Une fuite de données historique au Brésil : 220 millions de personnes touchées, soit plus que la population du pays

27/04/2021

Une fuite de données historique au Brésil : 220 millions de personnes touchées, soit plus que la population du pays

En janvier 2021, le Brésil a connu ce qui pourrait être sa jusqu’à présent, concernant les données de plus de 220 millions de personnes et 40 millions d’entreprises. Le montant de données détournées est au dessus du total d’habitants du Brésil.

La fuite aurait exposé les numéros d’identification personnels (CPF), les dates de naissance et les noms et pre-noms de la quasi-totalité de la population brésilienne, mais aussi les adresses, photos d’identité, profil de crédit, revenus et autres informations financières, la déclaration d’impôt sur le revenu des particuliers, les abonnements aux services téléphoniques, les informations sur la scolarité, les payements des cotisation sociales, des données relatives aux fonctionnaires et des informations LinkedIn.

À ce stade, nous ne savons toujours pas qui est responsable de la fuite. Les agences de protection des consommateurs, comme Procon et Senacon, sont déjà intervenues et demandent des précisions à Serasa Experian (une société fournissant des services d’information et de données), qui a assuré que la fuite ne provenait pas de ses bases. Le Barreau Brésilien (L’Ordre des Avocats du Brésil – OAB) a par ailleurs demandé à l’ANPD de réaliser une enquête et de se prononcer sur ces évènements, ce qu’elle n’a pas encore fait.

Rappelons que Serasa Experian a été mis en cause dans un certain nombre d’incidents récents pour la commercialisation présumée de données personnelles. Lors du premier d’entre eux, un tribunal à Brasilia leur a ordonné de cesser de vendre des données personnelles de consommateurs, sous peine dune amende journalière.

Dans cette affaire, le procureur a fait valoir que les activités de cette société enfreignent la LGPD (loi brésilienne sur la protection des données). Il leur est reproché de vendre des informations de profil personnel (y compris sous forme de forfait, à partir de 1 BRL par individu) à des entreprises désireuses de prospecter de nouveaux clients. Elle serait ainsi impliquée dans le commerce des données personnelles de plus de 150 millions de Brésiliens, comme le nom, le numéro d’identification personnel (CPF), le numéro de téléphone, la localisation, le profil financier, le pouvoir d’achat et la classe sociale.

Le procureur qui a intenté le procès estime que ces pratiques enfreignent également d’autres lois, telles que le Code Civil brésilien, le Code de la Consommation et le Cadre des droits civils de l’Internet au Brésil.

Il est clair qu’en pratique le pouvoir judiciaire brésilien est d’ores et déjà confronté à un chevauchement important entre les questions de protection des données et de la vie privée, la protection des consommateurs et le droit du travail, ainsi que d’autres sujets considérés comme relevant de l’intérêt public. À ce jour, cependant, les procès de ce type ont eu des résultats mitigés, contribuant à entretenir un flou juridique et renforçant le besoin de normes plus claires en matière de protection des données et de la vie privée.

Pour approfondir la discussion sur ces sujets, merci de prendre contact avec notre équipe de Technologie, Cybersécurité et Protection des données.

En janvier 2021, le Brésil a connu ce qui pourrait être sa jusqu’à présent, concernant les données de plus de 220 millions de personnes et 40 millions d’entreprises. Le montant de données détournées est au dessus du total d’habitants du Brésil.

La fuite aurait exposé les numéros d’identification personnels (CPF), les dates de naissance et les noms et pre-noms de la quasi-totalité de la population brésilienne, mais aussi les adresses, photos d’identité, profil de crédit, revenus et autres informations financières, la déclaration d’impôt sur le revenu des particuliers, les abonnements aux services téléphoniques, les informations sur la scolarité, les payements des cotisation sociales, des données relatives aux fonctionnaires et des informations LinkedIn.

À ce stade, nous ne savons toujours pas qui est responsable de la fuite. Les agences de protection des consommateurs, comme Procon et Senacon, sont déjà intervenues et demandent des précisions à Serasa Experian (une société fournissant des services d’information et de données), qui a assuré que la fuite ne provenait pas de ses bases. Le Barreau Brésilien (L’Ordre des Avocats du Brésil – OAB) a par ailleurs demandé à l’ANPD de réaliser une enquête et de se prononcer sur ces évènements, ce qu’elle n’a pas encore fait.

Rappelons que Serasa Experian a été mis en cause dans un certain nombre d’incidents récents pour la commercialisation présumée de données personnelles. Lors du premier d’entre eux, un tribunal à Brasilia leur a ordonné de cesser de vendre des données personnelles de consommateurs, sous peine dune amende journalière.

Dans cette affaire, le procureur a fait valoir que les activités de cette société enfreignent la LGPD (loi brésilienne sur la protection des données). Il leur est reproché de vendre des informations de profil personnel (y compris sous forme de forfait, à partir de 1 BRL par individu) à des entreprises désireuses de prospecter de nouveaux clients. Elle serait ainsi impliquée dans le commerce des données personnelles de plus de 150 millions de Brésiliens, comme le nom, le numéro d’identification personnel (CPF), le numéro de téléphone, la localisation, le profil financier, le pouvoir d’achat et la classe sociale.

Le procureur qui a intenté le procès estime que ces pratiques enfreignent également d’autres lois, telles que le Code Civil brésilien, le Code de la Consommation et le Cadre des droits civils de l’Internet au Brésil.

Il est clair qu’en pratique le pouvoir judiciaire brésilien est d’ores et déjà confronté à un chevauchement important entre les questions de protection des données et de la vie privée, la protection des consommateurs et le droit du travail, ainsi que d’autres sujets considérés comme relevant de l’intérêt public. À ce jour, cependant, les procès de ce type ont eu des résultats mitigés, contribuant à entretenir un flou juridique et renforçant le besoin de normes plus claires en matière de protection des données et de la vie privée.

Pour approfondir la discussion sur ces sujets, merci de prendre contact avec notre équipe de Technologie, Cybersécurité et Protection des données.











Sign up for our newsletter








    Back









    © Copyright 2020-2021 - Daniel Law. All rights reserved.