Le 28 janvier dernier était la journée internationale de la protection des données. En effet, ce même jour de l’année 1981, la Convention pour la Protection des Individus concernant le Traitement Automatisé des Données Personnelles, du Conseil de l’Europe, était signée par une partie des Etats membres et ouverte à l’adhésion d’une partie des Etats non-membres.
Également connue comme Convention 108, cette norme est l’un des principaux instruments légaux pour la protection des données dans le monde, étant donné qu’elle est la première à lier plusieurs pays, y compris en dehors du continent européen. Il est donc normal de commémorer cette date aussi au Brésil.
En effet, après deux ans de vacatio legis, la Loi Générale de la Protection des Données Personnelles (LGPD) est entrée en vigueur en août 2020. Ce long délai, peu commun dans le système juridique brésilien (à titre de comparaison, le Code de Procédure Civile de 2015, qui a changé tout le système de procédure, a bénéficié d’une période d’adaptation d’un an), est justifié. La nouvelle législation a un impact sans précédent, couvrant tous les secteurs de l’économie et atteignant tant les entreprises privées que les institutions publiques. Elle transforme complètement le traitement des données personnelles par ces organismes.
Ce n’est pas un changement simple ou facile. Des projets d’adéquation à la législation par des grandes entreprises peuvent mettre plus d’un an à se concrétiser dus à la difficulté d’identifier tous les flux de données personnelles d’une société, de créer des politiques et des procédures internes, d’éduquer toutes les parties prenantes et surtout de changer une mentalité où rien n’est interdit en ce qui concerne la saisie, l’utilisation, le traitement et le partage des données personnelles.
Même si elles apportaient déjà certaines protections sur le plan du droit à la vie privée et des inquiétudes au sujet des opérations de traitement des données personnelles, les législations qui existaient auparavant dans le système juridique brésilien étaient insuffisantes pour garantir cette protection et peu observées. Il suffit de voir que même si la “Constitution de l’Internet” dispose que toute application d’internet doit mettre à disposition des conditions d’utilisation et des politiques de confidentialité, beaucoup de sites continuent à fonctionner sans respecter cette obligation, y compris ceux d’entreprises renommées qui n’ont jamais fait l’objet d’une action en justice pour cette violation.
La LGPD promet de changer cette situation – et de fait a déjà changé – non seulement par la création de nouvelles règles, mais surtout par une mise en vigueur effective. Avant même sa mise en vigueur, la Loi était déjà indirectement appliquée par des organismes de défense du consommateur tels que les Ministères Publics et les PROCONs, qui appliquent des amendes et intentent des poursuites en se basant sur des principes inclus dans la nouvelle législation. Une
partie de ces principes était déjà prévue par d’autres normes mais n’avaient jamais été aussi impératifs que maintenant, à cause de l’importance de la Loi Générale de Protection des Données Personnelles.
Depuis l’année dernière, il est normal d’exiger des partenaires commerciaux des preuves de leur conformité avec la LGPD avant la signature d’un contrat, ou même du maintien de contrats existants. Comme les risques de fuite des données personnelles ou d’autres violations peuvent provenir des entreprises prestataires dans certaines situations, les entreprises qui ne s’adaptent pas à la Loi pourront se retrouver en dehors du marché, écartées pour ne pas se préoccuper de la protection des données personnelles ni de la confidentialité de leurs clients et collaborateurs.
La mesure semble radicale, mais est également auto-intuitive. En cette époque où les incidents de sécurité et les fuites de données apparaissent dans les médias presque tous les jours et, dans certains cas, atteignent des proportions énormes en affectant des milliers (ou même des millions) de titulaires de données, aucune société ne veut être confrontée à un problème de cette ampleur qui pourrait affecter son image de manière irréversible, encore plus quand la responsable n’est pas la propre entreprise, mais l’un de ses partenaires commerciaux.
Ce contexte démontre l’importance de la LGPD et de la protection des données au Brésil, indépendamment de ce qui se passera dans les méandres du Pouvoir Législatif. Pour ceux qui n’ont même pas commencé à se préparer à la LPGD, le message est clair : c’est maintenant, c’est cette année, et un éventuel retard pourrait coûter beaucoup plus que simplement de l’argent.