EDPB – Opinion 28/2025 sur l’adéquation RGPD du Brésil : points saillants, réserves et impacts pour les transferts de données

Contexte et portée de l’avis

Le Comité européen de la protection des données (EDPB) a publié l’Opinion 28/2025 relative au projet de décision d’exécution de la Commission européenne constatant le niveau adéquat de protection des données personnelles assuré par le Brésil, au sens du Règlement (UE) 2016/679 (RGPD). Cet avis, rendu au titre de l’article 70 RGPD, évalue de manière détaillée le cadre juridique brésilien en matière de protection des données, son application pratique et ses garanties effectives, afin d’éclairer la Commission avant l’adoption éventuelle d’une décision d’adéquation.

Pour les responsables de traitement et sous-traitants établis dans l’EEE, une décision d’adéquation permettrait des transferts de données personnelles vers le Brésil sans recourir à des mécanismes de l’article 46 RGPD (clauses contractuelles types, BCR, etc.). L’avis de l’EDPB n’est pas juridiquement contraignant, mais il est déterminant pour l’appréciation de la Commission et pour l’interprétation par les autorités de contrôle (notamment la CNIL) et les juridictions de l’Union.

Cadre brésilien analysé par l’EDPB

L’EDPB examine la Lei Geral de Proteção de Dados (LGPD), ses décrets d’application, la gouvernance et les pouvoirs de l’Autoridade Nacional de Proteção de Dados (ANPD), ainsi que l’écosystème plus large (Constitution fédérale, Code civil, droit de la consommation, législations sectorielles). L’analyse couvre :

• les principes, bases légales et droits des personnes,
• les obligations des responsables et sous-traitants,
• les transferts internationaux,
• la surveillance, l’exécution et les voies de recours,
• l’accès des autorités publiques, y compris à des fins de sécurité nationale et de répression pénale.

Convergences et divergences avec le RGPD

L’EDPB relève d’importantes convergences entre la LGPD et le RGPD, notamment sur les principes de licéité, loyauté, transparence, minimisation, exactitude et limitation de la conservation. Les bases légales brésiliennes comportent des équivalents fonctionnels au consentement, à l’exécution contractuelle, à l’obligation légale et à l’intérêt légitime, bien que leur périmètre et leur interprétation puissent différer.

En matière de droits, la LGPD prévoit l’accès, la rectification, l’anonymisation/bloque/effacement, la portabilité, l’information sur le partage et la révocation du consentement. L’EDPB s’intéresse aux modalités d’exercice, aux exceptions et aux délais de réponse, afin d’apprécier l’effectivité.

Côté gouvernance, l’ANPD a progressivement consolidé ses pouvoirs réglementaires et de sanction. L’EDPB évalue l’indépendance fonctionnelle, les ressources, les mécanismes de coopération et la capacité à imposer des mesures correctrices effectives et dissuasives.

Accès des autorités publiques et équivalents aux garanties de l’UE

Conformément à la jurisprudence de la Cour de justice de l’UE (Schrems I et II), l’EDPB attache un poids particulier aux régimes d’accès des autorités publiques brésiliennes aux données (sécurité nationale, renseignement, répression). L’avis examine : la base légale, la nécessité et proportionnalité des ingérences, les contrôles indépendants, la transparence, ainsi que l’existence de voies de recours effectives et accessibles pour les personnes concernées, y compris les non-résidents.

La présence de garanties suffisantes, de mécanismes de supervision et de voies de recours comparables, en substance, à celles requises dans l’UE constitue un prérequis pour une décision d’adéquation. L’EDPB identifie les garanties formelles et pratiques et signale les points à surveiller.

Transferts et mécanismes organisationnels

Si l’adéquation est adoptée, les transferts vers des destinataires au Brésil n’exigeraient plus de Clauses Contractuelles Types (CCT) ou d’outils alternatifs pour la majorité des cas. Toutefois, les obligations de responsabilisation (accountability) subsistent : cartographie, information, analyses d’impact (le cas échéant), tenue des registres et vérification de la licéité initiale du traitement. Les cas particuliers (ex. transferts ultérieurs depuis le Brésil vers des pays tiers non adéquats) doivent être encadrés contractuellement et contrôlés au titre de la chaîne de sous-traitance.

Réserves et recommandations de l’EDPB

L’EDPB formule habituellement des recommandations avant l’adoption d’une décision d’adéquation définitive. Concernant le Brésil, les points typiques de vigilance portent sur :

• la clarification et la limitation des bases légales les plus larges (notamment l’intérêt légitime),
• la portée des exceptions aux droits,
• la robustesse des pouvoirs et de l’indépendance de l’ANPD,
• la granularité des exigences de transparence,
• les garanties en matière d’accès par les autorités publiques, y compris les mécanismes de contrôle et de recours.

L’EDPB invite la Commission à intégrer des engagements de suivi, des clauses de réexamen périodique et, le cas échéant, des conditions spécifiques ou des limites lorsqu’une incertitude substantielle subsiste.

Impacts pour les acteurs européens

Pour les groupes exposés au Brésil (services B2C, SaaS, fintech, industrie, santé), l’adéquation faciliterait les flux transfrontières et allégerait la charge documentaire. Néanmoins, les responsables de traitement devraient :

• mettre à jour leurs registres pour caractériser les transferts vers « pays adéquat »,
• réviser les clauses de transferts dans les contrats et les politiques internes,
• ajuster les évaluations de transferts (TIA) et DPIA pour tenir compte du nouveau référentiel,
• contrôler les transferts ultérieurs réalisés par des partenaires brésiliens.

Gouvernance, contrôle et enforcement

L’EDPB évalue la capacité de l’ANPD à détecter et sanctionner les violations, la gradation des mesures (avertissements, amendes, publicisation des infractions, suspension ou interdiction du traitement), ainsi que les recours judiciaires. La coopération internationale et la mise en œuvre effective des lignes directrices sont des facteurs clés de confiance pour l’équivalence de protection.

Feuille de route opérationnelle

Dans l’hypothèse d’une adoption de la décision d’adéquation, les directions de la conformité et de la protection des données peuvent planifier un programme en deux temps : une phase d’alignement documentaire (cartographie, contrats, mentions), puis une phase de contrôle de la chaîne de sous-traitance brésilienne (audits, KPIs, clauses de transferts ultérieurs, gestion des demandes d’exécution par les autorités).

Conclusion

L’Opinion 28/2025 de l’EDPB est une étape structurante vers une éventuelle décision d’adéquation Brésil–UE au sens du RGPD. Elle confirme la maturité croissante du cadre brésilien (LGPD, ANPD), tout en rappelant des exigences élevées en matière de garanties effectives, notamment sur l’accès des autorités publiques et les voies de recours. Les Compliance et DPO doivent anticiper les mises à jour de leurs référentiels de transferts et prévoir des contrôles renforcés des transferts ultérieurs.

Quelques pistes pour l’intégration opérationnelle dans votre dispositif :

• Mettre à jour le registre des traitements et la cartographie des flux pour qualifier le Brésil comme « pays adéquat » dès l’adoption.
• Réviser les contrats et politiques internes pour retirer les CCT devenues non nécessaires et encadrer strictement les transferts ultérieurs.
• Adapter DPIA/TIA et matrices de risque pour refléter l’adéquation et les risques résiduels (accès public, recours, surveillance).
• Définir des contrôles fournisseurs au Brésil (audits, KPIs, clauses d’alerte et de coopération avec l’ANPD).
• Préparer une communication transparente aux personnes concernées sur les flux vers le Brésil et les garanties applicables.