Après l’Office européen des brevets, le Brésil bénéficie d’une décision d’adéquation de la Commission européenne

Conformément aux décisions de la Commission européenne, les transferts de données personnelles depuis l'Union européenne vers le Brésil et vers l’Office européen de brevets peuvent s’effectuer sans encadrement spécifique.

Qu’est-ce qu’une décision d’adéquation ?

Une décision d’adéquation est une décision adoptée par la Commission européenne sur la base de l’article 45 du RGPD, qui établit qu’un pays tiers ou une organisation internationale assure un niveau de protection des données adéquat.

La décision d’adéquation a pour effet de permettre le transfert des données personnelles, sans exigences supplémentaires, depuis les organismes européens vers des organismes de pays tiers ou des organisations internationales concernées. La liste des décisions d’adéquation adoptées par la Commission européenne est disponible sur son site web.

Les décisions d’adéquation mutuelles entre le Brésil et l’Union européenne

Dans sa décision, la Commission européenne a constaté que les données transférées au Brésil bénéficient d'un niveau de protection substantiellement équivalent à celui garanti en vertu de la législation de l'Union européenne. En parallèle, le Brésil, par le biais d’une résolution de son autorité de protection des données, l’ANPD, a reconnu que l’Union européenne offre un niveau de protection compatible avec la loi brésilienne de protection des données, la LGPD.

Saisi par la Commission européenne le 5 septembre 2025, le CEPD devait évaluer, dans son avis, si le cadre juridique brésilien en matière de protection des données et les règles encadrant l’accès des autorités publiques aux données transférées depuis l’Europe offrent des garanties essentiellement équivalentes à celles prévues par le droit de l’Union.

Le 4 novembre 2025, le CEPD avait adopté à l’unanimité son avis concernant le projet de décision d'adéquation de la Commission européenne pour le Brésil.

Le CEPD saluait l’étroite convergence entre la législation brésilienne et le RGPD, ainsi que la cohérence avec la jurisprudence de la Cour de justice de l’Union européenne (CJUE). Le CEPD constate également que les garanties prévues par le cadre juridique brésilien sont, dans l’ensemble, effectives et opérationnelles.

Le CEPD invitait toutefois la Commission européenne à apporter des clarifications et à assurer un suivi particulier sur certains aspects de la loi brésilienne, notamment :

• l’obligation de réalisation des analyses d’impact relatives à la protection des données (AIPD)
• les potentielles limitations à la transparence liées au secret commercial et industriel ;
• les règles encadrant les transferts ultérieurs de données.

Par ailleurs, le Comité notait que la loi brésilienne sur la protection des données ne s’appliquait pas, en principe, au traitement de données effectué par les autorités publiques pour des finalités exclusives de sécurité publique, de défense nationale, de sécurité de l’État ou d’enquêtes et de poursuites pénales.

Cependant, le CEPD saluait le fait que la loi soit partiellement applicable au traitement des données dans le cadre d’enquêtes criminelles et du maintien de l’ordre public, conformément à la jurisprudence du tribunal suprême fédéral du Brésil.

La décision d’adéquation pour l’Office européen des brevets

En juillet 2025, la Commission européenne avait également prononcé une décision d’adéquation pour l’Office européen des brevets (OEB). Il s’agissait de la première décision d’adéquation concernant une organisation internationale et non un pays ou un territoire.

À la demande de la Commission européenne, le CEPD avait également rendu un avis sur le projet de décision d’adéquation. Dans son avis, le CEPD notait que le cadre de protection des données de l’OEB était largement aligné sur le cadre de protection des données de l’Union européenne, y compris en ce qui concerne les droits de personnes concernées et les principes généraux.