La régulation des données personnelles au Brésil : une opportunité d’expansion pour le modèle européen ?

La protection des données personnelles est un enjeu dont des pays non européens peinent parfois à s'emparer. A l'occasion d'un séjour de recherche d'un mois au Brésil, nous avons découvert l’existence d'un modèle de régulation singulier.

Première puissance économique d’Amérique latine, le Brésil entretient des liens économiques forts avec l'Union européenne : son commerce avec le vieux continent constituait en 2014 33,6 % du commerce total européen avec la région d'Amérique latine. Le Brésil jouant également un rôle stratégique dans le développement de l’économie numérique dans cette région, les deux partenaires sont engagés depuis 2007 dans un dialogue sectoriel, qui a notamment donné lieu dès 2011 à un programme de recherche commun[1].

Cependant, faute d’un régime spécifique encadrant le traitement des données personnelles, le Brésil ne fait pas l'objet d'une décision d'adéquation de la part de la Commission européenne, et ce contrairement à ses voisins, l'Argentine et l'Uruguay[2]. En conséquence, les entreprises souhaitant  transférer les données personnelles en provenance du territoire européen vers le Brésil doivent recourir à d'autres modalités juridiques de transfert, notamment des clauses contractuelles ou des règles internes d'entreprises.

Pourtant, le droit brésilien ne fait pas abstraction des sujets liés à la protection des données personnelles : la Constitution brésilienne reconnait l'inviolabilité de la vie privée,  et le secret des correspondances et des communications fait l'objet d'une jurisprudence abondante. Au-delà de cette reconnaissance constitutionnelle, le modèle brésilien emprunte des caractéristiques aux États-Unis comme à l'Union Européenne. A l'instar du modèle américain, la protection des données personnelles fait principalement l’objet de règles sectorielles (télécommunications, consommation et santé). La Marco Civil da Internet, adoptée en 2014 en réaction aux révélations des pratiques de surveillance américaines par Edward Snowden, se veut une "Constitution de l'Internet".

Elle reprend les grands principes de protection des données personnelles (notamment limitation des données que les entreprises peuvent collecter sur les citoyens brésiliens, consentement, licéité, proportionnalité) sans pour autant constituer un régime général. Trois projets de loi examinés par le Parlement depuis 2016 entendent pallier ce manque et s’imprègnent à divers degrés des principes et règles européennes[3].

Parmi les points faisant actuellement débat, relevons : la création d'un éventuel régulateur (indépendant et avec un fort pouvoir de sanction, ou intégré à d'autres autorités sans ressources propres) ; le champ d’application de la loi (sectoriel ou horizontal) ; une définition unifiée des données personnelles (plus ou moins englobante selon les moyens d’identification directs ou indirects d’un individu). D'autres sujets de discussion tels que les modalités d’obtention du consentement (explicite ou implicite), la sécurité des données, l'éventuelle transposition du droit européen au déréférencement ou la portabilité des données montrent que le droit brésilien des données personnelles est encore en construction.

Pour façonner ce droit, le Brésil sollicite largement les contributions externes, notamment à travers des consultations formelles de l'écosystème mais aussi en recourant à des experts issus des secteurs académique et privé. Pourtant, lors de tels processus, l’Union européenne se fait remarquer par son absence alors même que le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur le 25 mai prochain et que l'adoption du modèle européen par les partenaires extra-européens tels que le Brésil  est en pratique essentielle à sa bonne applications[4]. Nonobstant cette constatation, nous avons pu constater que le Brésil suit une trajectoire de régulation compatible avec le modèle européen.

D'autres grands pays, comme l'Inde, le Japon ou la Corée du Sud réfléchissent également à l’adoption de cadres de régulation spécifiques, ce qui n'est pas sans poser la question de leur interopérabilité avec le RGPD. Un communiqué de presse de la Commission européenne  mentionne d'ailleurs ces trois pays comme des partenaires privilégiés pour de futures décisions d'adéquation[5]. Dès lors, il est essentiel que les européens s’impliquent localement dans ces processus - non seulement d'un point de vue diplomatique mais également par le biais de leurs entreprises et de leur secteur académique.

Enfin, il est possible de bénéficier de l'expérience brésilienne en terme de protection des données personnelles pour améliorer la mise en œuvre du RGPD : le pays offre des études de cas singulièrement intéressantes pour repérer les formes de régulation les plus effectives ainsi que les pièges à éviter. Le manque d'implication des européens au Brésil, remarqué, mériterait sans doute une attention à la hauteur des enjeux.

Léa Richard, Juriste TIC  et Hugo Zylberberg, membre associé de la Chaire

______________________________________________________________________________

[1] Voir “Stratégie numérique : l’UE et le Brésil renforcent leurs liens grâce à un programme de recherche commun dans le domaine des TIC, doté de 10 millions d’euros”, IP/11/1316, 8 novembre 2011.

[2] On note que l’Uruguay est Partie à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du Conseil de l’Europe (Convention 108) et que le Comité des Ministres (1295ème réunion du 27 septembre 2017) a donné son accord à la demande de l’Argentine d’être invitée à adhérer à cette même Convention. Pour rappel, la Convention 108 adoptée en 1981, ratifiée par 51 pays, est le seul traité international existant sur la protection des données personnelles. Voir : https://www.coe.int/fr/web/conventions/full-list/-/conventions/treaty/108/.

[3] Sur les projets de lois et les points qui font débat, voir “Special Report: Data Protection in Brazil”, InternetLab, accessible ici : http://www.internetlab.org.br/en/data-protection-special/.

[4] Sur l’adoption du modèle européen au-delà de l’Europe, voir Nikolas Ott & Hugo Zylberberg, “A European Perspective on the Protection of Personal Data in Cyberspace”, Kennedy School Review, 14 septembre 2016, accessible ici : http://harvardkennedyschoolreview.com/a-european-perspective-on-the-protection-of-personal-data-in-cyberspace/.

[5] Voir “Digital Single Market – Communication on Exchanging and Protecting Personal Data in a Globalised World Questions and Answers”, MEMO/17/15, 10 janvier 2017.

Commentaires Clos.