Adéquation du Brésil : le CEPD adopte son avis
07 novembre 2025
Le 4 novembre 2025, le Comité européen de la protection des données (CEPD) a adopté son avis concernant le projet de décision d'adéquation de la Commission européenne pour le Brésil en vertu du règlement général sur la protection des données (RGPD).
Le 4 novembre 2025, le CEPD a adopté à l’unanimité son avis concernant le projet de décision d'adéquation de la Commission européenne pour le Brésil.
Une décision d’adéquation est une décision adoptée par la Commission européenne sur la base de l’article 45 du RGPD, qui établit qu’un pays tiers ou une organisation internationale assure un niveau de protection des données adéquat.
La décision d’adéquation a pour effet de permettre le transfert des données personnelles, sans exigences supplémentaires, depuis les organismes européens vers des organismes de pays tiers ou des organisations internationales concernées. La liste des décisions d’adéquation adoptées par la Commission européenne est disponible sur son site web.
Un cadre juridique brésilien largement aligné sur les normes européennes
Saisi par la Commission européenne le 5 septembre 2025, le CEPD a évalué dans son avis si le cadre juridique brésilien en matière de protection des données et les règles encadrant l’accès des autorités publiques aux données transférées depuis l’Europe offrent des garanties essentiellement équivalentes à celles prévues par le droit de l’Union.
Le Comité salue l’étroite convergence entre la législation brésilienne et le RGPD, ainsi que la cohérence avec la jurisprudence de la (CJUE). Le CEPD constate également que les garanties prévues par le cadre juridique brésilien sont, dans l’ensemble, effectives et opérationnelles.
Le CEPD invite la Commission européenne à apporter des clarifications et à assurer un suivi particulier sur certains aspects de la loi brésilienne, notamment :
- l’obligation de réalisation des analyses d’impact relatives à la protection des données (AIPD) ;
- les potentielles limitations à la transparence liées au secret commercial et industriel ;
- les règles encadrant les transferts ultérieurs de données.
Par ailleurs, le Comité note que la loi brésilienne sur la protection des données ne s’applique pas, en principe, au traitement de données effectué par les autorités publiques pour des finalités exclusives de sécurité publique, de défense nationale, de sécurité de l’État ou d’enquêtes et de poursuites pénales.
Cependant, le CEPD salue le fait que la loi soit partiellement applicable au traitement des données dans le cadre d’enquêtes criminelles et du maintien de l’ordre public, conformément à la jurisprudence du Tribunal suprême fédéral du Brésil.
Les projets de décisions d’adéquation de la Commission européenne doivent désormais faire l’objet d’un examen par un comité de représentants des États membres.
Textes de référence
- Opinion 28/2025 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data by Brazil [en anglais]- CEPD
- Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 - Eur-Lex
- Le règlement européen sur la protection des données
