Le Responsable de la Protection des Données, également connu sous le nom de Data Protection Officer (DPO) dans la législation européenne (Règlement Général sur la Protection des Données - "RGPD"), est un rôle clé prévu à la fois par la législation brésilienne (Loi Générale sur la Protection des Données - "LGPD") et le RGPD. Ces deux réglementations imposent des exigences spécifiques pour la nomination d’un DPO, tant pour les responsables du traitement que pour les sous-traitants. Le DPO agit comme un canal de communication entre les individus concernés par le traitement des données et l’autorité publique chargée de faire appliquer les lois en matière de protection des données dans la juridiction concernée.
Bien que les deux législations requièrent la présence d’un DPO, il existe des différences essentielles que les entreprises doivent prendre en compte pour réduire les risques, éviter les sanctions légales et administratives, et protéger leur réputation. Afin de clarifier ces distinctions, nous avons préparé un tableau comparatif des exigences de la LGPD et du RGPD.
Voici les caractéristiques principales de ces deux législations :
| RGPD | LGPD | |
| Obligation de nommer un DPO | Obligatoire dans des cas spécifiques : pour les organismes publics ou les entités impliquées dans le suivi systématique et à grande échelle des données ou le traitement des données sensibles (Art. 37). | Généralement exigé pour toutes les entités, excepté pour les petites entreprises si un canal de communication est disponible (Résolution CD/ANPD nº 2/2022). |
| Qualifications et compétences | Qualifications professionnelles nécessaires, notamment en droit et en pratiques de protection des données (Art. 37). | Les qualifications sont définies en fonction de l'expertise adaptée au contexte, volume et risques des opérations de traitement des données (Résolution CD/ANPD nº 18/2024). |
| Responsabilités | Soutien aux évaluations d’impact, coopération avec les régulateurs, et communication avec les personnes concernées (Art. 39). | Gestion des réclamations, interactions avec les titulaires et l’ANPD, et conseils sur les meilleures pratiques en matière de protection des données pour l’entreprise, les tiers et les employés. |
| Sous-traitance | Autorisée (Art. 39). | Autorisée (Art. 5). |
| Publication des coordonnées | Les coordonnées doivent être publiées sur le site de l’entreprise et partagées avec l’autorité de supervision. | Les coordonnées doivent être publiées sur le site internet de l’entreprise. |
| Conflit d’intérêts | Des garanties sont mises en place pour préserver l’indépendance et éviter les conflits d’intérêts (Art. 38(3) et 38(6)). | Des mesures sont requises pour minimiser les conflits d’intérêts (Résolution CD/ANPD nº 18/2024). |
| Position dans l’organisation | Le DPO doit opérer de façon indépendante avec accès aux ressources et contact direct avec la direction (Art. 38). | Des exigences similaires s’appliquent pour l’autonomie et l’accès, mais aucune protection spécifique contre le licenciement n’est mentionnée (Résolution CD/ANPD nº 18/2024, Art. 10 et 15). |
Principales différences entre le DPO dans la LGPD et le RGPD.
OBLIGATION DE NOMMER UN DPO
Contrairement au RGPD, qui établit des critères spécifiques pour la désignation d'un DPO, la LGPD adopte une approche plus générale, exigeant que le responsable du traitement désigne un délégué à la protection des données personnelles. Cela signifie que, de manière générale, toute organisation publique ou privée doit désigner un DPO. Cependant, une exception est prévue dans la Résolution CD/ANPD nº 2/2022, qui exempte les petites structures (agents de traitement de faible portée) de cette obligation, tout en maintenant les autres obligations définies par la LGPD. Par ailleurs, le paragraphe 3 de l'article 41 permet à l'Agence Nationale de Protection des Données (ANPD) de déterminer des cas spécifiques dans lesquels la désignation d'un DPO n'est pas nécessaire, en tenant compte de la nature, de la taille et du volume de traitement des données par l'entité.
QUALIFICATIONS ET COMPÉTENCES
Le rôle de DPO selon la LGPD est plus flexible et les exigences sont moins strictes qu’en Europe, notamment en matière de qualifications requises pour occuper cette fonction. Selon l'article 7 de la Résolution CD/ANPD nº 18/2024, il incombe au responsable du traitement de définir les qualifications du DPO en tenant compte de la législation applicable, ainsi que du contexte, du volume et des risques liés aux activités de traitement de données. La résolution exige également que le DPO soit capable de communiquer efficacement avec les titulaires de données et avec l’ANPD. En revanche, le RGPD (article 37) impose des critères plus spécifiques, tels que : des connaissances spécialisées en droit et pratiques de protection des données, des qualifications proportionnelles à la complexité et aux risques des activités de traitement, et une maîtrise des mesures techniques et organisationnelles nécessaires.
SOUS-TRAITANCE DU POSTE DE DPO
L'article 12 de la Résolution CD/ANPD nº 18/2024, qui réglemente le poste de DPO, autorise le recours à une personne physique ou morale, qu’elle fasse ou non partie de la structure organisationnelle du responsable du traitement des données. De la même manière, le RGPD autorise également ces options.
PUBLICATION DES COORDONNÉES DU DPO
Dans les deux législations, les coordonnées du DPO doivent être divulguées obligatoirement sur le site web de l'entreprise, en assurant la transparence et l’accessibilité pour les titulaires de données et les autorités de supervision. Selon l'article 9 de la Résolution CD/ANPD nº 18/2024, cette divulgation peut aussi être faite par d'autres moyens si l'entité ne possède pas de site web. Le RGPD exige également que ces informations soient communiquées aux autorités compétentes.
CONFLITS D'INTÉRÊTS
Le RGPD et la LGPD abordent tous deux la question des conflits d’intérêts liés à l’exercice des fonctions du DPO. Le RGPD impose des garanties détaillées pour préserver l’indépendance du DPO, interdisant par exemple à celui-ci d’assumer des fonctions pouvant générer des conflits d’intérêts, notamment des postes où il définirait les objectifs du traitement des données personnelles. Par ailleurs, le RGPD protège le DPO contre les sanctions ou le licenciement pour l’exercice de ses responsabilités.
La LGPD exige, quant à elle, que le responsable du traitement prenne des mesures pour mitiger les conflits d’intérêts, tout en offrant la possibilité de remplacer le DPO si nécessaire.
POSITION DANS L'ORGANISATION
En ce qui concerne l’accumulation de fonctions, la LGPD n’interdit pas expressément qu'un employé, un administrateur ou un prestataire externe soit désigné comme DPO, tant que l'indépendance de la fonction est respectée. De même, conformément au RGPD, le DPO peut occuper d'autres fonctions dans l'organisation, à condition qu'il n'y ait pas de conflit d’intérêts. Cela signifie que, selon les normes européennes, un DPO ne peut occuper un poste lui permettant de déterminer les finalités ou les moyens des traitements de données personnelles, comme celui de directeur général, directeur des opérations ou responsable des ressources humaines.
Le rôle du DPO est crucial pour garantir le respect des normes de confidentialité. Une compréhension claire des réglementations qui encadrent cette fonction est essentielle pour les organisations opérant au Brésil. Les entreprises étrangères souhaitant s’implanter sur ce marché doivent consulter des experts en droit local afin d’assurer leur conformité avec la LGPD, en particulier en ce qui concerne la désignation et les responsabilités du DPO.
GTLawyers possède l’expertise nécessaire pour accompagner les entreprises dans ce domaine. Nous proposons des services de conseil aux DPO dans l’exercice de leurs missions quotidiennes ou nous agissons directement en tant que DPO externalisé pour éviter tout conflit d’intérêts. Notre équipe garantit non seulement la conformité légale des entreprises, mais également la mise en œuvre de pratiques efficaces de protection des données, minimisant ainsi leurs risques juridiques et réputationnels tout en préservant l’indépendance et l’impartialité du DPO.
Anne Brunschwig – abrunschwig@gtlawyers.com.br
Jessica Ferreira – jferreira@gtlawyers.com.br
