet de loi du Sénat fédéral (PL n° 1179/2020) « Régime juridique d’urgence et transitoire des relations de droit privé » (RJET). Entre autres mesures, ce projet demandait le report de la LGPD.
Lors d’une session à distance tenue le 3 avril, le Sénat a approuvé à l’unanimité le report de la date d’entrée en vigueur de la LGPD au 1er janvier 2021 au lieu d’août 2020 comme prévu initialement, et repoussé les sanctions pour non-conformité à août 2021. La question est maintenant soumise à la Chambre des députés.
Entre-temps, le 29 avril, le Président a prolongé la vacatio legis de la LGPD jusqu’au 3 mai 2021, en ajoutant un article à la « Medida Provisória n° 959 » sur les aides économiques liées au COVID, qui a force de loi et s’applique immédiatement.
Ce flou sur la durée de la vacatio legis complique l’intégration par les organisations des principes de protection des données personnelles introduits par la LGPD, impactant ainsi directement le coût et l’étendue de son implémentation.
Pourtant, les entreprises brésiliennes qui, malgré un éventuel report de la date d’entrée en
vigueur de la LGPD, ont déjà entamé leur processus de mise en conformité créent un différentiel de compétitivité, qui peut s’avérer significatif dans un scénario de stagnation économique.
2. Pourquoi les entreprises doivent-elles poursuivre leur mise en conformité avec la
LGPD ?
Dès avant la LGPD, la protection des données personnelles au Brésil était déjà encadrée par des dispositions légales : Cadre civil de l’Internet, Code de protection des consommateurs, règles sectorielles (télécommunications, protection des consommateurs et santé).
Rappelons aussi que la Constitution brésilienne reconnaît l’inviolabilité de la vie privée. La
protection des données personnelles met en jeu des garanties directes et fondamentales qui vont bien au-delà du respect du texte de la LGPD.
Ainsi, malgré la discussion sur la date d’entrée en vigueur de la LGPD, les entreprises et les autorités publiques brésiliennes doivent faire attention à la protection des données personnelles.
C’est particulièrement vrai si elles effectuent des transferts internationaux de données à caractère personnel.
Mais surtout, la LGPD représente une réelle opportunité commerciale pour les entreprises qui l’implémentent :
.les consommateurs deviennent attentifs à l’utilisation éthique et sécurisée de leurs données personnelles, et ne les partageront qu’avec ceux qui les traitent correctement. En prenant des mesures administratives, techniques et opérationnelles de protection des données personnelles, l’entreprise se dote d’une base de données fiable et qualifiée, et renforce sa relation à long terme avec ses clients ;
.la protection de la vie privée et des données personnelles devient une valeur ajoutée inestimable pour le marketing et les ventes B2C de l’entreprise ;
.les entreprises réclament déjà de leurs fournisseurs qu’ils respectent la LGPD, de sorte qu’elles feront affaire plutôt avec ceux qui prouvent avoir mis en place un système de gouvernance des données personnelles ;
.la mise en oeuvre de pratiques et de mesures correctives permettra à l’entreprise d’éviter les conséquences financières d’éventuelles atteintes à la vie privée, ainsi que les coûts liés à une mise en oeuvre imposée a posteriori, aux procès intentés par des clients ou des agences de contrôle de l’industrie, à la perte de confiance des utilisateurs ou des clients, et aux dommages causés à l’image de marque.
En transformant les contraintes de cette période de crise en opportunités, les entreprises qui ont déjà entamé ce processus de conformité peuvent optimiser leurs plans d’action, et les autres peuvent s’y lancer avec une plus grande tranquillité d’esprit. Pour ne prendre qu’un exemple, la formation des DPO et des employés de l’organisation, étape essentielle pour une gouvernance efficace des données personnelles, peut bénéficier des mesures adoptées par le gouvernement pour faire face à la crise sanitaire, tels que des cours d’apprentissage à distance (EAD) qui peuvent justifier une suspension du contrat de travail.