Transferts de données à l’international - le Brésil reconnu comme offrant un niveau de protection adéquat

Transferts de données à l’international - le Brésil reconnu comme offrant un niveau de protection adéquat

Le Brésil vient d’être reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux traitements de données à caractère personnel. Il s’agit du 15é pays ou territoire extérieur à l’Union européenne à bénéficier de ce statut particulier en matière de flux transfrontières de données personnelles.


Le 26 janvier 2026, la Commission européenne a adopté une nouvelle décision d’adéquation concernant le Brésil. (1) Cette décision a été suivie par la publication, le 27 janvier, d’une décision d’adéquation réciproque par le Brésil. (2)

Ces deux décisions d’adéquation mutuelles permettent désormais aux organismes de transférer des données personnelles vers des destinataires et sous-traitants situés dans l’UE d’une part, et au Brésil d’autre part, sans formalités particulières. (3) Elles portent sur les organismes de droit privé et de droit public. 

On notera que ces décisions ont été adoptées à la suite de la signature des accords entre l’Union européenne et le Mercosur, le 17 janvier 2026 (Partenariat UE Mercosur - EMPA, et Accord intérimaire sur le commerce - ITA).

Les décisions d’adéquation sont accordées par la Commission européenne en application de l’article 45 du Règlement général pour la protection des données (RGPD). Elles font suite à une analyse approfondie de la réglementation du pays tiers sur la protection des données pour évaluer son niveau d’équivalence avec la réglementation européenne. L’analyse va au-delà de l’existence d’une réglementation locale sur la protection des données personnelles et porte non seulement sur l’existence et le fonctionnement effectif d’une autorité de contrôle indépendante, mais également sur l’état de droit dans le pays tiers et sur les engagements internationaux pris par ce pays.

La procédure d’adéquation est organisée en quatre étapes : 1- une proposition d’adéquation émise par la Commission européenne, 2- un avis rendu par le CEPD, 3- un accord des représentants des Etats membres, et 4- l’adoption de la décision d’adéquation par la Commission.

La procédure d’examen préalable peut prendre plusieurs mois, voire plusieurs années, et impliquer des demandes d’adaptation de la réglementation du pays tiers. Toutefois, la décision d’adéquation ne signifie pas que les règles du pays tiers doivent être identiques au RGPD, mais uniquement qu’elles offrent un niveau d’équivalence essentielle.

Le droit à la vie privée et la protection des données personnelles sont des droits fondamentaux reconnus par la constitution brésilienne. Le Brésil a par ailleurs adopté sa loi de protection des données en 2018, suivie de la création d’une autorité de contrôle indépendante, l’agence nationale de protection des données (Agência Nacional de Proteção de Dados - ANPD), l’équivalent de la CNIL. (4)

Les décisions d’adéquation adoptées par la Commission européenne ne sont pas définitives. Afin de s’assurer que la réglementation du pays tiers répond toujours aux critères d’adéquation au droit européen de la protection des données personnelles, les décisions d’adéquation sont régulièrement réexaminées. Au cas où le pays concerné s’éloignerait de ces critères, la décision d’adéquation peut être retirée lors de son réexamen.

Concernant le Brésil, la décision d’adéquation doit être réexaminée par la Commission dans quatre ans.


   Après l’Argentine et l’Uruguay, le Brésil est le troisième pays d’Amérique du Sud à obtenir une décision d’adéquation, sachant que la plupart des pays du continent américain ont adopté ou récemment révisé leurs réglementations en matière de protection des données personnelles, se rapprochant ainsi des standards internationaux de la protection des données. (5)


* * * * * * * * * * *


(1) Décision d’exécution (UE) 2026/179 de la Commission du 26 janvier 2026 constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le Brésil

(2) Resolução CD/ANPD No. 32/2026

(3) Cette décision d’adéquation inclut l’Espace économique européen (EEE), qui compte, en sus des pays membres de l’UE, l’Islande, le Liechtenstein et la Norvège.

(4) Loi brésilienne de protection des données n°13.709 du 14 août 2018 

(5) Voir à ce sujet nos articles relatifs au système Global CBPR : “Le système Global CBPR : un cadre de conformité pour les flux de données transfrontières entre pays non-membres de l’UE” et “Protection des données personnelles : analyse comparative entre le RGPD (UE) et le système Global CBPR


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Février 2026

Retourner à la page des Actualités et Publications

Mots clés :

accessibilité numérique (8) adwords (3) ai (27) anssi (3) arcep (5) arcom (21) audiovisuel (4) audit (4) base de données (4) bitcoin (1) blockchain (8) cbpr (7) cgv (1) chine (1) cjue (1) cloud computing (3) cnil (20) commerce (4) communication (9) compliance (38) confidentialité (3) conformité (22) consommateurs (4) contrat (11) contrefaçon (10) cookies (6) copyright (5) cryptologie (1) csa (1) cybercriminalité (5) cybersquatting (3) data (1) data privacy framework (2) dma (4) données à caractère personnel (21) données personnelles (36) dpf (2) droit d'auteur (11) dsa (10) e-commerce (15) e-consommateurs (1) enfance (6) etats-unis (6) eu (22) europe (21) formation (4) fraude (3) gdpr (32) google (4) hébergeur (5) ia (19) ico (1) informatique (14) informatique et libertés (4) intelligence artificielle (18) internet (36) jeu vidéo (3) liberté d'expression (3) logiciel (13) loi informatique et libertés (5) loi sren (6) marque (3) métavers (3) méthode agile (2) monnaie électronique (1) moteur de recherche (7) nda (1) nft (4) nom de domaine (1) numérique (14) originalité (5) privacy shield (2) propriété intellectuelle (15) protection des données (14) publicité (6) référencement (4) réglementation (13) réseau (2) réseaux sociaux (11) responsabilité (10) responsable du traitement (13) rgpd (26) robotique (7) rpa (6) salariés (4) santé publique (1) sécurité (7) singapour (8) site web (5) us (3) vie privée (23)