Même après tant d’années depuis la mise en œuvre de la loi générale sur la protection des données (LGPD) au Brésil, de nombreuses entreprises continuent de ne pas se conformer à la règle. La LGPD, entrée en vigueur en septembre 2020, a été créée dans le but de protéger les données personnelles des citoyens brésiliens, en établissant des règles claires sur la manière dont les entreprises doivent collecter, stocker et traiter ces informations. Cependant, malgré le temps qui s’est écoulé, de nombreuses entreprises ont fait peu de progrès dans la mise en œuvre de la norme.
Récemment, l'Autorité nationale de protection des données (ANPD) a intensifié sa surveillance des entreprises qui ne disposent pas d'un gestionnaire de données, également appelé délégué à la protection des données (DPO). L’absence de DPO est l’une des principales infractions identifiées, car ce professionnel est essentiel pour garantir que l’entreprise est en conformité avec la LGPD. Le DPO agit en tant qu'intermédiaire entre l'entreprise, les personnes concernées et l'ANPD, étant chargé de surveiller le respect des politiques de protection des données et de guider l'organisation sur les meilleures pratiques.
Et ces données ne sont peut-être que la « pointe de l’iceberg ». En réalité, personne ne sait combien d’entreprises n’ont pas encore adopté la norme. Il n'existe pas d'enquête officielle unique recensant le nombre exact d'entreprises non conformes à la LGPD. Des recherches indépendantes indiquent que, de manière générale, ce pourcentage varie entre 60 % et 70 % des entreprises brésiliennes, notamment parmi les PME. Dans le cas des grandes entreprises, le chiffre est encore plus élevé, atteignant 80 %.
Pourquoi l’absence de DPO fait une différence
En 2024, le Brésil dépassera sûrement le nombre de 700 millions d’attaques cybercriminelles. On estime que près de 1 400 escroqueries se produisent chaque minute et, bien entendu, les entreprises sont les principales cibles des criminels. Les crimes tels que les rançongiciels – dans lesquels les données sont souvent retenues « en otage » et les entreprises doivent payer une somme d’argent énorme pour empêcher leur publication en ligne – sont devenus monnaie courante. Mais combien de temps le système – victimes et assureurs – sera-t-il capable de résister à un tel volume d’attaques ?
Il n’existe aucun moyen de répondre de manière appropriée à cette question, surtout lorsque les victimes elles-mêmes ne prennent pas les mesures nécessaires pour protéger les informations. L’absence d’un professionnel axé sur la protection des données ou, dans certaines situations, lorsque la personne supposément responsable du domaine accumule tellement de fonctions qu’elle est incapable d’exercer cette activité de manière satisfaisante, rend cette situation encore pire.
Bien sûr, désigner un responsable ne résout pas en soi tous les enjeux de conformité, mais cela montre que l’entreprise s’engage à structurer un ensemble de pratiques cohérentes avec la LGPD. Cependant, ce manque de priorisation ne reflète pas seulement la possibilité de sanctions, mais aussi le risque réel d’incidents de sécurité, qui généreront des pertes considérables. Les amendes imposées par l’ANPD ne sont qu’une partie du problème, car les pertes intangibles, comme la confiance du marché, peuvent être encore plus douloureuses. Dans ce scénario, une surveillance plus intense est considérée comme une mesure nécessaire pour renforcer les mécanismes de conformité à la législation et encourager les organisations à mettre la confidentialité des personnes concernées à l’ordre du jour.
Engager un DPO ou externaliser ?
Embaucher un DPO à temps plein peut être une tâche compliquée, car il n’y a pas toujours de demande ou d’intérêt à allouer des ressources internes à cette demande.
Dans ce sens, l’externalisation a été identifiée comme une solution pour les entreprises qui souhaitent se conformer efficacement à la législation, mais qui ne disposent pas d’une grande structure ou de ressources pour maintenir une équipe multidisciplinaire axée sur la protection des données. En faisant appel à un prestataire de services spécialisé, l’entreprise a accès à des professionnels qui ont plus d’expérience dans le traitement des exigences LGPD dans différents secteurs du marché. De plus, avec une personne externe en charge, l’entreprise commence à considérer la protection des données comme quelque chose d’intégré à la stratégie, plutôt que comme un problème ponctuel qui ne reçoit l’attention que lorsqu’une notification arrive ou lorsqu’une fuite se produit.
Cela contribue à la création de processus robustes sans nécessiter d’investissements importants dans le recrutement, la formation et la rétention des talents. L’externalisation du responsable des données va au-delà de la simple nomination d’une personne extérieure. Le prestataire fournit généralement des conseils continus, en effectuant des activités de cartographie et d'analyse des risques, en aidant à l'élaboration de politiques internes, en organisant des formations pour les équipes et en suivant l'évolution de la législation et de la réglementation ANPD.
De plus, il y a l’avantage de disposer d’une équipe qui a déjà de l’expérience dans des cas pratiques, ce qui réduit la courbe d’apprentissage et aide à prévenir les incidents qui pourraient générer des amendes ou nuire à la réputation.
Jusqu'où va la responsabilité du DPO externalisé ?
Il est important de souligner que l’externalisation n’exempte pas l’organisation de ses responsabilités légales. L'idée est que l'entreprise maintienne son engagement à garantir la sécurité des données qu'elle collecte et traite, car la législation brésilienne précise que la responsabilité des incidents n'incombe pas uniquement au responsable, mais à l'institution dans son ensemble.
L'externalisation offre un soutien professionnel, qui comprend les chemins nécessaires pour maintenir l'organisation en conformité avec la LGPD. La pratique de déléguer ce type de tâche à un partenaire externe est déjà adoptée dans d’autres pays, où la protection des données est devenue un point critique de la gestion des risques et de la gouvernance d’entreprise. L’Union européenne, par exemple, avec le règlement général sur la protection des données, oblige de nombreuses entreprises à nommer un délégué à la protection des données. Là, plusieurs entreprises ont choisi d'externaliser le service en embauchant des consultants spécialisés, apportant ainsi lacompétencepour « en interne », sans avoir à créer un département entier pour cela.
Le responsable, selon la législation, doit avoir l'autonomie nécessaire pour signaler les défaillances et proposer des améliorations, et une partie des directives internationales suggère que le professionnel doit être libre de pressions internes qui limitent sa capacité d'inspection. Les cabinets de conseil qui offrent ce service élaborent des contrats et des méthodologies de travail qui garantissent ce type d’indépendance, en maintenant une communication transparente avec les gestionnaires et en établissant des critères de gouvernance clairs.
Ce mécanisme protège à la fois l’entreprise et le professionnel, qui doit avoir la liberté d’indiquer ses vulnérabilités même si cela va à l’encontre des pratiques consolidées au sein d’un secteur ou d’un département donné.
L’intensification de la surveillance de l’ANPD est un signe que le scénario de tolérance cède la place à une position plus ferme, et ceux qui choisissent de ne pas s’attaquer à ce problème maintenant pourraient faire face à des conséquences plus lourdes dans un avenir pas trop lointain.
Pour les entreprises qui souhaitent une voie plus sûre, l’externalisation est un choix capable d’équilibrer coût, efficacité et fiabilité. Avec ce type de partenariat, il est possible de corriger les lacunes de l’environnement interne et de structurer une routine de conformité qui protégera l’entreprise à la fois des sanctions et des risques liés au manque de transparence et de sécurité par rapport aux données personnelles sous sa responsabilité.
