Points clés
- La LGPD (Lei nº 13.709/2018) est la loi brésilienne sur la protection des données, en vigueur depuis septembre 2020 et appliquée depuis août 2021 ; le régulateur est l'ANPD.
- Une étude de la FGV a constaté que les sept grandes plateformes d'IA cloud (ChatGPT, Gemini, Claude, Copilot, Grok, DeepSeek, Meta AI) ne respectent pas pleinement la LGPD sur 14 critères.
- Un manquement cloud fréquent : des politiques de confidentialité indisponibles en portugais, une exigence claire de la LGPD.
- L'IA cloud transfère généralement les données hors du Brésil lors de l'inférence — la LGPD restreint les transferts internationaux sans garanties.
- Exécuter des LLM localement garde les données dans le pays au moment de l'inférence, traitant le problème du transfert à la racine.
- L'IA locale n'est pas une solution miracle de conformité : vous avez toujours besoin d'une base légale, de processus pour les personnes concernées et d'un DPO le cas échéant.
- Ceci est informatif, et non un conseil juridique. Consultez un DPO ou un avocat pour votre situation spécifique.
Qu'est-ce que la LGPD ?
La LGPD (Lei Geral de Proteção de Dados, Lei nº 13.709/2018) est la loi générale brésilienne sur la protection des données. Elle est entrée en vigueur en septembre 2020, avec des sanctions administratives applicables depuis août 2021. Le régulateur est l'ANPD (Autoridade Nacional de Proteção de Dados).
La LGPD s'applique à toute organisation qui traite des données personnelles de personnes au Brésil, quel que soit le lieu d'établissement de l'organisation elle-même. Comme le RGPD de l'UE, elle a une portée extraterritoriale.
Obligations centrales pertinentes pour l'usage de l'IA : une base légale pour chaque activité de traitement, les droits des personnes concernées (accès, rectification, suppression, portabilité), la minimisation des données et des restrictions sur les transferts internationaux sans garanties adéquates. Une politique de confidentialité doit être disponible en portugais.
Les sanctions atteignent jusqu'à 2 % du chiffre d'affaires de l'entreprise au Brésil, plafonnées à R$ 50 millions par infraction, en plus d'avertissements, de la suspension du traitement des données et de la divulgation publique de l'infraction.
📍 En une phrase
La LGPD (Lei nº 13.709/2018) est la loi brésilienne sur la protection des données, appliquée par l'ANPD, qui exige une base légale, les droits des personnes concernées et des restrictions sur le transfert de données personnelles hors du Brésil.
💬 En termes simples
La LGPD est la version brésilienne d'une loi sur la vie privée comme le RGPD européen. Si votre entreprise traite des informations personnelles sur des personnes au Brésil — noms, e-mails, documents, tout ce qui identifie quelqu'un — la LGPD impose d'avoir une raison légale de le faire, de laisser les personnes consulter et supprimer leurs données, et d'être prudent lors de l'envoi de ces données vers d'autres pays. L'organisme qui l'applique s'appelle l'ANPD. Les amendes peuvent atteindre 2 % de votre chiffre d'affaires brésilien, jusqu'à R$ 50 millions par infraction.
Pourquoi l'IA cloud peine avec la LGPD
Une étude du Center for Technology and Society de la FGV Direito Rio (dans le cadre de son projet Platform Governance and Data Regulations) a évalué comment les grandes plateformes d'IA générative remplissent les obligations de la LGPD. Elle a examiné 14 critères pour ChatGPT, Gemini, Claude, Copilot, Grok, DeepSeek et Meta AI — et a constaté qu'aucune n'était pleinement conforme. Gemini, Claude et Meta AI ont obtenu les meilleurs résultats, satisfaisant chacune 10 critères sur 14.
Le manquement le plus constant était la transparence : de nombreuses plateformes ne rendent pas leurs politiques de confidentialité disponibles en portugais, ce qui contredit directement une exigence de la LGPD. L'ANPD a également publié une étude préliminaire sur l'IA générative, signalant une attention réglementaire au secteur.
Un deuxième problème structurel est la localisation des données. Lorsque vous envoyez un prompt à un service d'IA cloud, ces données quittent généralement le Brésil et sont traitées sur des serveurs à l'étranger. La LGPD restreint les transferts internationaux de données personnelles sauf si des garanties spécifiques s'appliquent — l'usage routinier d'une IA cloud étrangère pour des données personnelles ou sensibles comporte donc un risque de transfert.
Ceci n'est pas un conseil juridique. Le tableau ci-dessous résume des facteurs de risque observables publiquement ; consultez un DPO ou un avocat avant de confier des données réglementées à une plateforme.
| Plateforme d'IA cloud | Politique de confidentialité en PT ? | Les données quittent-elles le Brésil ? | Risque LGPD |
|---|---|---|---|
| ChatGPT | Non | Oui | Élevé |
| Gemini | Partielle* | Oui | Élevé |
| Claude | Partielle* | Oui | Élevé |
| Copilot | Partielle* | Oui | Élevé |
| DeepSeek | Non | Oui | Élevé |
| Grok | Non | Oui | Élevé |
| Meta AI | Partielle* | Oui | Élevé |
*« Partielle » reflète une couverture en portugais mixte ou incomplète au moment de l'étude de la FGV ; vérifiez le statut actuel directement auprès de chaque fournisseur. Les sept plateformes présentaient des manquements sur les 14 critères de la LGPD examinés. Ce tableau résume des facteurs de risque et n'est pas un conseil juridique.
Comment l'IA locale traite la souveraineté des données
Exécuter un LLM localement signifie que l'inférence se déroule sur du matériel que vous contrôlez — un ordinateur portable, une station de travail ou un serveur sur site. Les prompts que vous envoyez, les documents que vous fournissez et les réponses générées ne quittent jamais votre infrastructure. Il n'y a aucun transfert international de données au moment de l'inférence, ce qui supprime le plus grand point de friction de la LGPD avec l'IA cloud. Cette approche rejoint la logique de minimisation prônée par des autorités comme la CNIL française, qui recommande de limiter au strict nécessaire les données envoyées à des services tiers.
Pour une configuration locale rapide, Ollama exécute des modèles avec une seule commande sous Windows, macOS ou Linux. Pour des serveurs uniquement CPU ou des environnements isolés (air-gapped), llama.cpp offre un contrôle granulaire. Les deux gardent tout le traitement en local.
L'IA locale n'est pas à elle seule une solution de conformité complète. Vous avez toujours besoin d'une base légale pour traiter des données personnelles, de processus pour honorer les droits des personnes concernées sur toutes les données que vous stockez dans des logs ou des bases de données, d'une politique de conservation des données et d'une gouvernance interne des données. Lorsque votre échelle et vos types de données l'exigent, vous avez toujours besoin d'un DPO. Ce que l'inférence locale supprime, c'est le problème du transfert transfrontalier — elle ne supprime pas vos autres obligations LGPD.
Ceci est informatif, et non un conseil juridique. Un déploiement local devrait être examiné par votre DPO ou votre conseil juridique dans le cadre d'un programme de conformité global.
Configuration recommandée pour les entreprises brésiliennes
Une pile d'IA locale pratique et compatible LGPD pour la plupart des entreprises brésiliennes combine un runtime facile avec un modèle performant en portugais. Pour la partie modèles spécifiquement, voir notre guide complémentaire sur les meilleurs LLM locaux pour le portugais brésilien.
- Runtime — Ollama (recommandé) : installation et gestion des modèles en une commande sous Windows, macOS ou Linux. Meilleur point de départ pour la plupart des équipes.
- Runtime — LM Studio : une interface graphique pour les utilisateurs non techniques ; prend en charge le chargement direct des modèles GGUF.
- Modèle — Qwen3 8B : portugais brésilien solide, fonctionne avec 8GB de VRAM. `ollama run qwen3:8b`.
- Modèle — Qwen3 14B : qualité supérieure pour un portugais nuancé, nécessite ~9GB de VRAM. `ollama run qwen3:14b`.
- Modèle — Llama 3.1 8B : alternative compétitive en portugais, également sur Ollama. `ollama run llama3.1:8b`.
- Matériel : toute machine avec 8GB+ de RAM exécute de petits modèles en CPU uniquement ; 16GB de RAM (ou un GPU avec 8GB+ de VRAM) offre une vitesse interactive utilisable pour les modèles 8B ; 16GB+ de VRAM pour les modèles 14B.
IA cloud vs LLM local pour la LGPD
La comparaison ci-dessous se concentre sur les différences pertinentes pour la LGPD entre l'utilisation d'un service d'IA cloud étranger et l'exécution d'un LLM local sur votre propre infrastructure.
| Facteur | IA cloud (ChatGPT/Gemini/Claude) | LLM local (Ollama + Qwen3) |
|---|---|---|
| Localisation des données | Serveurs à l'étranger | Votre propre matériel au Brésil |
| Politique de confidentialité en portugais | Souvent absente ou partielle | Vous contrôlez la documentation |
| Risque de transfert international | Élevé (les données quittent le Brésil) | Aucun lors de l'inférence |
| Contrôle des données lors de l'inférence | Contrôlé par le fournisseur | Entièrement le vôtre |
| Coût de mise en œuvre | Faible installation, frais à l'usage | Matériel en amont, aucun frais à l'usage |
| Exposition à un audit de l'ANPD | Plus élevée (transfert + lacunes de transparence) | Plus faible pour la résidence des données |
| Supervision par un DPO nécessaire | Oui | Oui (l'IA locale ne supprime pas cela) |
Le déploiement local réduit le risque de résidence et de transfert des données mais n'apporte pas, à lui seul, une conformité totale à la LGPD. Ce tableau est informatif, et non un conseil juridique.
FAQ
Exécuter un LLM local rend-il mon entreprise conforme à la LGPD ?
Non — pas à lui seul. Cela aide considérablement pour la résidence des données, car les données ne quittent jamais votre infrastructure au moment de l'inférence. Mais vous avez toujours besoin d'une base légale pour le traitement, de processus pour les droits des personnes concernées, de politiques de conservation des données et d'un DPO le cas échéant. Ceci est informatif, et non un conseil juridique.
Est-il illégal pour les entreprises brésiliennes d'utiliser ChatGPT ou Gemini ?
Pas automatiquement. Utiliser l'IA cloud n'est pas interdit, mais les organisations peuvent faire l'objet d'un examen de l'ANPD — en particulier lors du traitement de données personnelles sensibles via des services qui transfèrent des données à l'étranger sans garanties adéquates ou sans politique de confidentialité en portugais. Évaluez le risque avec votre DPO.
Quelles données restent locales lorsque j'exécute un LLM localement ?
Tout ce qui est impliqué dans l'inférence : les prompts que vous envoyez, tous les documents que vous fournissez au modèle et les réponses qu'il génère. Rien de cela ne quitte votre machine ou votre serveur pendant le traitement.
Ai-je toujours besoin d'un DPO si j'utilise l'IA locale ?
Cela dépend de votre échelle de traitement et des types de données que vous manipulez. L'IA locale simplifie le tableau de la résidence des données mais ne supprime pas les obligations relatives au DPO. Confirmez votre exigence spécifique avec un conseil juridique.
Quel modèle de LLM local fonctionne le mieux pour le portugais ?
Qwen3 8B est le choix pratique le plus solide pour la plupart des utilisateurs, Sabiá-3 de Maritaca AI offrant la plus haute qualité en portugais. Voir notre guide complémentaire : meilleurs LLM locaux pour le portugais brésilien.
Puis-je exécuter l'IA locale sur un ordinateur portable professionnel standard ?
Oui. Qwen3 8B fonctionne sur une machine avec 16GB de RAM à environ 2–4 tokens/s en CPU uniquement via Ollama. Avec un GPU (8GB+ de VRAM), la vitesse interactive bondit à 15–20 tokens/s.
Qu'est-ce que l'ANPD ?
L'ANPD (Autoridade Nacional de Proteção de Dados) est l'autorité nationale brésilienne de protection des données, établie sous la LGPD pour superviser et appliquer la loi. Les orientations officielles sont disponibles sur gov.br/anpd.
L'étude de la FGV constitue-t-elle une orientation officielle du gouvernement ?
Non. L'étude provient du Center for Technology and Society de la FGV Direito Rio, une institution académique. Pour des orientations officielles, consultez l'ANPD sur gov.br/anpd.
Qu'en est-il de la LGPD pour les données RH et des employés dans les outils d'IA ?
Les données des employés et des candidats sont des données personnelles au sens de la LGPD, et le traitement RH implique souvent des catégories sensibles. Introduire de telles données dans une IA cloud soulève des questions de transfert et de base légale ; l'IA locale les garde en interne, mais vous avez toujours besoin de gouvernance. Examinez cela avec votre DPO.
Comment la LGPD se compare-t-elle au RGPD ?
Elles partagent une structure : toutes deux accordent des droits aux personnes concernées, exigent une base légale et restreignent les transferts internationaux. Les sanctions de la LGPD atteignent jusqu'à 2 % du chiffre d'affaires brésilien, plafonnées à R$ 50 millions par infraction — des plafonds nominaux inférieurs à ceux du RGPD, mais appliquées par l'ANPD brésilienne.
Lectures complémentaires
- Meilleurs LLM locaux pour le portugais brésilien (2026) — Quels modèles produisent la meilleure sortie en PT-BR et comment les exécuter
- Local AI and LGPD — English Version
- IA Local e LGPD — Versão em Português
- Checklist de sécurité et de confidentialité des LLM locaux — Renforcer un déploiement d'IA locale
- Conformité d'entreprise : RGPD, HIPAA, SOC2 — Comment les LLM locaux s'inscrivent dans d'autres cadres réglementaires
- Que sont les LLM locaux ?
- Configuration de LLM local pour les équipes — Déployer l'IA locale dans une entreprise
- LLM locaux On-Prem et Air-Gapped — Isolation maximale des données pour les charges réglementées
Sources
- FGV Direito Rio, Center for Technology and Society. "Study assesses how generative AI platforms fulfill legal obligations in the processing of personal data." Platform Governance and Data Regulations project — https://portal.fgv.br/en/noticias/study-assesses-how-generative-ai-platforms-fulfill-legal-obligations-processing-personal
- ANPD (Autoridade Nacional de Proteção de Dados). Étude préliminaire sur l'IA générative — référencée via l'analyse du Future of Privacy Forum, fpf.org
- Brésil. Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD). Texte officiel — planalto.gov.br