Passer au contenu principal
Didit lève 7,5 M$ pour bâtir l'infrastructure pour l'identité et la fraude
Didit
Retour au blog
Blog · 6 mars 2026

Naviguer dans la LGPD brésilienne : Bonnes pratiques de rétention des données d'identité (FR)

La LGPD brésilienne impose des règles strictes sur les données personnelles, y compris celles d'identité. Les entreprises doivent adopter des politiques de rétention robustes, comprendre leurs rôles de contrôleurs/sous-traitants.

Par DiditMis à jour le
brazils-lgpd-identity-data-retention-best-practices.png

La conformité LGPD est essentielleLa Lei Geral de Proteção de Dados (LGPD) du Brésil impose des exigences strictes sur la manière dont les organisations collectent, traitent et stockent les données personnelles, y compris les données collectées lors des processus de vérification d'identité. Le non-respect peut entraîner des amendes importantes et des dommages à la réputation.

Minimisation des données et limitation de la finalitéLes organisations ne doivent collecter que les données strictement nécessaires à une finalité spécifiée et légitime, et ne les conserver que pendant la période requise pour atteindre cette finalité ou respecter les obligations légales. Ce principe est fondamental pour la conformité LGPD.

Politiques robustes de rétention des donnéesLa mise en œuvre de politiques claires et configurables de rétention des données est essentielle pour gérer les données de vérification d'identité. Cela inclut des capacités de suppression automatisée et manuelle, garantissant que les données sont purgées une fois que leur nécessité légale ou opérationnelle expire.

Didit simplifie la conformitéLa plateforme de Didit offre des paramètres configurables de rétention de données, la suppression manuelle des sessions et un rôle clair de sous-traitant de données, permettant aux entreprises de respecter efficacement les exigences de la LGPD tout en tirant parti des solutions de vérification d'identité natives de l'IA.

Comprendre la LGPD et son impact sur les données d'identité

La Lei Geral de Proteção de Dados Pessoais (LGPD) du Brésil, en vigueur depuis septembre 2020, a considérablement remodelé la manière dont les données personnelles sont traitées au Brésil. Similaire au RGPD européen, la LGPD établit un cadre complet pour la protection de la vie privée des individus, leur accordant un plus grand contrôle sur leurs informations personnelles. Pour les entreprises opérant au Brésil ou ayant des liens avec ce pays, cela signifie un changement fondamental dans les pratiques de gestion des données, en particulier en ce qui concerne les données de vérification d'identité.

Les processus de vérification d'identité, tels que ceux utilisant la vérification d'identité, la détection de vivacité passive et active, ou l'appariement facial 1:1 de Didit, impliquent intrinsèquement la collecte et le traitement de données personnelles sensibles. Cela inclut les noms, les dates de naissance, les numéros de document, les données biométriques, et plus encore. En vertu de la LGPD, les organisations doivent avoir une base légale pour traiter ces données, telle qu'un consentement explicite, un intérêt légitime ou le respect d'une obligation légale. De plus, les principes de minimisation des données et de limitation de la finalité sont primordiaux : ne collecter que ce qui est absolument nécessaire à une finalité définie, et ne pas le conserver plus longtemps que nécessaire.

Le non-respect de la LGPD peut entraîner de graves sanctions, y compris des amendes pouvant aller jusqu'à 2 % du chiffre d'affaires d'une entreprise au Brésil, plafonnées à 50 millions de R$ par infraction, ainsi que d'autres sanctions administratives. Au-delà des répercussions financières, le non-respect peut gravement nuire à la confiance des clients et à la réputation de la marque, faisant d'une gouvernance robuste des données un impératif commercial.

Établir des politiques efficaces de rétention des données pour la LGPD

La pierre angulaire de la conformité à la LGPD, en particulier pour les données d'identité, est la mise en œuvre de politiques de rétention des données solides. Ces politiques dictent la durée de conservation des données personnelles, une fois collectées. L'objectif est d'équilibrer les besoins commerciaux – tels que la prévention de la fraude ou la conformité aux réglementations anti-blanchiment d'argent (AML), que la détection et le suivi AML de Didit peuvent aider à adresser – avec le droit de l'individu à la vie privée et à la minimisation des données.

Lors de la définition des périodes de rétention, les entreprises doivent prendre en compte plusieurs facteurs :

  • Obligations légales et réglementaires : Certaines industries (par exemple, les services financiers) peuvent avoir des lois spécifiques dictant la durée de conservation des données clients, y compris les enregistrements KYC/AML.
  • Exigences contractuelles : Les accords avec les clients ou les partenaires peuvent spécifier des périodes de rétention des données.
  • Besoins commerciaux : Les données peuvent être nécessaires pour la résolution des litiges, l'audit ou l'amélioration des services. Cependant, ces besoins doivent être justifiables et équilibrés par rapport aux préoccupations de confidentialité.
  • Type de données : Différents types de données (par exemple, données biométriques vs données transactionnelles) peuvent justifier des périodes de rétention différentes.

Les meilleures pratiques suggèrent que les données doivent être anonymisées ou supprimées en toute sécurité une fois que leur finalité a été remplie et que toutes les obligations légales ont été respectées. Une gestion proactive du cycle de vie des données, plutôt qu'une suppression réactive, est essentielle pour démontrer la conformité et minimiser les risques. Cela inclut des examens réguliers des fonds de données et des processus automatisés pour purger les données après leur date limite de rétention.

Le rôle du contrôleur de données vs le sous-traitant de données

En vertu de la LGPD, il est crucial de comprendre la distinction entre un contrôleur de données et un sous-traitant de données. Le contrôleur de données est l'entité qui détermine les finalités et les moyens du traitement des données personnelles. Il s'agit généralement de l'entreprise qui interagit directement avec l'utilisateur final (par exemple, une banque, une plateforme de commerce électronique ou une entreprise de jeux utilisant l'estimation de l'âge). Le sous-traitant de données, quant à lui, traite les données personnelles pour le compte du contrôleur. Les fournisseurs de vérification d'identité comme Didit agissent généralement en tant que sous-traitants de données.

En tant que sous-traitant de données, Didit s'engage à aider ses clients à respecter leurs obligations LGPD. Didit traite les données de vérification d'identité conformément aux instructions du contrôleur de données et met en œuvre des mesures de sécurité robustes. Par défaut, Didit traite les données dans l'UE, prenant en charge le RGPD et les régimes locaux de protection des données. Pour les comptes d'entreprise, le traitement dans le pays (résidence des données locales) peut être activé, aidant davantage à répondre aux exigences réglementaires spécifiques. Cette délimitation claire des rôles, combinée aux paramètres de rétention configurables de Didit, permet aux entreprises de garder le contrôle de leur stratégie de gouvernance des données.

Mise en œuvre de stratégies pratiques de gestion des données

Pour gérer efficacement la rétention des données d'identité en vertu de la LGPD, les organisations devraient adopter une approche multifacette :

  1. Inventorier et cartographier les données : Comprendre quelles données d'identité sont collectées, où elles sont stockées et dans quel but. Cela inclut les données de la vérification d'identité, de la détection de vivacité passive et active, et d'autres étapes de vérification.
  2. Définir les périodes de rétention : Pour chaque catégorie de données d'identité, établir des périodes de rétention claires et justifiables basées sur les exigences légales et la nécessité commerciale.
  3. Automatiser la suppression : Dans la mesure du possible, mettre en œuvre des systèmes automatisés pour supprimer ou anonymiser les données une fois leur période de rétention expirée. Cela réduit le risque d'erreur humaine et assure une conformité cohérente.
  4. Activer les capacités de suppression manuelle : Fournir des mécanismes de suppression manuelle d'enregistrements spécifiques si nécessaire, par exemple en réponse à une demande d'accès du sujet des données (DSAR) ou à une enquête.
  5. Sécuriser les données au repos et en transit : S'assurer que toutes les données d'identité sont protégées par des mesures de sécurité techniques et organisationnelles appropriées, quel que soit leur statut de rétention.
  6. Audits et examens réguliers : Examiner périodiquement les politiques et pratiques de rétention des données pour s'assurer qu'elles restent conformes aux réglementations et aux besoins commerciaux en évolution.

Ces stratégies, lorsqu'elles sont combinées à une plateforme de vérification d'identité flexible et conforme, constituent une base solide pour l'adhésion à la LGPD. L'architecture modulaire de Didit permet aux entreprises d'intégrer des contrôles d'identité spécifiques si nécessaire, garantissant la minimisation des données en ne collectant que les informations pertinentes pour chaque flux de travail de vérification.

Comment Didit vous aide

Didit, en tant que plateforme d'identité native de l'IA et axée sur les développeurs, est conçue pour aider les entreprises à naviguer dans les complexités des réglementations de confidentialité des données comme la LGPD du Brésil. Notre architecture modulaire et nos fonctionnalités robustes vous permettent de mettre en œuvre les meilleures pratiques en matière de rétention des données d'identité et de conformité.

Didit agit en tant que sous-traitant de données, vous donnant, en tant que contrôleur de données, un contrôle total sur vos données. Notre plateforme vous permet de configurer les politiques de rétention des données directement dans la console d'entreprise. Vous pouvez sélectionner des fenêtres de rétention de 1 mois à 10 ans, ou même les définir sur « illimitées » si requis par des obligations légales spécifiques, garantissant ainsi une flexibilité pour répondre aux diverses exigences réglementaires. Ces politiques s'appliquent à toutes les entrées, sorties, résultats dérivés et métadonnées opérationnelles de vérification stockées par Didit.

Pour les situations nécessitant une suppression immédiate des données, Didit offre des capacités de suppression manuelle. Vous pouvez facilement supprimer des sessions de vérification individuelles et toutes les données associées, y compris les données biométriques et les documents, directement depuis le tableau de bord de la console. Cette fonctionnalité est cruciale pour répondre rapidement aux demandes d'accès des sujets de données ou pour gérer des préoccupations spécifiques en matière de confidentialité, soutenant directement la conformité au RGPD et à la LGPD.

Nos solutions, y compris la vérification d'identité, la détection de vivacité passive et active, et l'appariement facial 1:1, sont conçues avec la confidentialité dès la conception. Nous offrons le KYC de base gratuit, vous permettant de commencer à vérifier les identités avec des outils robustes et conformes. Sans frais d'installation et avec un modèle de paiement par vérification réussie, Didit facilite l'intégration d'une vérification d'identité sécurisée et conforme dans vos opérations, minimisant l'exposition des données tout en maximisant la confiance et la sécurité.

Prêt à commencer ?

Prêt à voir Didit en action ? Obtenez une démo gratuite dès aujourd'hui.

Commencez à vérifier les identités gratuitement avec le niveau gratuit de Didit.

Infrastructure pour l'identité et la fraude.

Une seule API pour le KYC, le KYB, la surveillance des transactions et le screening de portefeuilles. Intégration en 5 minutes.

Commencer gratuitementNous contacter
Demande à une IA de résumer cette page
LGPD Brésil : Bonnes pratiques de rétention des données.