La structure de la LGPD en 2026

La LGPD est la loi principale de protection des données au Brésil, et son texte central est resté remarquablement stable depuis son adoption. Ce qui a changé, c'est l'infrastructure réglementaire qui l'entoure.

L'ANPD en tant que régulateur mature

L'ANPD est devenue pleinement opérationnelle en 2021 et a consacré ses trois premières années à construire une capacité procédurale, à émettre des lignes directrices et à mener des consultations. En 2024, elle était passée à une application active, et en 2025, elle avait infligé certaines de ses premières sanctions administratives significatives, notamment contre des plateformes étrangères. La posture de l'agence en 2026 est plus proche de ses homologues européens que de sa période antérieure de supervision légère.

La réglementation sur les transferts transfrontaliers de 2026

Le développement réglementaire le plus important pour les éditeurs étrangers a été la réglementation sur les transferts internationaux de l'ANPD, finalisée fin 2025 et entrée en vigueur en 2026. La réglementation introduit un cadre d'adéquation, des clauses contractuelles types approuvées par l'ANPD, des règles d'entreprise contraignantes et des certifications, tous fonctionnant de manière analogue aux mécanismes du Chapitre V du GDPR. Avant cette réglementation, les transferts transfrontaliers fonctionnaient sous un ensemble de règles beaucoup plus vague que les éditeurs et les fournisseurs ad-tech naviguaient généralement via des arrangements commerciaux bilatéraux. Le régime 2026 est substantiellement plus praticable mais substantiellement plus exigeant en matière de documentation.

Qui est réglementé

La LGPD s'applique de manière extraterritoriale. Tout responsable du traitement qui traite des données personnelles d'individus situés au Brésil au moment de la collecte, ou qui traite des données collectées au Brésil indépendamment du lieu de traitement, est dans le champ d'application. Les éditeurs étrangers desservant des utilisateurs brésiliens via des sites localisés ou un inventaire programmatique acheté contre des IP brésiliennes sont clairement à portée, et l'ANPD a invoqué la disposition extraterritoriale dans plusieurs affaires en 2025.

Ce qui compte comme données personnelles sous la LGPD

La définition des données personnelles de la LGPD est large et suit étroitement le GDPR. Les données personnelles sont des informations relatives à une personne physique identifiée ou identifiable, et l'ANPD a systématiquement traité les cookies, les identifiants publicitaires, les adresses IP, les empreintes numériques des appareils et les profils comportementaux comme des données personnelles lorsqu'ils peuvent être liés à un individu directement ou par des moyens raisonnables.

Données personnelles sensibles

La LGPD désigne une large liste de catégories sensibles : origine raciale ou ethnique, croyance religieuse, opinion politique, appartenance à un syndicat ou une organisation politique, convictions philosophiques ou religieuses, santé, vie sexuelle, données génétiques et données biométriques lorsqu'elles sont utilisées à des fins d'identification unique. Le traitement de données personnelles sensibles déclenche des exigences de consentement plus strictes et des obligations supplémentaires du responsable du traitement.

Pourquoi cela importe pour les cookies

Un cookie qui stocke un identifiant de session ordinaire est une donnée personnelle ordinaire. Un cookie qui alimente un segment d'audience touchant la liste sensible de la LGPD — centres d'intérêt liés à la santé, affiliations religieuses, orientations politiques — constitue un traitement de données personnelles sensibles et requiert le flux de consentement renforcé, et non le consentement publicitaire général. Les éditeurs qui gèrent des segments d'audience qui se recoupent avec la liste sensible devraient auditer leurs flux de consentement spécifiquement par rapport à cette frontière.

Le consentement aux cookies sous la LGPD en 2026

La LGPD autorise plusieurs bases légales pour le traitement, mais pour les cookies et les technologies similaires qui ne sont pas strictement nécessaires à la fourniture du service, les orientations et l'application de l'ANPD ont convergé vers le consentement comme ligne de base pratique.

Les cinq éléments d'un consentement valide

Le consentement sous la LGPD doit être :

• Libre — donné sans coercition et non conditionné à la fourniture d'un service auquel l'utilisateur a par ailleurs droit
• Éclairé — la personne concernée comprend quelles données sont traitées, par qui, dans quel but et avec quelles conséquences
• Sans ambiguïté — exprimé par un acte positif clair, non déduit du silence, de cases pré-cochées ou du défilement comme consentement
• Spécifique — lié à des finalités clairement identifiées plutôt qu'à un consentement général parapluie
• En évidence dans les cas impliquant des données sensibles, avec un consentement explicite et séparé pour le traitement sensible spécifique

À quoi ressemble une CMP conforme

Une CMP configurée pour le trafic brésilien en 2026 devrait présenter :

• Une bannière visible avant qu'un cookie ou traceur non essentiel ne se déclenche, en portugais (Português) par défaut pour les utilisateurs brésiliens
• Une visibilité visuelle égale pour Aceitar (Accepter), Recusar (Refuser) et Personalizar (Personnaliser) — l'ANPD a spécifiquement ciblé les conceptions de bannières où l'action Recusar est moins visible
• Des boutons granulaires par finalité : analytics, publicité, personnalisation, transfert transfrontalier, et tout traitement de catégorie sensible
• Un flux séparé et clairement étiqueté pour le traitement des données personnelles sensibles, protégé par sa propre action
• Un mécanisme persistant et facilement trouvable pour retirer le consentement après le choix initial
• Un Aviso de Privacidade en portugais avec toutes les divulgations du responsable du traitement, des sous-traitants, des finalités, des destinataires, de la conservation et des droits

Registres de consentement

Les responsables du traitement doivent conserver la preuve du consentement — qui a consenti, quand, à quelle finalité et via quelle interface. L'ANPD a cité des registres de consentement inadéquats dans plusieurs actions d'application, et des journaux horodatés exportables constituent l'attente de base.

Le régime des transferts transfrontaliers de 2026

C'est le domaine où 2026 semble significativement différent de 2024. La réglementation sur les transferts internationaux de l'ANPD est entrée en vigueur au début de l'année, et les éditeurs étrangers absorbent encore ses implications pratiques.

Les nouveaux mécanismes de transfert

La réglementation prévoit quatre voies principales pour un transfert transfrontalier légitime :

• Des décisions d'adéquation émises par l'ANPD reconnaissant les juridictions ou secteurs de destination comme offrant une protection adéquate
• Des clauses contractuelles types approuvées par l'ANPD, fonctionnant de manière analogue aux SCC du GDPR
• Des règles d'entreprise contraignantes pour les transferts intra-groupe au sein d'organisations multinationales
• Une autorisation spécifique pour les transferts qui ne correspondent pas aux voies standard, au cas par cas

L'approche pratique 2026

Pour la plupart des éditeurs étrangers, l'approche opérationnelle en 2026 consiste à exécuter des clauses contractuelles types approuvées par l'ANPD avec des sous-traitants internationaux, à documenter le mécanisme de transfert dans l'avis de confidentialité, et à compléter par une autorisation basée sur le consentement uniquement là où le mécanisme standard ne convient pas. C'est significativement plus simple que le régime pré-2026, qui reposait souvent sur une logique de consentement par transfert produisant des CMP ingérables.

Décisions d'adéquation à ce jour

L'ANPD a émis des décisions d'adéquation pour une poignée de juridictions jusqu'au début de 2026 et devrait progressivement élargir la liste. Les États-Unis ne figurent pas sur la liste d'adéquation au début de 2026, ce qui signifie que les transferts vers des fournisseurs américains d'ad-tech et d'analytics nécessitent des clauses contractuelles ou un autre mécanisme valide.

Droits de la personne concernée

La LGPD accorde un ensemble robuste de droits, appliqués à travers le cadre brésilien :

• Droit à la confirmation du traitement
• Droit d'accès aux données traitées
• Droit à la rectification de données incomplètes, inexactes ou périmées
• Droit à l'anonymisation, au blocage ou à la suppression de données inutiles, excessives ou traitées illégalement
• Droit à la portabilité des données vers un autre prestataire de services
• Droit à la suppression des données traitées sur la base du consentement
• Droit à l'information sur les entités publiques et privées avec lesquelles les données ont été partagées
• Droit à l'information sur la possibilité de refuser le consentement et les conséquences du refus
• Droit de révoquer le consentement
• Droit de s'opposer au traitement effectué sur la base de l'une des bases d'intérêts légitimes lorsqu'il y a non-conformité
• Droit à l'examen des décisions prises uniquement sur la base d'un traitement automatisé

Délais de réponse

Les responsables du traitement doivent répondre aux demandes des personnes concernées dans un délai de 15 jours en vertu de la réglementation, avec la possibilité de prolonger dans des cas justifiés. C'est plus strict que la fenêtre de 30 jours du GDPR et constitue un écart opérationnel récurrent pour les éditeurs étrangers calés sur la cadence européenne.

Sanctions et posture d'application en 2026

L'activité d'application de l'ANPD s'est significativement intensifiée au cours de 2024 et 2025, et 2026 suit une trajectoire similaire.

Amendes administratives

La LGPD autorise des amendes administratives allant jusqu'à 2 % du chiffre d'affaires du responsable du traitement tiré de son activité au Brésil au cours de l'exercice fiscal précédent, plafonnées à BRL 50 millions par infraction. L'ANPD a utilisé le milieu de la fourchette dans plusieurs affaires en 2025, notamment contre des plateformes étrangères, et la méthodologie de pénalité de l'agence a été publiée en 2024 et est désormais appliquée de manière cohérente.

Autres sanctions

Au-delà des amendes, l'ANPD peut émettre des avertissements, exiger des mesures correctives, suspendre partiellement ou totalement les activités de traitement, et interdire des opérations de traitement spécifiques. La publication de la violation est une sanction d'accompagnement habituelle et a un poids réputationnel sur le marché brésilien.

Thèmes d'application

Les actions de l'ANPD en 2025 et début 2026 se concentrent autour de problèmes récurrents : des bannières de consentement ambiguës ou absentes, l'absence d'un avis de confidentialité en portugais, des transferts transfrontaliers sans mécanisme valide au titre de la nouvelle réglementation, et l'échec à répondre aux demandes des personnes concernées dans la fenêtre de 15 jours. Les éditeurs étrangers ont été cités dans les quatre catégories.

L'exigence du DPO

La LGPD exige des responsables du traitement qu'ils désignent un délégué à la protection des données (Encarregado de Tratamento de Dados Pessoais) et publient les coordonnées du DPO. Les responsables du traitement étrangers qui traitent des données brésiliennes à grande échelle ont besoin d'un DPO désigné, et les coordonnées doivent être facilement accessibles dans l'avis de confidentialité. L'ANPD a cité des coordonnées de DPO manquantes ou inaccessibles dans plusieurs courriers d'application.

Liste de contrôle d'audit pour le trafic brésilien en 2026

• La bannière CMP est servie en portugais avec Aceitar, Recusar et Personalizar à une visibilité visuelle égale
• Les finalités du consentement sont granulaires et isolent tout traitement de catégorie sensible derrière son propre flux de consentement
• L'avis de confidentialité (Aviso de Privacidade) est disponible en portugais avec les divulgations complètes du responsable du traitement, des sous-traitants, des finalités, de la conservation, des droits et des coordonnées du DPO
• Les transferts transfrontaliers s'appuient sur des clauses contractuelles types approuvées par l'ANPD, une décision d'adéquation, des BCR ou une autorisation spécifique — non sur la logique héritée de consentement par transfert
• Les journaux de consentement sont horodatés, exportables et conservés pendant la durée du traitement plus une marge auditable
• Le flux de traitement des demandes des personnes concernées peut répondre dans les 15 jours de bout en bout, en portugais
• Le DPO est désigné et ses coordonnées sont publiées dans l'avis de confidentialité
• La liste des fournisseurs a été revue pour en vérifier la nécessité, avec suppression des fournisseurs inutilisés ou redondants pour réduire la surface de transfert transfrontalier
• Les segments d'audience de catégorie sensible sont protégés derrière un consentement explicite et capturé séparément

Les perspectives 2026

Le régime de protection des données du Brésil est passé d'une loi bien rédigée à application limitée à l'un des régimes les plus exigeants des Amériques. La réglementation sur les transferts transfrontaliers de 2026 a comblé le plus important écart structurel, et la posture d'application de l'ANPD a rattrapé les ambitions de la loi. Pour les éditeurs qui gèrent déjà une infrastructure de consentement de niveau GDPR, l'écart vers la conformité LGPD est opérationnel plutôt qu'architectural : CMP et avis en portugais, mécanismes de transfert approuvés par l'ANPD, cadence de réponse de 15 jours, désignation du DPO et attention à la liste plus large des données sensibles. L'écart peut être comblé en quelques semaines s'il est priorisé — et le Brésil est le plus grand marché unique d'Amérique latine, de sorte que la priorisation rapporte généralement rapidement. Les éditeurs qui ont traité le Brésil comme un marché plus léger jusqu'en 2024 trouvent 2026 significativement plus coûteux, et ceux qui tardent davantage trouveront 2027 encore pire.