L’Agence Nationale de Protection des Données personnelles brésilienne émet son premier règlement.
L’ANPD est l’autorité de contrôle brésilienne, similaire à la CNIL française. Elle est chargée de faire respecter la loi sur la protection des données personnelles brésilienne, la LGPD, en vigueur depuis 1 an.
Comme l’indique Miriam Wimmer, l’un des 5 membres du Conseil Directeur de l’ANPD, le rôle de cette agence est multiple. Elle doit en effet conseiller, éduquer, élaborer des règlements, contrôler les organismes soumis à la LGPD, et enfin sanctionner les contrevenants. Jusque-là, c’était surtout dans ces trois premiers rôles que l’on a vu intervenir l’ANPD. Depuis le 1er août 2021, cependant, ce sont les aspects liés aux contrôles et aux sanctions qui sont passés au premier plan. En effet, cette date marque l’entrée en vigueur des sanctions administratives que peut infliger l’ANPD.
1. Un panel de sanctions plus large que le RGPD
L’ANPD peut infliger toute une série de sanctions : la plus douce est un simple avertissement assorti d’un délai de grâce pour corriger l’infraction, mais l’ANPD peut aller jusqu’à interdire tout ou partie des activités liées aux traitements de données personnelles. Sans aller jusque-là, la LGPD prévoit, comme le RGPD européen, des sanctions pécuniaires sous forme d’amendes d’un montant maximum de 2% du chiffre d’affaires de l’entreprise ou du groupe, et peut aussi choisir de rendre publique cette sanction. Mais l’ANPD peut également exiger le blocage ou la suppression des données personnelles ayant fait l’objet d’une infraction, voire la suspension temporaire, pour 6 mois renouvelables, des bases de données ou des traitements de données personnelles concernés.
2. Un enjeu important : les modalités du contrôle
Avant d’infliger une sanction, l’ANPD procède auparavant à un contrôle de l’organisme susceptible d’être en infraction. Jusqu’à présent, certains aspects des modalités de ces (futurs) contrôles n’étaient pas très clairs… voire absents, faisant craindre aux entreprises un flou juridique qui ne leur serait pas forcément favorable. Aussi l’ANPD a élaboré, en mai 2021, un règlement portant sur les modalités du contrôle (Norma de Fiscalização). Ce document a fait l’objet en juin d’une consultation publique qui s’est traduite par 1133 contributions, et qui a débouché sur une audience publique, la première de l’ANPD, qui a rassemblé 159 participants. Ces nombres témoignent bien sûr de l’intérêt que portent les organisations aux modalités du contrôle. Il n’est pas certain que l’ANPD ait anticipé un tel succès, puisqu’elle a dû in extremis repousser d’une semaine la date de cette audience, initialement prévue le 8 juillet, et y consacrer 2 jours au lieu d’un…
Parmi les points les plus remarquables de ce règlement, on notera la possibilité pour l’ANPD de déclencher des démarches de contrôle non seulement de sa propre initiative (sur dénonciation notamment) mais également dans le cadre d’actions communes avec d’autres organes de contrôle. L’ANPD a ainsi signé au premier semestre 2021 des accords de coopération techniques avec le Secrétariat national de la consommation (SENACON) et avec le Conseil administratif de défense économique (CADE). Une certaine forme de contrôle « polyvalent » semble donc se profiler…
Ce « règlement des contrôles » devrait être finalisé très rapidement, avec probablement des ajustements à la marge pour tenir compte des contributions et des remarques recueillies lors de la consultation publique.
3. Encore des interrogations sur les modalités de calcul des amendes
Si la situation est claire pour les organismes publics, qui ne sont soumis à aucune sanction financière en cas d’infraction à la LGPD, elle ne l’est pas encore pour les entreprises. L’ANPD est actuellement en train de définir un autre document visant à expliciter la méthodologie de calcul des sanctions pécuniaires.