Réponses aux demandes d'information

Direction des recherches, Commission de l'immigration et du statut de réfugié du Canada

1. Aperçu

Le Portail de transparence se présente comme [traduction] « un site Internet en libre accès où les citoyens peuvent trouver de l’information sur la manière dont les fonds publics sont utilisés »; le contrôleur général de l’Union (Controladoria-Geral da União – CGU) l’a lancé en 2004, et une nouvelle version a été mise en place en 2018 (Brésil s.d.a). L’Observatoire de l’innovation dans le secteur public (Observatory of Public Sector Innovation – OPSI), une plateforme créée par l’Organisation de coopération et de développement économiques (OCDE) qui [version française de l’OCDE] « travaill[e] avec les gouvernements, les universités, l’industrie, les ONG mondiales et la société civile pour fournir un soutien et des conseils de pointe en matière d’innovation au secteur public » et qui « fourni[t] un forum mondial et un centre de connaissances pour l’apprentissage partagé » (OCDE s.d.), signale que la version 2018 du Portail comprend [version française de l’OCDE] « un entrepôt de données [data warehouse] (DW) qui intègre réellement les données de 17 sources » (OCDE 2018-03-18).

En plus du Portail de transparence fédéral, il existe des portails de transparence des États et des municipalités (Brésil s.d.b; professeur agrégé 2023-10-23).

1.1 Renseignements contenus dans le Portail de transparence

D’après son site Internet, le Portail de transparence contient les renseignements suivants :

[traduction]

Les données divulguées dans le Portail proviennent de diverses sources d’information, y compris les principaux systèmes structuraux du gouvernement fédéral — tels que le Système intégré d’administration financière du gouvernement fédéral [Sistema Integrado de Administração Financeira do Governo Federal (SIAFI) [1]] et le Système intégré d’administration des ressources humaines [Sistema Integrado de Administração de Recursos Humanos (SIAPE) [2]] —, les bases de données sur les prestations sociales, les factures liées à la carte de paiement du gouvernement fédéral [Cartão de Pagamentos do Governo Federal (CPGF) [3]] et les bases de données sur les biens publics, et beaucoup d’autres.

Les organismes responsables de chacune de ces sources d’information acheminent leurs données au CGU, qui reçoit ces renseignements, les rassemble et les rend accessibles par le Portail (Brésil s.d.a).

La même source explique également que les données divulguées dans le Portail concernent notamment les budgets annuels, les recettes publiques, les dépenses publiques, les ressources transférées, les fonctionnaires, les déplacements professionnels, les soumissions et les sanctions, mais aussi d’autres sujets (Brésil s.d.e).

Le Portail de transparence présente des tableaux de données qui contiennent des informations détaillées sur les fonctionnaires en ordre alphabétique, notamment leur nom, leur numéro de CPF (sur les 11 chiffres qui le composent, seuls les 6 chiffres du milieu sont visibles) [voir la section 1.2 de la présente réponse], le type d’emploi (civil ou militaire), l’organisme administratif (institution publique ou branche militaire), le numéro d’inscription (sur les 7 chiffres qui le composent, seuls les 3 premiers sont visibles), le statut (actif ou inactif), ainsi que le titre du poste (Brésil s.d.f).

1.2 CPF

Selon son site Internet, le CPF est une base de données du ministère fédéral du Revenu (Receita Federal) du Brésil qui contient les renseignements relatifs à l’inscription des citoyens en tant que contribuables, qui ne peuvent s’inscrire qu’une fois, [traduction] « ce qui signifie que le numéro de CPF est unique et définitif pour chaque personne » (Brésil s.d.g). D’après le site Internet du ministère des Affaires étrangères (Ministério das Relações Exteriores) du Brésil, il faut un numéro de CPF [traduction] « pour détenir des biens et des droits au Brésil qui sont assujettis à l’enregistrement public », par exemple pour ouvrir un compte bancaire, acheter une voiture ou acquérir des biens immobiliers (2023-03-14). Suivant la loi no 14,534 du [11 janvier] 2023 (Lei nº 14.534, de 11 de janeiro de 2023), le numéro de CPF est devenu le seul numéro d’identification des citoyens [dans les bases de données publiques (BdF 2023-01-17)], et figurera aussi sur tous les nouveaux documents délivrés par l’État brésilien (BdF 2023-01-17; Brésil 2023-01-12); la nouvelle mesure d’identification [traduction] « sera toutefois pleinement mise en application uniquement après que les organismes publics auront procédé à des ajustements » (Brésil 2023-01-12).

D’après l’information au sujet du CPF publiée sur le site Internet du ministère fédéral du Revenu, un numéro de CPF peut être annulé en cas de doublons ou [traduction] « en raison d’une décision rendue dans le cadre d’une procédure » (Brésil s.d.g).

Pour des renseignements additionnels sur le CPF, y compris les exigences et la marche à suivre pour obtenir un numéro, veuillez consulter la réponse à la demande d’information BRA106280 publiée en juin 2020.

2. Possibilité d’accéder à des renseignements personnels dans le Portail de transparence

InternetLab, un groupe de réflexion de São Paulo qui mène des recherches et des analyses sur l’intersection des droits de la personne et des technologies (InternetLab s.d.), signale que 

[traduction]

[l]e numéro d’identification de sécurité sociale de tout citoyen peut être obtenu sur un site officiel du gouvernement, « Citizen Space – CadÚnico », en entrant le nom, la date de naissance, le nom de la mère et la ville du bénéficiaire. Il est également possible, si on possède le nom, [le numéro de sécurité sociale (número de identificação social – NIS)] et le numéro de CPF d’une personne, d’obtenir son statut relatif aux prestations d’aide sociale sur le site Internet de Caixa Econômica Federal [une banque d’État brésilienne (The Brazilian Report 2022-10-25)]. Dans le Portail de transparence, il est aussi possible de trouver, en effectuant un tri en fonction de la municipalité, le nom d’un bénéficiaire, son numéro d’identification de sécurité sociale et la valeur des prestations. En plus de ces sites, il existe une application publique non officielle, BolsaFamilia.Info, qui permet d’accéder à certains de ces renseignements. Au moyen de ce portail, créé par une entité privée dans le but « d’éliminer les fraudeurs du programme [le programme Bolsa Familia est une initiative gouvernementale d’aide financière visant à lutter contre la pauvreté extrême (InternetLab 2020-05-13)] », il est possible d’obtenir le nom complet, le numéro d’identification de sécurité sociale et la valeur des prestations en précisant seulement l’État et la municipalité du bénéficiaire (InternetLab 2020-05-13).

Dans une communication écrite envoyée à la Direction des recherches, le Bureau consultatif spécial sur les affaires internationales (Assessoria Especial para Assuntos Internacionais) du Conseil des ministres (Gabinete do Ministro) du Brésil a signalé qu’il est possible d’interroger le Portail de transparence sans ouvrir une session ni fournir un nom d’utilisateur, en utilisant des paramètres comme le nom, le numéro de CPF, le NIS ou le numéro d’inscription au registre des pêcheurs professionnels (Registro de Pescador Profissional – RGP) (Brésil 2023-11-08). La même source a ajouté que les renseignements personnels ainsi obtenus peuvent inclure les suivants :

[traduction]

1. le nom;
2. le numéro de CPF […] en partie. Le numéro de CPF est caviardé, de manière à protéger les trois premiers et les deux derniers chiffres des 11 chiffres qui le composent au total. Par exemple : XXX.123.456.XX;
3. le NIS ([…] le cas échéant);
4. le numéro d’inscription au RGP ([…] le cas échéant);
5. la ville de résidence (Brésil 2023-11-08).

Selon des sources, une recherche sur le Portail de transparence ne permet pas d’obtenir l’adresse domiciliaire d’une personne (professeur agrégé 2023-10-23; représentant 2023-10-17; Brésil 2023-11-08). Au cours d’un entretien avec la Direction des recherches, un professeur agrégé du département de droit civil de l’Université de São Paulo, qui mène des recherches sur les droits de la personnalité au Brésil, y compris la protection des données et l’intelligence artificielle, a fait observer que, au moyen d’une recherche faite avec le numéro de CPF [complet] [traduction] « dans d’autres portails publics », tels que le portail du registre de l’état civil (Registro Civil), le portail de l’immobilier (Registro de Imóveis) ou le portail du registre du commerce (Junta Comercial), il est possible d’accéder à certains renseignements personnels d’une autre personne, comme sa date de naissance ou « l’endroit où elle vit » (professeur agrégé 2023-10-23).

2.1 Fuites de données et atteintes à la vie privée

Des sources signalent que, en 2022, les données personnelles de citoyens contenues dans des bases de données — [[traduction] « principalement » (Brésil 2023-09-20)] des bénéficiaires du programme Auxílio Brasil — ont fait l’objet d’une fuite (Brésil 2023-09-20; The Brazilian Report 2022-10-25). D’après le Brazilian Report, un site d’actualités en anglais qui publie des commentaires et des analyses sur des questions touchant le Brésil (Brazilian Report s.d.), 3,7 millions de personnes inscrites à l’initiative Auxílio Brasil, un [traduction] « programme phare de transferts monétaires » du gouvernement fédéral, ont été touchées par la fuite de renseignements personnels aux institutions financières (2022-10-25).

Selon des médias, en 2021, une fuite de renseignements personnels, y compris des numéros de CPF et des adresses, a touché plus de 223 millions de Brésiliens [dont des personnes décédées (O Dia 2021-02-11)] (Agência Brasil 2021-03-19; O Dia 2021-02-11); la police a arrêté le présumé pirate informatique en mars 2021 (Agência Brasil 2021-03-19). D’autres sources signalent qu’en 2020, une violation de données à caractère personnel, y compris les noms complets, les adresses et les numéros de téléphone, au ministère de la Santé (Ministério da Saúde) a touché 243 millions de Brésiliens [dont des personnes décédées (CPO Magazine 2020-12-11)] (Al Jazeera 2023-08-25; CPO Magazine 2020-12-11). Selon Metrópoles, un journal brésilien publié en ligne, des pirates informatiques ont pu obtenir des [traduction] « renseignements confidentiels » au sujet des fonctionnaires du district fédéral en février 2020 en raison d’une « brèche » dans le système des ressources humaines du gouvernement du District fédéral (Governo do Distrito Federal – GDF) (2020-02-21).

3. Protection des renseignements personnels dans le Portail de transparence
3.1 Protection des données et mesures législatives

La Constitution du Brésil, modifiée en 2022, prévoit ce qui suit dans sa section consacrée aux droits fondamentaux : [traduction] « LXXIX – le droit à la protection des données personnelles, y compris celles stockées sur des supports numériques, est garanti selon les termes de la loi » (Brésil 1988, art. 5).

Des sources signalent que la loi générale sur la protection des données personnelles (Lei geral de proteção de dados pessoais – LGPD) est entrée en vigueur en 2020 (DLA Piper 2022, 2; The Brazilian Report 2022-06-14) ou [traduction] « pleinement en 2021 » (Access Now & Data Privacy Brasil Research Association 2022-03-31, paragr. 7). La LGPD, modifiée par la loi no 13,853 de 2019, dont une traduction vers l’anglais a été publiée par Rennó Penteado Sampaio, un cabinet d’avocats au Brésil qui offre des conseils juridiques et des services de contentieux en droit des technologies, en droit immobilier et en droit fiscal, entre autres (Rennó Penteado Sampaio s.d.), contient les dispositions suivantes :

[traduction]

Art. 1 La présente loi encadre le traitement de renseignements personnels, y compris au moyen de procédés numériques, par une personne physique ou une personne morale de droit public ou privé, dans le but de protéger les droits fondamentaux à la liberté et à la vie privée et le libre épanouissement de la personnalité de la personne physique.

Paragraphe unique. Les dispositions générales de la présente loi revêtent un intérêt national et sont respectées par l’Union fédérale, les États, le district fédéral et les municipalités (suivant la loi no 13,853 de 2019) (Brésil 2018, mise en évidence dans l’original).

La LGPD prévoit ce qui suit concernant les exigences liées à la collecte de données :

[traduction]

Art. 7 Le traitement de données personnelles n’est autorisé que dans les circonstances suivantes :

1. avec le consentement de la personne concernée;
2. aux fins d’observation d’une obligation juridique ou réglementaire par le contrôleur;
3. par l’administration publique, en vue du traitement et de l’utilisation partagée des données nécessaires à l’exécution des politiques publiques énoncées dans les lois ou les règlements, ou dans le cadre de contrats, d’ententes ou d’instruments similaires, sous réserve des dispositions du chapitre IV de la présente loi;

[…]

§3 Le traitement de données personnelles accessibles publiquement doit tenir compte des fins de ce traitement, de la bonne foi et de l’intérêt public pouvant justifier que ces renseignements soient rendus accessibles.

[…] (Brésil 2018, mise en évidence dans l’original).

La même loi prévoit ce qui suit en cas d’atteintes à la sécurité des données :

[traduction]

Art. 48. Le contrôleur signale à l’autorité nationale et aux personnes concernées tout incident de sécurité susceptible d’entraîner un risque ou un préjudice pour les personnes concernées.

§1 Le signalement se fait dans un délai raisonnable, défini par l’autorité nationale, et contient à tout le moins :

1. une description de la nature des données personnelles visées;
2. des renseignements sur les personnes concernées;
3. des informations sur les mesures techniques et les mesures de sécurité utilisées pour protéger les données, sous réserve du respect du secret commercial et industriel;
4. les risques liés à l’incident;
5. si l’incident n’a pas été signalé immédiatement, les raisons de ce retard;
6. les mesures prises ou à prendre pour inverser ou atténuer les effets préjudiciables.

§2 L’autorité nationale évalue la gravité de l’incident; si cela s’avère nécessaire pour protéger les droits des personnes concernées, elle peut ordonner au contrôleur de prendre des mesures visant notamment à :

1. divulguer largement l’incident en alertant les médias;
2. inverser ou atténuer les effets de l’incident.

§3 Pour évaluer la gravité de l’incident, il faut analyser les éléments présentés en vue de démontrer que, compte tenu de la capacité et des limites techniques des services, des mesures techniques adéquates avaient été adoptées pour s’assurer que les données personnelles visées ont été rendues inintelligibles pour les tiers qui n’étaient pas autorisés à y accéder (Brésil 2018, mise en évidence dans l’original).

Selon des sources, la LGPD a institué l’Autorité nationale de protection des données (Autoridade Nacional de Proteção de Dados – ANPD) (DLA Piper 2022, 3; Brésil s.d.h, 4). Des sources signalent que l’ANPD est devenue indépendante en 2022 (The Brazilian Report 2022-06-14; DLA Piper 2022, 3) et qu’elle était précédemment [traduction] « li[ée] » à la présidence de la République (Presidência da República) (DLA Piper 2022, 3). Des sources soulignent que les citoyens peuvent soumettre des informations ou des plaintes à l’ANPD (Brésil s.d.h, 4; Três Marias 2022-02-10), qui est habilitée à enquêter sur les fuites de données et à imposer des mesures de redressement, telles que [traduction] « divulguer largement [l’incident] en alertant les médias et chercher à inverser ou à atténuer les effets de l’incident »; l’ANPD est aussi habilitée à acheminer les plaintes aux services de redressement compétents (Três Marias 2022-02-10).

3.2 Possibilité pour les citoyens de gérer leurs données personnelles

La LGPD prévoit ce qui suit concernant les droits de la personne concernée :

[traduction]

Art. 18. La personne concernée a le droit, en ce qui a trait à ses données personnelles traitées par le contrôleur, en tout temps et sur demande, d’obtenir ce qui suit de la part du contrôleur :

1. la confirmation de l’existence des activités de traitement;
2. l’accès aux données;
3. la rectification des données inexactes, incomplètes ou périmées;
4. l’anonymisation, le blocage ou la suppression des données inutiles ou excessives, ou de celles dont le traitement contrevient aux dispositions de la présente loi; […] (Brésil 2018, mise en évidence dans l’original, renvoi omis).

D’après le Bureau consultatif spécial sur les affaires internationales, il est possible de demander la suppression de données personnelles du Portail de transparence et [traduction] « la demande est analysée au cas par cas »; de plus, « les données jugées sensibles [4], qui ont pu être saisies dans des champs de texte libre et publiées automatiquement, peuvent aussi être supprimées si une demande administrative est faite directement au CGU » (Brésil 2023-11-08). La même source a ajouté que les données jugées d’intérêt public, mais [traduction] « pouvant faire l’objet d’une utilisation malveillante, sont protégées. L’éventail des mesures de protection va du caviardage partiel (p. ex., le numéro de CPF) à la protection complète (p. ex., les noms des mineurs) » (Brésil 2023-11-08). Dans la section des questions fréquentes du site Internet du Portail de transparence, on signale que les renseignements peuvent être protégés [traduction] « dans diverses situations, par exemple quand des fonctionnaires se déplacent dans le cadre d’une opération confidentielle de lutte contre la corruption » et que « l’organisme responsable définit les règles de restriction d’accès, qui doivent être justifiées par le caractère confidentiel ou la classification de l’information, conformément aux articles 22, 23 et 24 de la loi no 12,527 de 2011 (loi sur l’accès à l’information) » (Brésil s.d.b).

3.3 Mise en œuvre

D’après une stratégie nationale de cybersécurité, approuvée par un décret du président de la République en 2020, à cause d’un [translation] « meilleur accès aux réseaux numériques, et en raison d’un manque de maturité sur le plan de la cybersécurité, le Brésil est aux premiers rangs des pays qui subissent le plus grand nombre de cyberattaques » (Brésil 2020, partie II, sect. 2.4). Selon des sources, un rapport de Surfshark [une entreprise de cybersécurité (Costa Norte 2022-01-12)] classe le Brésil au sixième rang dans sa liste des pays ayant subi le plus grand nombre d’atteintes à la sécurité des données en 2021 (Costa Norte 2022-01-12; Access Now & Data Privacy Brasil Research Association 2022-03-31, paragr. 18), avec environ 24,19 millions de cas de comptes ayant fait l’objet d’une violation de données en 2021 (Costa Norte 2022-01-12). D’après Costa Norte, un site d’actualités brésilien, les États-Unis se classaient au premier rang et la France au cinquième dans le rapport de Surfshark (2022-01-12).

Dans un rapport de surveillance publié par l’ANPD, on peut lire qu’en 2022, l’organisation a reçu 1 045 demandes et 287 [traduction] « notifications d’atteintes à la sécurité »; l’ANPD a lancé 15 « procédures d’enquête » et 8 procédures de sanction administrative, dont 7 visaient des institutions gouvernementales, dont le ministère de la Santé (Brésil 2023-08, 6, 20, 21). Des sources signalent que l’ANPD a infligé sa première amende en juillet 2023 à une entreprise privée pour non-respect des exigences de la LGPD (Forbes 2023-07-11; Brésil 2023-07-13). Selon le site Internet du ministère public du Brésil (Ministério Pûblico Federal – MPF) à São Paulo, à la suite d’une action civile publique concernant des fuites de données provenant de bases de données gérées par l’Union [du Brésil], Caixa Econômica Federal et l’Entreprise d’information et de technologie de la sécurité sociale (Empresa de Tecnologia e Informações da Previdência – Dataprev) [5] en 2022, la Justice fédérale (Justiça Federal) a décidé en septembre 2023 que les trois organisations et l’ANPD devaient verser 15 000 reales brésiliens (BRL) [4 180 $ CAN] en dommages-intérêts à [traduction] « environ » 4 millions de citoyens brésiliens (Brésil 2023-09-20). En décembre 2023, le MPF a annoncé que l’institution figurait parmi les codemandeurs de l’action civile publique engagée contre l’entreprise responsable d’une atteinte à la vie privée en 2021, au cours de laquelle les données personnelles, y compris les numéros de CPF, de 223 millions de Brésiliens avaient fait l’objet d’une fuite (Brésil 2023-12-04). De plus, le MPF demande dans sa poursuite que l’ANPD soit tenue responsable de [traduction] « l’exposition excessive » et que l’ANPD achève les procédures administratives contre l’entreprise responsable de la fuite, car l’ANPD « a négligé de remplir ses obligations légales » (Brésil 2023-12-04).

Dans un article paru en 2023 dans Folha de S.Paulo, un quotidien brésilien, sont cités les propos d’une directrice de l’ANPD selon lesquels [traduction] « depuis que l’ANDP a amorcé ses activités, on a observé un plus grand nombre d’attaques et de fuites de données personnelles dans le secteur public, le plus important détenteur de renseignements [personnels] » (2023-06-23). Le professeur agrégé a déclaré que le Brésil a une [traduction] « culture juridique et de longs antécédents » de tolérance de la collecte de « beaucoup » de données personnelles au sujet de ses citoyens, et que les organismes privés et publics peuvent recueillir des renseignements tels que le numéro de CPF ou l’adresse domiciliaire même dans le cadre de « transactions de faible valeur ou sans importance » (2023-10-23). Selon la même source, les lois visant à protéger les données personnelles [traduction] « ont été adoptées trop tard pour régler le problème entièrement et elles sont inefficaces »; toujours d’après la même source, « le risque [pour les particuliers] est habituellement faible dans la pratique, parce qu’elles [les organisations criminelles] recueillent des milliers ou des millions de données personnelles » (professeur agrégé 2023-10-23). Le professeur agrégé a aussi déclaré que les citoyens peuvent présenter des plaintes aux [traduction] « diverses autorités policières » en cas d’utilisation malveillante de leurs données personnelles, mais que le personnel et les ressources [traduction] « sont insuffisants » pour remédier à ces problèmes « de manière efficace » (2023-10-23). D’après un article publié en 2023 par Al Jazeera, le président-directeur de l’ANDP a signalé que l’organisation compte 150 employés (2023-08-25).

Cette réponse a été préparée par la Direction des recherches à l'aide de renseignements puisés dans les sources qui sont à la disposition du public, et auxquelles la Direction des recherches a pu avoir accès dans les délais fixés. Cette réponse n'apporte pas, ni ne prétend apporter, de preuves concluantes quant au fondement d'une demande d'asile. Veuillez trouver ci-dessous les sources consultées pour la réponse à cette demande d'information.

Notes

[1] Le Système intégré d’administration financière du gouvernement fédéral (Sistema Integrado de Administração Financeira do Governo Federal – SIAFI) [traduction] « est l’outil principal utilisé dans la gestion financière et budgétaire du gouvernement fédéral. Le système apporte un soutien aux instances de gestion publique centrales, sectorielles et exécutives » (Brésil 2020-04-20).

[2] Le Système intégré d’administration des ressources humaines (Sistema Integrado de Administração de Recursos Humanos – SIAPE) est un [traduction] « système national créé dans le but d’intégrer toutes les plateformes de gestion de la paie des fonctionnaires. Aujourd’hui, le SIAPE est l’un des principaux systèmes structuraux du gouvernement et a la responsabilité de traiter la paie pour plus de 200 organismes fédéraux » (Brésil s.d.c).

[3] La carte de paiement du gouvernement fédéral (Cartão de Pagamentos do Governo Federal – CPGF) est un [traduction] « mode de paiement utilisé par l’appareil gouvernemental qui est similaire à une carte de crédit […], mais soumis à des règles et limites précises. Le gouvernement utilise la CPGF pour payer ses propres dépenses » (Brésil s.d.d).

[4] La loi générale sur la protection des données personnelles (Lei geral de proteção de dados pessoais – LGPD) définit ainsi les différents types de données :

[traduction]

Art. 5 Dans le cadre de la présente loi, les définitions suivantes s’appliquent :

1. données personnelles : données se rapportant à une personne physique identifiée ou identifiable;
2. données personnelles sensibles : données personnelles se rapportant à une personne physique concernant l’origine raciale ou ethnique, les convictions religieuses, les opinions politiques ou l’appartenance à un syndicat ou à une organisation religieuse, philosophique ou politique, données concernant la santé ou la vie sexuelle ou données génétiques ou biométriques;
3. données anonymisées : données se rapportant à une personne sans toutefois permettre son identification, compte tenu des moyens techniques raisonnables et accessibles au moment de leur traitement; […] (Brésil 2018, mise en évidence dans l’original).

[5] L’Entreprise d’information et de technologie de la sécurité sociale (Empresa de Tecnologia e Informações da Previdência – Dataprev) est une [traduction] « entreprise publique chargée du traitement mensuel des versements à tous les pensionnés et bénéficiaires des programmes sociaux » (The Brazilian Report 2022-10-25).

Références

Access Now & Data Privacy Brasil Research Association. 2022-03-31. Joint Submission to the United Nations Human Rights Council on the Universal Periodic Review 41st Session Fourth Cycle for Brazil. [Date de consultation : 2023-11-28]

Agência Brasil. 2021-03-19. Karine Melo. « Police Arrest Hacker Suspected of Biggest Data Leak in Brazil ». [Date de consultation : 2023-09-28]

Al Jazeera. 2023-08-25. Angelica Mari. « Evolving Threats: The State of Personal Data Protection in Brazil ». [Date de consultation : 2023-08-07]

Brasil de Fato (BdF). 2023-01-17. Mariana Lemos. « CPF passa a ser o principal documento no Brasil; entenda o que muda ». [Date de consultation : 2023-09-27]

The Brazilian Report. 2022-10-25. Amanda Audi. « How Bolsonaro Loads the Dice Ahead of the Presidential Runoff ». [Date de consultation : 2023-12-14]

The Brazilian Report. 2022-06-14. Constance Malleret. « Brazil's Data Protection Authority Becomes an Independent Agency ». [Date de consultation : 2023-09-27]

The Brazilian Report. S.d. « About Us ». [Date de consultation : 2023-11-28]

Brésil. 2023-12-04. Ministério Público Federal (MPF), Procuradoria da República em São Paulo. « MPF requer da Serasa o pagamento de multa superior a R$ 200 milhões por vazamento de dados pessoais ». [Date de consultation : 2023-12-14]

Brésil. 2023-11-08. Communication écrite envoyée à la Direction des recherches par l’Assessoria Especial para Assuntos Internacionais do Gabinete do Ministro.

Brésil. 2023-09-20. Ministério Público Federal (MPF), Procuradoria da República em São Paulo. « Justiça determina indenização de R$ 15 mil a cidadãos que tiveram dados pessoais vazados em 2022 ». [Date de consultation : 2023-11-28]

Brésil. 2023-08. Ministério da Justiça e Segurança Pública, Autoridade Nacional de Proteção de Dados (ANPD). Relatório do ciclo de monitoramento - Exercício 2022. [Date de consultation : 2023-11-28]

Brésil. 2023-07-13. Ministério da Justiça e Segurança Pública, Autoridade Nacional de Proteção de Dados (ANPD). « ANPD aplica a primeira multa por descumprimento à LGPD ». [Date de consultation : 2023-11-02]

Brésil. 2023-03-14 (mis à jour le 2023-07-09). Ministério das Relações Exteriores, Embaixada do Brasil em Estocolmo. « CPF - Individual Taxpayer Registry ['Cadastro de Pessoa Física'] ». [Date de consultation : 2023-09-27]

Brésil. 2023-01-12. Senado Federal, Agência Senado. « CPF será número único de identificação do cidadão, determina lei sancionada ». [Date de consultation : 2023-10-31]

Brésil. 2020-04-20 (mis à jour le 2020-07-21). Ministério da Fazenda, Tesouro Nacional. « What Is SIAFI? ». [Date de consultation : 2023-12-06]

Brésil. 2020. « Anexo: Estratégia Nacional de Segurança Cibernética ». Decreto nº 10.222, de 5 de fevereiro de 2020. [Date de consultation : 2023-10-11]

Brésil. 2018 (modifiée en 2019). Brazilian General Data Protection Law. Traduite vers l’anglais par Ronaldo Lemos et al., d’après une version initiale de Monica Hruby. Rennó Penteado Sampaio. [Date de consultation : 2023-09-28]

Brésil. 1988 (modifiée en 2022). Constitution of the Federative Republic of Brazil. [Date de consultation : 2023-10-11]

Brésil. S.d.a. Controladoria-Geral da União (CGU), Portal da Transparência. « O que é e como funciona ». [Date de consultation : 2023-08-06]

Brésil. S.d.b. Controladoria-Geral da União (CGU), Portal da Transparência. « Perguntas frequentes ». [Date de consultation : 2023-09-27]

Brésil. S.d.c. Ministério da Fazenda, Serviço Federal de Processamento de Dados (SERPRO). « Siape - Sistema Integrado de Administração de Recursos Humanos ». [Date de consultation : 2023-12-06]

Brésil. S.d.d. Controladoria-Geral da União (CGU), Portal da Transparência. « Cartão de Pagamento do Governo Federal ». [Date de consultation : 2023-12-06]

Brésil. S.d.e. Controladoria-Geral da União (CGU), Portal da Transparência. « O que você encontra no Portal ». [Date de consultation : 2023-08-06]

Brésil. S.d.f. Controladoria-Geral da União (CGU), Portal da Transparência. « Consulta de servidores ». [Date de consultation : 2023-08-06]

Brésil. S.d.g. Ministério da Fazenda, Receita Federal. « Meu CPF ». [Date de consultation : 2023-09-27]

Brésil. S.d.h. Consejo Nacional de Defensa del Consumidor (CNDC) avec l’Autoridade Nacional de Proteção de Dados (ANPD) & Secretaria Nacional do Consumidor (SENACON). How to Protect Your Personal Data. [Date de consultation : 2023-11-02]

Costa Norte. 2022-01-12. « No Brasil 24,19 milhões de pessoas sofreram com violação de seus dados em 2021 ». [Date de consultation : 2023-11-28]

CPO Magazine. 2020-12-11. Alicia Hope. « Brazil's Health Ministry's Website Data Leak Exposed 243 Million Medical Records for More than 6 Months ». [Date de consultation : 2023-10-11]

DLA Piper. 2022 (mise à jour 2023-01-28). « Brazil ». Data Protection Laws of the World. [Date de consultation : 2023-10-11]

Folha de S.Paulo. 2023-06-23. Luany Galdeano. « Setor público ainda busca equilíbrio entre transparência e proteção de privacidade ». [Date de consultation : 2023-11-02]

Forbes. 2023-07-11. Angelica Mari. « Brazil Issues First Fine for Data Protection Breach ». [Date de consultation : 2023-09-27]

InternetLab. 2020-05-13. Julia Drummond et al. « Brazil's Bolsa Familia Program: The Impact on Privacy Rights ». [Date de consultation : 2023-09-28]

InternetLab. S.d. « What Is InternetLab? ». [Date de consultation : 2023-11-29]

Metrópoles. 2020-02-21. Francisco Dutra. « Falhas nos sistemas do GDF expõem dados de servidores públicos ». [Date de consultation : 2023-08-07]

O Dia. 2021-02-11. Luciano Bandeira. « Internet Insegura ». [Date de consultation : 2023-10-31]

Organisation de coopération et de développement économiques (OCDE). 2018-03-18. Observatory of Public Sector Innovation (OPSI). « Brazilian Transparency Policy and the Transparency Portal ». [Date de consultation : 2023-08-06]

Organisation de coopération et de développement économiques (OCDE). S.d. Observatory of Public Sector Innovation (OPSI). « About ». [Date de consultation : 2024-07-05]

Professeur agrégé, Universidade de São Paulo, Brésil. 2023-10-23. Entretien avec la Direction des recherches.

Rennó Penteado Sampaio. S.d. « The Law Firm ». [Date de consultation : 2023-12-20]

Représentant, ambassade du Brésil à Ottawa. 2023-10-17. Communication écrite envoyée à la Direction des recherches.

Três Marias. 2022-02-10. Portal de Integraçâo e Transparência. Clara Isabella Fonseca Lemos. « Vítimas de vazamento de dados podem denunciar o crime à Autoridade Nacional de Proteção de Dados (ANDP) ». [Date de consultation : 2023-09-27]

Autres sources consultées

Sources orales : The Brazilian Report; Brésil – Ministério da Justiça e Segurança Pública, Ministério da Previdência Social; cabinet d’avocats en droit des technologies au Brésil; Data Privacy Brasil Research Association; Instituto Igarapé; InternetLab; Justiça Global; Transparency International.

Sites Internet, y compris : Amnesty International; Associated Press; Austrian Red Cross – ecoi.net; Correio Braziliense; États-Unis – CIA, Department of State, Library of Congress; Factiva; Freedom House; The GovLab – Open Data Impact; Human Rights Watch; International Crisis Group; Jornal do Brasil; Nations Unies – Refworld; OneTrust DataGuidance; Privacy International; Transparency International.