Même après tant d'années depuis la mise en œuvre de la Loi Générale sur la Protection des Données (LGPD) au Brésil, de nombreuses entreprises continuent de ne pas respecter la norme. La LGPD, qui est entré en vigueur en septembre 2020, a été créée dans le but de protéger les données personnelles des citoyens brésiliens, établissant des règles claires sur la manière dont les entreprises doivent collecter, stockage et traitement de ces informations. Cependant, malgré le temps écoulé, de nombreuses entreprises ont peu progressé dans la mise en œuvre de la norme.
Récemment, L'Autorité nationale de protection des données (ANPD) a intensifié la surveillance des entreprises qui n'ont pas de délégué à la protection des données, également connu sous le nom de Délégué à la protection des données (DPD). L'absence d'un DPO est l'une des principales infractions identifiées, puisque ce professionnel est essentiel pour garantir que l'entreprise soit en conformité avec la LGPD. Le DPO agit en tant qu'intermédiaire entre l'entreprise, les titulaires des données et l'ANPD, étant responsable de surveiller le respect des politiques de protection des données et de conseiller l'organisation sur les meilleures pratiques.
Et ces données peuvent n'être que la "pointe de l'iceberg". En réalité, personne ne sait quel est le nombre d'entreprises qui n'ont pas encore adhéré à la norme. Il n'existe pas de recensement officiel unique qui consolide les chiffres exacts de toutes les entreprises non conformes à la LGPD Des recherches indépendantes indiquent que, en termes généraux, le pourcentage peut varier entre 60 % et 70 % des entreprises brésiliennes, surtout parmi les petites et moyennes entreprises. Dans le cas des grandes, le nombre est encore plus grand, pouvant atteindre 80%.
Pourquoi l’absence de DPO fait une différence
En 2024, sûrement le Brésil a dépassé le nombre de 700 millions d'attaques de cybercriminels. On estime qu'il y a presque 1.400 coups par minute et, clair, les entreprises sont les principales cibles des criminels. Des crimes comme le ransomware – dans lequel les données deviennent généralement des "otages" et que, afin de ne pas être publiés en ligne, les entreprises doivent payer une énorme somme d'argent, devenus courants. Mais jusqu'à quand le système – les victimes et les assureurs – vont supporter un tel volume d'attaques?
Il n'y a pas de moyen de répondre à cette question de manière appropriée, d'autant plus lorsque les propres victimes cessent de prendre les mesures nécessaires pour protéger les informations. Le manque d'un professionnel axé sur la protection des données ou, dans certaines situations, quand le supposé responsable du domaine cumule tant de fonctions qu'il ne parvient pas à exercer cette activité de manière satisfaisante, aggrave encore plus cette situation.
Il est clair que la désignation d'un responsable, à lui seul, ne résout pas tous les défis d'adéquation, mais montre que l'entreprise est engagée à structurer un ensemble de pratiques cohérentes avec la LGPD. Cependant, cette absence de priorisation ne se traduit pas seulement par la possibilité de sanctions, mais aussi en risques réels d'incidents de sécurité, qui vont engendrer une perte considérable. Les amendes appliquées par l'ANPD ne sont qu'une partie du problème, car les pertes intangibles, comment la confiance du marché, peuvent être encore plus douloureuses. Dans ce panorama, la surveillance plus intense est perçue comme une action nécessaire pour renforcer les mécanismes de conformité à la législation et inciter les organisations à mettre la vie privée des titulaires à l'ordre du jour.
Embaucher un DPO ou externaliser?
Embaucher un DPO à temps plein peut être une tâche compliquée, car il n'y a pas toujours la demande ou l'intérêt d'allouer des ressources internes à cette demande.
Dans ce sens, l'externalisation est considérée comme une solution pour les entreprises qui souhaitent se conformer à la législation de manière efficace, mais n'ont pas une grande structure ni de ressources pour maintenir une équipe multidisciplinaire dédiée à la protection des données. Lorsqu'on fait appel à un prestataire de services spécialisé, l'entreprise accède à des professionnels ayant plus d'expérience pour gérer les exigences de la LGPD dans différents secteurs du marché. De plus, avec un responsable externe, l'entreprise commence à considérer la protection des données comme quelque chose d'intégrée à la stratégie, au lieu d'un problème ponctuel qui ne reçoit de l'attention que lorsqu'une notification arrive ou lorsqu'une fuite se produit.
Cela contribue à la création de processus robustes sans qu'il soit nécessaire d'investir massivement dans le recrutement, formation et rétention des talents. La sous-traitance du responsable des données va au-delà de simplement nommer une personne extérieure. Le prestataire fournit généralement une consultation continue, réalisation d'activités de cartographie et d'analyse des risques, aidant à l'élaboration de politiques internes, conduisant des formations pour les équipes et suivant l'évolution de la législation et des normes de l'ANPD.
De plus, il y a l'avantage de disposer d'une équipe qui a déjà de l'expérience dans des cas pratiques, ce qui réduit la courbe d'apprentissage et aide à prévenir des incidents qui pourraient entraîner des amendes ou nuire à la réputation.
Jusqu'où va la responsabilité du DPO externalisé ?
Il est important de souligner que l'externalisation n'exonère pas l'organisation de ses responsabilités légales. L'idée est que l'entreprise maintienne son engagement à garantir la sécurité des données qu'elle collecte et traite, car la législation brésilienne précise que la responsabilité des incidents ne repose pas uniquement sur le responsable, mais sur l'institution dans son ensemble.
Ce que l'externalisation fait, c'est offrir un soutien professionnalisé, qui comprend les voies nécessaires pour maintenir l'organisation en conformité avec la LGPD. La pratique de déléguer ce type de tâche à un partenaire externe est déjà adoptée dans d'autres pays, où la protection des données est devenue un point critique de gestion des risques et de gouvernance d'entreprise. L'Union européenne, par exemple, avec le Règlement Général sur la Protection des Données, exige que de nombreuses entreprises désignent un responsable de la protection des données. Là, diverses entreprises ont opté pour l'externalisation du service en engageant des cabinets de conseil spécialisés, apportant àcompétencepour "à l'intérieur de la maison", sans avoir besoin de créer tout un département pour cela.
Le responsable, conformément à la législation, il faut avoir l'autonomie pour signaler des défauts et proposer des améliorations, et une partie des directives internationales suggère que le professionnel doit être libre de pressions internes qui limitent sa capacité de contrôle. Les cabinets de conseil qui offrent ce service élaborent des contrats et des méthodologies de travail qui garantissent ce type d'indépendance, en maintenant une communication transparente avec les gestionnaires et en établissant des critères clairs de gouvernance.
Ce mécanisme protège à la fois l'entreprise et le professionnel lui-même, qui doit avoir la liberté d'indiquer des vulnérabilités même si cela va à l'encontre des pratiques établies dans un certain secteur ou département.
L'intensification de la surveillance de l'ANPD est un signe que le climat de tolérance cède la place à une attitude plus ferme, et ceux qui choisiront de ne pas traiter ce problème maintenant pourraient faire face à des conséquences plus graves dans un avenir pas très lointain.
Pour les entreprises qui souhaitent un chemin plus sûr, l'externalisation est un choix capable d'équilibrer le coût, efficacité et fiabilité. Avec ce type de partenariat, il est possible de corriger les lacunes dans l'environnement interne et de structurer une routine de conformité qui protégera l'entreprise à la fois des sanctions et des risques associés à un manque de transparence et de sécurité concernant les données personnelles sous sa responsabilité.
