Aperçu du RGPD portugais 2026 — lecture rapide
Le Portugal applique intégralement le RGPD/GDPR européen 2016/679 (RGPD), complété par la loi nationale Lei n.º 58/2019 (LPDP) publiée le 8 août 2019. L'autorité de contrôle est la CNPD (Comissão Nacional de Proteção de Dados), basée à Lisbonne. Tout opérateur e-commerce portugais doit exploiter une bannière cookies conforme, une politique de confidentialité en portugais, un registre des traitements (ROPA), des accords de traitement des données (DPA) au titre de l'article 28 avec chaque sous-traitant, et la capacité opérationnelle de répondre aux demandes des personnes concernées sous 30 jours et de notifier la CNPD des violations sous 72 heures. Les amendes peuvent atteindre 20 M€ ou 4 % du chiffre d'affaires annuel mondial — la CNPD a prononcé des sanctions de plusieurs millions d'euros depuis 2018.
Le paysage portugais de la protection des données en 2026
Trois instruments juridiques et une autorité de contrôle régissent les données personnelles pour tout site e-commerce au Portugal. Le jeu de fiches ci-dessous est à garder sous la main pour chaque approfondissement.
RGPD — Regulamento Geral de Proteção de Dados
Règlement UE 2016/679 · en vigueur depuis le 25 mai 2018 · directement applicable dans les 27 États membres de l'UE, y compris le Portugal
Lei n.º 58/2019 — LPDP portugaise
Loi de transposition nationale · publiée le 8 août 2019 · ajoute des spécificités nationales sur l'âge du consentement, la vidéosurveillance, le traitement à des fins journalistiques
CNPD — Comissão Nacional de Proteção de Dados
Autorité portugaise de protection des données · fondée en 1994 · siège Av. D. Carlos I 134, Lisbonne · 7 commissaires élus par le parlement
Écosystème RGPD de l'UE — CEPD & DPF
Le CEPD harmonise les pratiques entre les autorités de contrôle · le DPF UE-US (juillet 2023) réactive les transferts vers les États-Unis
DPO / EPD — Encarregado de Proteção de Dados
Obligatoire en cas de suivi à grande échelle ou de traitement de catégories particulières de données · indépendant · coordonnées publiées au registre de la CNPD et dans la politique de confidentialité
Transferts transfrontaliers — SCC + DPF
Clauses contractuelles types (CCT de l'UE 2021) · importateurs certifiés au titre du Data Privacy Framework UE-US · analyse d'impact des transferts (TIA) obligatoire
Prêt à rendre votre boutique portugaise conforme à la CNPD ?
Zunapro intègre la conformité RGPD dans chaque connexion à une place de marché portugaise — bannière de consentement, registre des traitements, DPA article 28, workflow de traitement des demandes, et plan d'action 72 heures en cas de violation. La conformité comme infrastructure, pas comme réflexion après coup.
1. RGPD & Lei 58/2019 — le cadre portugais à deux niveaux
Le RGPD : un règlement, 27 pays
Le Regulamento Geral de Proteção de Dados (RGPD) est la désignation en langue portugaise du règlement UE 2016/679, adopté le 27 avril 2016 et applicable depuis le 25 mai 2018. En tant que règlement européen (et non directive), le RGPD a un effet direct au Portugal — ses 99 articles s'imposent à tout responsable de traitement et sous-traitant établi au Portugal, ainsi qu'à tout responsable établi hors UE qui propose des biens ou services à des personnes au Portugal (article 3, paragraphe 2, extraterritorialité).
Les mêmes obligations s'appliquent, que l'opérateur soit un entrepreneur individuel à Lisbonne, une sociedade por quotas (Lda) à Porto, une entreprise allemande livrant au Portugal, ou un vendeur américain sur Shopify ciblant les consommateurs portugais. Le règlement est neutre sur le plan technologique et fondé sur le risque : les traitements à haut risque (profilage, catégories particulières, surveillance à grande échelle) déclenchent des obligations renforcées.
La Lei 58/2019 : la couche portugaise
Le RGPD laisse délibérément plus de 50 « clauses d'ouverture » aux États membres. Le Portugal a exercé ces options via la Lei n.º 58/2019 du 8 août — la Lei de Proteção de Dados Pessoais (LPDP) — publiée plus d'un an après la date d'application du RGPD, remplaçant l'ancienne Lei 67/98. La LPDP ajoute des règles spécifiquement portugaises en complément du RGPD :
- Âge du consentement — 13 ans (article 16 LPDP, en dessous du seuil par défaut de 16 ans du RGPD). Les enfants de moins de 13 ans nécessitent un consentement parental vérifiable.
- Régime de vidéosurveillance (articles 19 à 22 LPDP) — signalisation de la vidéosurveillance, conservation (30 jours par défaut), notification à la CNPD pour les espaces publics.
- Traitement journalistique/académique/artistique (article 24 LPDP) — exemptions limitées équilibrant protection des données et liberté d'expression.
- Infractions administratives (articles 37 à 50 LPDP) — règles de procédure spécifiquement portugaises complétant les amendes de l'article 83 du RGPD.
Lei das Comunicações Eletrónicas — la couche cookies
Un troisième instrument complète le cadre juridique : la Lei n.º 41/2004, transposition portugaise de la directive européenne ePrivacy 2002/58/CE. L'article 5, paragraphe 3, est la base légale de l'obligation de consentement aux cookies — cookies, pixels, fingerprinting et technologies de stockage local nécessitent un consentement préalable, libre et éclairé, qu'ils traitent ou non des données personnelles. Tout site e-commerce portugais a besoin d'une bannière cookies en raison du droit ePrivacy, et non du RGPD lui-même.
💡 Lire le guide complet d'intégration aux places de marché portugaises
Connectez Amazon.es/.fr, Worten, Fnac, Continente et KuantoKusta avec une capture de consentement conforme RGPD et la génération automatique du registre des traitements.
2. CNPD — l'autorité portugaise de protection des données
L'institution
La Comissão Nacional de Proteção de Dados (CNPD) est l'autorité de contrôle indépendante du Portugal. Créée par la Lei n.º 10/91 du 29 avril, elle est l'une des plus anciennes autorités de protection des données de l'UE, antérieure de quatre ans à la directive de 1995 sur la protection des données. La CNPD opère sous la supervision de l'Assembleia da República, avec une pleine indépendance fonctionnelle et décisionnelle (article 52 du RGPD).
La CNPD est composée de sept membres : un président élu par le parlement pour un mandat unique de cinq ans, plus six membres (deux parlementaires, deux gouvernementaux, deux cooptés). Son siège se trouve Avenida D. Carlos I, n.º 134, 1200-651 Lisbonne.
Les pouvoirs de la CNPD
En vertu des articles 57 à 58 du RGPD, complétés par la Lei 58/2019 :
- Pouvoirs d'enquête — demander des informations, mener des audits et inspections, accéder aux installations et registres de traitement
- Pouvoirs correctifs — avertissements, rappels à l'ordre, injonctions de se conformer aux demandes des personnes concernées, rectification, effacement, interdictions de traitement, suspension des flux transfrontaliers
- Amendes administratives — jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial
- Pouvoirs d'autorisation et de conseil — approbation des BCR, CCT, mécanismes de certification ; conseil au parlement et au gouvernement
Comment contacter la CNPD
- Site web —
cnpd.pt(registre des décisions, formulaire de plainte, formulaire de notification de violation) - E-mail général —
[email protected] - Notification de violation — formulaire en ligne dédié sur cnpd.pt
- Enregistrement du DPO — formulaire en ligne, coordonnées requises dans les 30 jours suivant la nomination
La CNPD face aux autres autorités de contrôle de l'UE — le style portugais
Le style d'application de la CNPD est modéré mais techniquement rigoureux. Par rapport à l'AEPD espagnole (très procédurière, des milliers de décisions par an) ou à la CNIL française (annonces publiques de sanctions importantes), la CNPD rend moins de décisions mais se concentre sur les violations systémiques et coopère étroitement via le mécanisme de cohérence du CEPD. L'e-commerce portugais attire généralement l'attention de la CNPD par trois voies : les plaintes des personnes concernées, les notifications obligatoires de violation, et les audits déclenchés par une couverture médiatique ou un examen politique.
🛡️ Zunapro se synchronise automatiquement avec les exigences de la CNPD
Modèle de registre des traitements, plan d'action en cas de violation, workflow de traitement des demandes et fiche de contact du DPO — tout est préconfiguré au format CNPD et rédigé en portugais pour vos consommateurs.
3. Bannière de consentement aux cookies — obligatoire sur tout site portugais
La base légale
L'obligation de consentement aux cookies repose au Portugal sur deux bases légales complémentaires : l'article 5, paragraphe 3, de la directive européenne ePrivacy 2002/58/CE, transposée par la Lei n.º 41/2004, et les exigences de consentement de l'article 7 du RGPD. L'effet combiné est que tout cookie, pixel, SDK, script de fingerprinting, objet de stockage local ou technologie de suivi similaire qui n'est pas strictement nécessaire à la fourniture du service explicitement demandé par l'utilisateur nécessite un consentement préalable, libre, spécifique, éclairé et univoque.
Ce qui relève du « strictement nécessaire »
Une catégorie restreinte est exemptée de consentement car strictement nécessaire au service demandé : cookies de session (connexion, panier), jetons CSRF, cookies d'équilibrage de charge, le cookie de préférence de consentement lui-même, l'état du lecteur multimédia pour un contenu activement demandé, et la personnalisation de l'interface choisie par l'utilisateur (langue, mode sombre). Tout le reste — GA4, pixel Meta, pixel TikTok, Hotjar, Clarity, retargeting, cookies de tests A/B, polices de CDN tiers, lecteurs YouTube/Vimeo intégrés, boutons de réseaux sociaux se chargeant avant toute interaction — nécessite un consentement explicite avant le dépôt.
À quoi ressemble une bannière conforme
Les Orientações sobre cookies (2019/494) de la CNPD, mises à jour en 2022, définissent les exigences minimales :
- Le premier niveau doit proposer « Accepter », « Refuser » et « Gérer les préférences ». Le refus doit être aussi visible que l'acceptation (même couleur, taille, position). Les boutons « Refuser » en texte estompé de type dark pattern sont interdits (CEPD).
- Le second niveau — des commutateurs granulaires par catégorie non essentielle, désactivés par défaut.
- Aucun cookie wall — refuser l'accès en cas de refus du consentement est illégal (lignes directrices CEPD 05/2020).
- Pas de « continuer la navigation vaut consentement » — faire défiler ou naviguer ne constitue pas un consentement.
- Le retrait aussi simple que l'octroi du consentement — bouton flottant persistant ou lien en pied de page.
- Nouvelle demande tous les 6 à 12 mois, journal d'audit du consentement conformément à l'article 7, paragraphe 1, du RGPD.
Le piège du bouton Refuser : le constat le plus fréquent des audits de la CNPD en 2024-2026 concerne les bannières asymétriques — un bouton vert « Tout accepter » bien visible à côté d'un petit texte souligné gris « Refuser ». Ceci est considéré comme un défaut d'obtention d'un consentement valide et expose chaque dépôt de cookie à des sanctions. Utilisez la bannière de consentement validée CNPD de Zunapro →
Niveaux de la bannière de consentement — quelles catégories proposer
🍪 Lire le guide complet du consentement cookies au Portugal
Les Orientações CNPD 2019/494 ligne par ligne, une checklist des dark patterns, la configuration de Consent Mode v2 pour GA4, et la bannière de consentement intégrée Zunapro, pré-validée pour le public portugais.
4. Politique de confidentialité — obligatoire et constamment à jour
L'obligation d'information de l'article 13
Les articles 12, 13 et 14 du RGPD imposent à tout responsable de traitement de fournir aux personnes concernées des informations détaillées au moment de la collecte des données. Pour un site e-commerce, ce moment correspond généralement à chaque soumission de formulaire — inscription, paiement, newsletter, contact, formulaire d'avis. En pratique, ces informations sont regroupées dans un document unique, la politique de confidentialité (Política de Privacidade), accessible depuis chaque page et présentée à nouveau à chaque point de collecte.
Contenu minimal obligatoire
Une politique de confidentialité défendable devant la CNPD en 2026 comprend au minimum :
- Identité du responsable de traitement — dénomination sociale, NIPC, siège social, e-mail de contact
- Coordonnées du DPO le cas échéant — e-mail dédié tel que
[email protected] - Finalités du traitement — liste détaillée (traitement des commandes, service client, marketing, analyse, prévention de la fraude, comptabilité)
- Base légale par finalité — article 6, paragraphe 1, du RGPD (consentement, contrat, obligation légale, intérêts vitaux, intérêt public, intérêts légitimes)
- Test de mise en balance des intérêts légitimes lorsque l'article 6, paragraphe 1, point f, est invoqué
- Destinataires — passerelles de paiement, transporteurs, places de marché, hébergement cloud, prestataires d'e-mailing
- Transferts internationaux — pays de destination, mécanisme (CCT / décision d'adéquation / DPF), lien vers les garanties
- Durées de conservation par catégorie (factures 10 ans, marketing tant que le consentement subsiste, analyse 14 mois)
- Droits des personnes concernées — énumération complète incluant le droit de réclamation auprès de la CNPD
- Caractère légal ou contractuel de la fourniture des données et conséquences d'un refus
- Prise de décision automatisée et profilage, le cas échéant, y compris la logique et la portée
- Date de dernière mise à jour et historique des versions
Portugais clair — article 12 du RGPD
L'article 12, paragraphe 1, du RGPD exige une politique concise, transparente, intelligible et facilement accessible, rédigée en langage clair et simple. La CNPD a critiqué à plusieurs reprises des politiques rédigées uniquement en anglais alors qu'elles ciblent des consommateurs portugais (l'article 2 de la Lei 58/2019 renforce l'exigence de la langue portugaise), le recyclage de modèles génériques sans nommer les sous-traitants réels, la dissimulation d'informations essentielles dans un jargon juridique de 10 000 mots, ou la fusion de la politique de confidentialité avec les conditions d'utilisation.
Notice en couches — bonne pratique
La CNPD approuve l'approche de la notice en couches préconisée par le CEPD : un résumé court en haut de page (1 à 2 paragraphes sur l'identité, les finalités et les droits), suivi de détails complets dans des sections déroulantes, ainsi qu'une « fiche d'information » à chaque formulaire (une notice de collecte de 2 à 3 phrases renvoyant vers la politique complète) pour se conformer à l'article 13.
📜 Politique de confidentialité portugaise générée automatiquement
Zunapro génère une politique de confidentialité en portugais, défendable devant la CNPD, basée sur vos intégrations réelles avec les places de marché, vos prestataires de paiement et votre pile d'analyse — mise à jour automatiquement dès qu'un nouveau sous-traitant est connecté.
5. Nomination du DPO — quand et comment
Quand un DPO est-il obligatoire ?
L'article 37 du RGPD rend un DPO (Encarregado de Proteção de Dados — EPD) obligatoire dans trois cas : (a) les autorités publiques (à l'exception des juridictions) ; (b) l'activité principale consiste en un suivi régulier et systématique à grande échelle ; (c) l'activité principale consiste en un traitement à grande échelle de données de catégories particulières ou de données pénales. Pour l'e-commerce portugais, le critère pratiquement déclencheur est le (b). Les lignes directrices du CEPD (WP 243 rev.01, adoptées par la CNPD) précisent que l'« activité principale » exclut les fonctions accessoires comme la paie ; le caractère « à grande échelle » s'apprécie de manière contextuelle (nombre de personnes concernées, volume, durée, portée géographique).
Exemples pratiques de seuils déclencheurs
Seuils concrets où un DPO est fortement recommandé ou obligatoire :
- 10 000+ clients en CRM avec segmentation comportementale
- Retargeting actif sur Meta + Google Ads + TikTok avec appariement inter-appareils
- Programme de fidélité suivant l'historique des transactions sur plusieurs canaux et dans la durée
- Opérateur de place de marché traitant simultanément les données de vendeurs et d'acheteurs
- E-commerce santé, beauté ou pharmacie traitant des données pouvant relever des données de santé au sens de l'article 9
- Boutique de produits pour enfants gérant des parcours de consentement parental pour les moins de 13 ans
Ce que fait le DPO
Les articles 38 et 39 du RGPD définissent les missions et les protections du DPO :
- Informer et conseiller le responsable de traitement, le sous-traitant et les employés sur leurs obligations
- Contrôler le respect du RGPD, de la Lei 58/2019 et des politiques internes, y compris la formation
- Conseiller sur les AIPD lorsqu'elles sont déclenchées par l'article 35
- Coopérer avec la CNPD en tant que point de contact avec l'autorité de contrôle
- Indépendance — ne peut recevoir d'instructions sur ses missions ni être révoqué pour leur exercice (article 38, paragraphe 3)
- Absence de conflit d'intérêts — le DPO ne peut être PDG, directeur marketing, directeur informatique ou directeur des ressources humaines
DPO interne ou externe + enregistrement auprès de la CNPD
Un DPO peut être un salarié ou un prestataire externe. Pour les PME portugaises, un service externe de DPO-as-a-Service coûte généralement entre 350 € et 1 500 €/mois selon la complexité. L'article 37, paragraphe 7, du RGPD oblige le responsable de traitement à publier les coordonnées du DPO et à en informer la CNPD via son formulaire en ligne, mis à jour dans les 30 jours suivant tout changement. Le défaut de notification constitue une violation procédurale passible d'une amende pouvant atteindre 10 M€ ou 2 % du chiffre d'affaires.
👤 DPO-as-a-Service pour les vendeurs portugais
Zunapro s'associe à des spécialistes portugais du RGPD pour proposer des services externes de DPO à partir de 350 €/mois — enregistrement CNPD, assistance AIPD, plan d'action en cas de violation et audit de conformité trimestriel inclus.
6. Droits des personnes concernées — SLA opérationnel
Les huit droits des personnes concernées au Portugal
Le chapitre III du RGPD accorde à toute personne (client, prospect, contact fournisseur ou employé) un ensemble de droits opposables :
- Droit à l'information (articles 13-14) — exercé via la politique de confidentialité et les notices de collecte
- Droit d'accès (article 15) — confirmation que des données sont traitées, plus une copie des données et du contexte de traitement
- Droit de rectification (article 16) — correction de données inexactes ou incomplètes
- Droit à l'effacement (article 17, « droit à l'oubli ») — suppression lorsqu'un des six motifs s'applique
- Droit à la limitation du traitement (article 18) — « gel » temporaire dans l'attente d'une vérification
- Droit à la portabilité des données (article 20) — export lisible par machine des données fournies par la personne concernée
- Droit d'opposition (article 21) — absolu contre la prospection directe ; test de mise en balance pour les autres traitements
- Droit de ne pas faire l'objet d'une décision entièrement automatisée (article 22) — y compris le profilage produisant des effets juridiques ou similaires significatifs
Délai de réponse — article 12, paragraphe 3, du RGPD
Les responsables de traitement doivent répondre sous 30 jours, prolongeable de deux mois en cas de complexité ou de volume — la prolongation doit être communiquée dans le premier mois avec ses motifs. Pour l'e-commerce portugais gérant des milliers d'enregistrements sur plusieurs places de marché, ce délai est opérationnellement exigeant. La plupart des manquements proviennent de données fragmentées dispersées entre Shopify, Amazon Seller Central, Worten Marketplace, e-mail et logiciel comptable. Un registre client centralisé comme celui de Zunapro fait passer le délai de réponse de l'article 15 de plusieurs jours à quelques minutes.
Vérification d'identité & refus
L'article 12, paragraphe 6, du RGPD n'autorise une vérification d'identité supplémentaire qu'en cas de doute raisonnable. Pratique courante : valider l'e-mail enregistré, demander éventuellement un document d'identité caviardé. Le refus n'est autorisé que lorsque la demande est manifestement infondée ou excessive ; le responsable de traitement doit le démontrer et peut sinon appliquer des frais raisonnables.
Droit à l'effacement contre obligation légale de conservation
Tension opérationnelle courante : un client demande l'effacement au titre de l'article 17, mais le responsable de traitement doit conserver les factures pendant 10 ans (Código do IVA, article 52) et les documents comptables pendant 10 ans (Código Comercial, article 40). L'article 17, paragraphe 3, point b, du RGPD résout ce conflit — l'effacement ne s'applique pas aux données traitées pour le respect d'une obligation légale. Traitement pratique : anonymiser les données marketing et comportementales, conserver les données de facturation/comptabilité dans une archive verrouillée à accès restreint, et informer le client par écrit de ce qui a été supprimé ou conservé.
Conseil opérationnel : mettez en place un workflow de traitement des demandes générant des enregistrements prêts pour un audit : horodatage de réception, vérification d'identité, périmètre de recherche, données exportées, caviardages appliqués, réponse fournie. La CNPD exigera cette traçabilité lors de tout audit déclenché par une plainte. Le workflow de traitement des demandes de Zunapro →
7. Violation de données personnelles — la fenêtre de notification de 72 heures
Ce qui constitue une violation
L'article 4, point 12, du RGPD définit une violation de données à caractère personnel comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ». Trois catégories se chevauchent en pratique :
- Violation de confidentialité — divulgation ou accès non autorisé (fuite de données, exfiltration par un pirate, e-mail mal adressé)
- Violation d'intégrité — altération non autorisée des données (falsification de base de données, chiffrement par rançongiciel)
- Violation de disponibilité — perte d'accès aux données (verrouillage par rançongiciel sans récupération, destruction de serveur)
Notification à la CNPD — article 33
En cas de violation, le responsable de traitement doit notifier la CNPD dans les 72 heures suivant la prise de connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. La notification doit inclure :
- La nature de la violation, y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements affectés
- Le nom et les coordonnées du DPO ou d'un autre point de contact
- Les conséquences probables de la violation
- Les mesures prises ou proposées pour remédier à la violation et en atténuer les effets négatifs éventuels
Lorsque l'information complète ne peut être fournie sous 72 heures, une notification partielle est acceptable, le reste devant suivre sans délai injustifié. Le formulaire en ligne de notification de violation de la CNPD permet des mises à jour progressives — la soumission initiale peut être un avis conservatoire suivi de mises à jour détaillées dans les jours suivants.
Notification aux personnes concernées — article 34
Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés, le responsable de traitement doit également communiquer la violation aux personnes concernées sans délai injustifié, en portugais clair, en décrivant concrètement la violation, avec les coordonnées du DPO, les conséquences et les mesures d'atténuation. Trois exceptions de l'article 34, paragraphe 3, dispensent de la notification directe : les données étaient chiffrées avec des clés non compromises, des mesures ultérieures ont éliminé le risque élevé, ou la notification exigerait des efforts disproportionnés (auquel cas une communication publique est requise à la place).
Registre interne des violations & plan d'action 2026
L'article 33, paragraphe 5, du RGPD exige de documenter toutes les violations de données personnelles (même les violations à faible risque n'ayant pas nécessité de notification) : horodatage de la prise de connaissance, source de détection, classification, périmètre, catégories et nombre de personnes concernées, évaluation du risque, décision de notification et horodatages, remédiation, analyse des causes profondes, enseignements tirés. Un plan d'action opérationnel de 72 heures :
- Heure 0 — Détection — alerte, tri immédiat, identification du périmètre
- Heures 0-4 — Confinement — révocation des identifiants, isolement des systèmes, préservation des éléments forensiques
- Heures 4-24 — Évaluation du risque — le DPO dirige l'analyse et la décision de notification
- Heures 24-48 — Notification initiale à la CNPD via le formulaire cnpd.pt (avis conservatoire acceptable)
- Heures 48-72 — Notification complète, décision sur la communication aux personnes concernées au titre de l'article 34
- Jours 3-7 — Communication aux personnes concernées si nécessaire (e-mail + communiqué public)
- À partir du jour 7 — Enseignements tirés, mise à jour du registre, suivi avec la CNPD
Le délai court à partir de la « prise de connaissance », pas de la « survenance ». Une violation survenue plusieurs semaines auparavant mais détectée seulement aujourd'hui déclenche tout de même une fenêtre de 72 heures à compter de la détection. Inversement, soupçonner que « quelque chose ne va peut-être pas » ne constitue pas encore une prise de connaissance — seule une certitude raisonnable qu'une violation s'est produite déclenche le délai. La détection des violations + le plan d'action 72h de Zunapro →
8. Transferts de données transfrontaliers — les CCT après Schrems II
Le séisme Schrems II
Le 16 juillet 2020, la Cour de justice de l'Union européenne a rendu son arrêt Schrems II (C-311/18), invalidant le cadre du Privacy Shield UE-US qui régissait jusqu'alors environ 5 000 flux de données transatlantiques. La Cour a réaffirmé la validité des clauses contractuelles types (CCT), mais a ajouté une condition essentielle : le responsable de traitement doit vérifier que le droit et la pratique du pays de destination offrent un niveau de protection substantiellement équivalent à celui du RGPD ; à défaut, des mesures supplémentaires doivent être mises en œuvre ou le transfert suspendu.
La boîte à outils des transferts en 2026
Cinq mécanismes du chapitre V du RGPD peuvent légalement autoriser des transferts hors EEE :
- Article 45 — Décision d'adéquation — actuellement : Andorre, Argentine, Canada (commercial), îles Féroé, Guernesey, Israël, île de Man, Japon, Jersey, Nouvelle-Zélande, Corée du Sud, Suisse, Royaume-Uni, Uruguay. L'Islande, le Liechtenstein et la Norvège comptent comme faisant partie de l'EEE.
- Article 46 — Garanties appropriées — CCT, BCR, codes de conduite approuvés, certifications.
- Article 47 — Règles d'entreprise contraignantes — intragroupe, approuvées par l'autorité chef de file et le CEPD.
- Article 49 — Dérogations — consentement explicite (occasionnel uniquement), nécessité contractuelle, intérêts publics/vitaux. Non adapté à l'activité courante.
- Data Privacy Framework UE-US (DPF) — en vigueur depuis le 10 juillet 2023, remplaçant le Privacy Shield. Les importateurs américains auto-certifiés (AWS, Google, Microsoft, Meta, Salesforce, HubSpot, Mailchimp, Stripe, Shopify) bénéficient d'une base d'adéquation au titre de l'article 45.
Les CCT UE 2021 + analyse d'impact des transferts
Les CCT 2021 de la Commission (décision d'exécution 2021/914) sont modulaires, avec quatre scénarios : responsable de traitement→responsable de traitement, responsable de traitement→sous-traitant, sous-traitant→sous-traitant, sous-traitant→responsable de traitement. Les anciennes CCT de 2010 ont été abrogées pour les nouveaux contrats à compter du 27 septembre 2021 et pour tous les contrats à compter du 27 décembre 2022 — toute CCT de 2010 encore utilisée en 2026 est invalide et doit être migrée immédiatement.
À la suite de Schrems II et des recommandations 01/2020 du CEPD, les responsables de traitement doivent réaliser une analyse d'impact des transferts (TIA) pour chaque transfert ne bénéficiant pas d'une décision d'adéquation : cartographie du transfert, mécanisme (CCT/BCR/DPF), évaluation du droit d'accès des autorités du pays tiers (FISA 702 aux États-Unis), mesures supplémentaires (chiffrement au repos avec clés détenues dans l'UE, pseudonymisation), conclusion sur l'équivalence substantielle de la protection. La CNPD n'exige pas la soumission préalable de la TIA mais l'exigera lors de tout audit impliquant des sous-traitants hors EEE.
Pile technologique pratique 2026
- Cloud (AWS / GCP / Azure) — certifié DPF + régions UE ; privilégier les régions UE, documenter le DPF comme solution de repli
- E-mail (Mailchimp, SendGrid) — certifié DPF ; les alternatives européennes comme Brevo sont souvent préférables
- Analyse (GA4) — certifié DPF + Consent Mode v2 + anonymisation IP
- Support client (Zendesk, Intercom) — DPF + options complémentaires de résidence des données dans l'UE disponibles
- API de places de marché (Amazon SP-API) — routées via l'UE pour les comptes vendeurs européens
🌍 Résidence des données dans l'UE par défaut
Zunapro héberge toutes les données clients portugaises dans des régions UE (Francfort + basculement Lisbonne), avec un repli certifié DPF pour tout sous-traitant uniquement basé aux États-Unis. Les modèles de TIA sont pré-remplis pour votre pile technologique.
9. Amendes de la CNPD — jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial
Sanctions à deux niveaux de l'article 83
L'article 83 du RGPD établit deux niveaux d'amende, la CNPD pouvant imposer le plus élevé entre le plafond fixe et le pourcentage du chiffre d'affaires :
| Niveau | Amende maximale | Violations couvertes |
|---|---|---|
| Niveau 1 (article 83, § 4) | 10 M€ ou 2 % du chiffre d'affaires annuel mondial | Registres (art. 30), sécurité (art. 32), notification de violation (art. 33-34), nomination du DPO (art. 37-39), AIPD (art. 35-36), consentement des mineurs (art. 8), certification, codes de conduite |
| Niveau 2 (article 83, § 5) | 20 M€ ou 4 % du chiffre d'affaires annuel mondial | Base légale (art. 5-6), conditions du consentement (art. 7), catégories particulières (art. 9), droits des personnes concernées (art. 12-22), transferts internationaux (art. 44-49), non-respect des injonctions de la CNPD |
| Lei 58/2019 | Infractions administratives spécifiquement portugaises | Les articles 37 à 50 de la LPDP ajoutent des amendes graduées pour des questions spécifiquement portugaises (vidéosurveillance sans signalisation, violation de l'exemption journalistique, etc.) |
Comment la CNPD calcule l'amende
Facteurs de l'article 83, paragraphe 2, pris en compte par la CNPD : nature, gravité et durée ; caractère intentionnel ou négligent ; efforts d'atténuation ; mesures techniques et organisationnelles ; infractions antérieures ; coopération avec la CNPD ; catégories de données concernées ; manière dont l'infraction a été portée à sa connaissance ; respect des codes de conduite ; avantages financiers obtenus ou pertes évitées.
Les amendes marquantes de la CNPD — bilan
- 4,3 M€ — INE (Instituto Nacional de Estatística, 2021) — transfert de données de recensement vers un sous-traitant américain sans garanties au titre de l'article 46 ; la plus importante amende RGPD portugaise à ce jour
- 1,25 M€ — Hospital do Barreiro (2018) — accès excessif à des dossiers cliniques ; la santé est un secteur prioritaire pour la CNPD
- 400 000 € — Câmara Municipal de Lisboa (2021) — divulgation de données personnelles d'organisateurs de manifestations
- 170 000 € — Banco Santander Totta (2021) — réponse inadéquate aux demandes des personnes concernées
- Multiples amendes de 10 000 à 75 000 € pour des PME concernant les bannières cookies, l'absence de coordonnées du DPO et les notifications tardives de violation
Au-delà de l'amende — la responsabilité civile
L'article 82 du RGPD accorde aux personnes concernées un droit à réparation pour tout dommage matériel ou moral. Les tribunaux portugais ont commencé à accorder des dommages-intérêts moraux (anxiété, perte de contrôle) de 500 à 5 000 € par personne concernée — multipliés par des milliers de personnes, la responsabilité civile peut largement dépasser l'amende administrative. La couverture médiatique des décisions de la CNPD est constante et nuit à la réputation, en particulier pour les marques B2C.
💼 Recommandations d'assurance cyber + RGPD
La plupart des assureurs commerciaux portugais proposent désormais des polices cyber-RGPD dédiées couvrant les amendes de la CNPD (lorsqu'elles sont assurables), la responsabilité civile au titre de l'article 82 et les coûts de réponse aux violations. Zunapro publie une liste de courtiers vérifiés.
10. La checklist de conformité RGPD 2026 pour l'e-commerce portugais
L'outil le plus utile pour traduire la réglementation en actions opérationnelles est une checklist concrète. La liste ci-dessous résume chaque point actionnable couvert dans ce guide, classé par risque d'application.
Gouvernance & documentation
- Nommer un DPO si les critères de l'article 37 s'appliquent, et l'enregistrer auprès de la CNPD
- Tenir un registre des traitements (article 30) couvrant chaque finalité, base légale, catégorie, durée de conservation, destinataire et transfert
- Réaliser une AIPD (article 35) pour les traitements à haut risque
- Signer des DPA au titre de l'article 28 avec chaque sous-traitant (cloud, e-mail, analyse, places de marché, paiements, transporteurs)
- Documenter les TIA pour chaque transfert hors EEE
- Tenir un registre interne des violations (article 33, § 5)
Côté utilisateur
- Publier une politique de confidentialité en portugais couvrant chaque élément des articles 13/14, en couches et versionnée
- Déployer une bannière cookies conforme à la CNPD — Accepter/Refuser symétriques, catégories granulaires désactivées par défaut, retrait persistant
- Afficher des notices de collecte à chaque formulaire (inscription, paiement, newsletter, avis)
- Proposer un canal simple pour les demandes des personnes concernées — e-mail et/ou formulaire web avec réponse sous 30 jours
- Respecter immédiatement le refus de la prospection directe (l'article 21, § 3, est absolu)
Technique & organisationnel
- Mettre en œuvre la sécurité de l'article 32 — chiffrement au repos et en transit, contrôle d'accès, MFA sur les panneaux d'administration, analyses de vulnérabilités
- Appliquer la minimisation des données dès la conception (article 25)
- Faire respecter les politiques de conservation avec suppression automatisée
- Pseudonymiser ou anonymiser dans la mesure du possible, en particulier pour l'analyse
- Tester le plan d'action 72 heures chaque année via un exercice de simulation
- Former le personnel manipulant des données personnelles — remise à niveau annuelle minimum
Audit de conformité trimestriel
Réalisez un audit trimestriel structuré couvrant : la fraîcheur du registre des traitements par rapport aux sous-traitants connectés ; la version de la politique de confidentialité par rapport à la réalité actuelle du traitement ; la liste des scripts de la bannière cookies par rapport aux catégories déclarées ; le journal des demandes des personnes concernées (nombre, délai de réponse, causes des retards) ; le registre des violations (incidents, causes profondes, remédiation) ; l'inventaire des DPA au titre de l'article 28 ; l'inventaire des TIA ; le journal de formation du personnel ; le journal d'activité du DPO (conseils, AIPD, échanges avec la CNPD).
Centralisez votre conformité RGPD portugaise dans un seul panneau
Zunapro regroupe chaque exigence RGPD — bannière de consentement, registre des traitements, DPA article 28, workflow de traitement des demandes, plan d'action en cas de violation, modèles de TIA et registre du DPO au format CNPD — aux côtés de vos intégrations aux places de marché Amazon, Worten, Fnac et Continente. La conformité comme infrastructure, pas comme réflexion après coup.
Activer la conformité RGPD →FAQ RGPD portugais 2026
Qu'est-ce que le RGPD et quel est son lien avec le GDPR ?
Le RGPD (Regulamento Geral de Proteção de Dados) est simplement le nom en langue portugaise du Règlement général sur la protection des données de l'UE 2016/679 (GDPR). Il s'agit littéralement du même règlement, seule l'appellation linguistique diffère.
Au Portugal, le RGPD est complété par la Lei n.º 58/2019 (LPDP — Lei de Proteção de Dados Pessoais), la loi de transposition nationale publiée le 8 août 2019, et appliqué par la CNPD (Comissão Nacional de Proteção de Dados), l'autorité de contrôle portugaise.
Qui est la CNPD et quels pouvoirs détient-elle ?
La CNPD (Comissão Nacional de Proteção de Dados) est l'autorité indépendante de protection des données du Portugal, créée par la Lei n.º 10/91 — ce qui en fait l'une des plus anciennes autorités de protection des données de l'UE. Elle est composée de sept membres sous la supervision de l'Assembleia da República.
La CNPD instruit les plaintes, contrôle les responsables de traitement et sous-traitants, rend des décisions contraignantes et impose des amendes administratives pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour des violations graves du RGPD. Son siège se trouve Avenida D. Carlos I, n.º 134, à Lisbonne.
Une bannière de consentement aux cookies est-elle légalement obligatoire au Portugal ?
Oui. L'article 5, paragraphe 3, de la directive européenne ePrivacy 2002/58/CE, transposée par la Lei n.º 41/2004, exige un consentement préalable avant le dépôt de tout cookie non essentiel. Les Orientações 2019/494 de la CNPD (mises à jour en 2022) détaillent les exigences : Accepter/Refuser symétriques, catégories granulaires désactivées par défaut, aucun cookie wall, pas de « continuer la navigation vaut consentement ».
Seuls les cookies strictement nécessaires (session, panier, CSRF, préférence de langue, stockage du consentement lui-même) sont exemptés de l'obligation de consentement. Tout le reste — Google Analytics, pixel Meta, pixel TikTok, retargeting, contenus tiers intégrés — nécessite un consentement préalable explicite.
Quand un site e-commerce portugais doit-il nommer un DPO ?
L'article 37 du RGPD rend un DPO (Encarregado de Proteção de Dados — EPD) obligatoire lorsque : (a) l'activité principale implique un suivi systématique à grande échelle des personnes (suivi comportemental, profilage, retargeting) ; (b) l'activité principale implique un traitement à grande échelle de données de catégories particulières (santé, biométrie, origine ethnique) ; ou (c) le responsable de traitement est un organisme public.
Les opérateurs e-commerce portugais de taille moyenne à grande pratiquant le retargeting, la publicité programmatique, le profilage de fidélité, ou traitant plus de 10 000 fiches clients, remplissent généralement ces critères et doivent nommer un DPO et enregistrer ses coordonnées auprès de la CNPD. Un DPO-as-a-Service externe est largement disponible à partir de 350 €/mois.
Quels droits les consommateurs portugais ont-ils en vertu du RGPD ?
Les articles 15 à 22 du RGPD accordent aux personnes concernées huit droits : accès, rectification, effacement (« droit à l'oubli »), limitation du traitement, portabilité des données dans un format lisible par machine, opposition au traitement (absolue contre la prospection directe), et le droit de ne pas faire l'objet d'une décision entièrement automatisée produisant des effets juridiques.
Les responsables de traitement doivent répondre sous 30 jours, prolongeable de 60 jours pour les demandes complexes. La réponse est gratuite sauf demande manifestement infondée ou excessive. Le refus doit être justifié et peut faire l'objet d'un recours auprès de la CNPD.
Qu'est-ce que la règle de notification sous 72 heures en cas de violation ?
L'article 33 du RGPD impose aux responsables de traitement de notifier la CNPD dans les 72 heures suivant la prise de connaissance d'une violation de données à caractère personnel, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes concernées. La CNPD propose un formulaire de notification en ligne sur cnpd.pt.
Si la violation est susceptible d'engendrer un risque élevé, l'article 34 impose également une notification directe aux personnes concernées sans délai injustifié. Le non-respect du délai de 72 heures constitue en soi une violation du RGPD passible d'amende (jusqu'à 10 M€ ou 2 % du chiffre d'affaires). Le délai court à partir de la prise de connaissance, et non de la survenance.
Comment le Portugal gère-t-il les transferts de données transfrontaliers après Schrems II ?
À la suite de l'arrêt Schrems II de la CJUE (C-311/18, juillet 2020), les transferts de données personnelles hors de l'EEE requièrent une garantie au titre de l'article 46 du RGPD. Le mécanisme par défaut pour l'e-commerce portugais est constitué des clauses contractuelles types de l'UE de 2021 (décision d'exécution 2021/914).
Les transferts vers les États-Unis peuvent également s'appuyer sur le Data Privacy Framework UE-US (DPF, en vigueur depuis juillet 2023) pour les importateurs certifiés — AWS, Google, Microsoft, Meta, Salesforce, HubSpot et d'autres. La CNPD attend des responsables de traitement qu'ils documentent une analyse d'impact des transferts (TIA) pour chaque transfert hors EEE.
Quelles sont les amendes maximales de la CNPD au titre du RGPD ?
L'article 83 du RGPD prévoit deux niveaux : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les violations procédurales (registres, sécurité, notification de violation, DPO), et jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les violations substantielles (base légale, consentement, droits des personnes concernées, transferts internationaux). Le montant le plus élevé entre le plafond et le pourcentage s'applique.
La CNPD a prononcé des amendes de plusieurs millions d'euros, notamment 4,3 M€ contre l'INE (Instituto Nacional de Estatística) en 2021 pour des transferts non sécurisés vers les États-Unis, 1,25 M€ contre l'Hospital do Barreiro, ainsi qu'une série d'amendes pour des PME concernant les bannières cookies et le traitement des demandes des personnes concernées.
Ai-je besoin d'une politique de confidentialité écrite sur mon site e-commerce portugais ?
Oui. Les articles 12, 13 et 14 du RGPD imposent aux responsables de traitement de fournir aux personnes concernées des informations complètes sur le traitement — identité du responsable de traitement et du DPO, finalités et bases légales, destinataires, pays de transfert international, durées de conservation, droits des personnes concernées y compris le droit d'introduire une réclamation auprès de la CNPD.
La politique de confidentialité doit être rédigée en portugais clair et simple (l'article 2 de la Lei 58/2019 renforce cette exigence linguistique), distincte des conditions d'utilisation, facilement accessible depuis chaque page (généralement via un lien en pied de page), et mise à jour dès qu'un nouveau sous-traitant est intégré ou qu'une nouvelle finalité est ajoutée. Les modèles génériques copiés-collés échouent régulièrement aux contrôles de la CNPD.
Combien de temps dois-je conserver les données clients en vertu du RGPD ?
Le RGPD impose la minimisation des données et la limitation de la conservation (article 5, paragraphe 1, points c à e). La conservation dans l'e-commerce portugais est échelonnée : données de facturation 10 ans (Código do IVA, article 52) ; documents comptables 10 ans (Código Comercial, article 40) ; consentement marketing conservé indéfiniment tant qu'il subsiste mais devant être revérifié périodiquement ; données d'analyse web généralement 14 à 26 mois ; enregistrements de vidéosurveillance 30 jours maximum (délibération CNPD 7680/2014).
Chaque catégorie doit être documentée dans le registre des activités de traitement (article 30 du RGPD) et mentionnée dans la politique de confidentialité. L'effacement au titre de l'article 17 ne prévaut pas sur les obligations légales de conservation — pour les factures, conservez-les dans une archive verrouillée plutôt que de les supprimer.
Google Analytics est-il légal au Portugal en 2026 ?
Oui, sous réserve de garanties. Après Schrems II, plusieurs autorités de protection des données de l'UE (Autriche, France, Italie) ont jugé illégales les implémentations standard de GA3. Google Analytics 4 (GA4), associé à la certification au titre du Data Privacy Framework UE-US (en vigueur depuis juillet 2023) et à l'anonymisation des adresses IP, offre désormais une position défendable au Portugal — la CNPD n'a pas interdit GA4.
Bonne pratique : déployer GA4 avec Consent Mode v2, l'anonymisation IP activée, les Google Signals désactivés lorsqu'ils ne sont pas strictement nécessaires, et une analyse d'impact des transferts documentée. Le balisage côté serveur via GTM SS dans une région de l'UE réduit encore l'exposition liée aux transferts. Les alternatives exclusivement européennes comme Plausible et Matomo éliminent totalement le problème.
Quelle est la différence entre responsable de traitement et sous-traitant ?
Article 4 du RGPD : un responsable de traitement (responsável pelo tratamento) détermine les finalités et les moyens du traitement — généralement l'entreprise e-commerce elle-même. Un sous-traitant (subcontratante) traite les données pour le compte du responsable de traitement selon des instructions documentées — typiquement des prestataires tels que les hébergeurs cloud, les fournisseurs de services d'e-mailing, les places de marché et les prestataires de paiement.
L'article 28 du RGPD impose un accord de traitement des données (DPA) écrit entre le responsable de traitement et le sous-traitant pour chaque activité de traitement. Les places de marché comme Amazon et les grands éditeurs SaaS publient des DPA standard ; les petits vendeurs portugais ont souvent besoin d'un DPA en portugais sur mesure. Le responsable de traitement comme le sous-traitant s'exposent aux amendes de l'article 83 en cas de non-conformité.
Puis-je utiliser la base légale de l'intérêt légitime au lieu du consentement ?
Parfois. L'article 6, paragraphe 1, point f, du RGPD n'autorise le traitement fondé sur l'intérêt légitime qu'après un test de mise en balance documenté en trois étapes : (1) l'intérêt est légitime ; (2) le traitement est nécessaire ; (3) l'intérêt n'est pas supplanté par les droits de la personne concernée.
Cela fonctionne pour la prévention de la fraude, l'administration interne, la sécurité des réseaux et une partie de la prospection directe B2B. Cela ne fonctionne pas pour les cookies/traceurs (l'ePrivacy prévaut), ni pour les données de catégories particulières, ni pour le marketing envers les personnes ayant fait opposition. Le test de mise en balance doit être documenté dans le registre des traitements.
Que se passe-t-il si un client dépose une plainte auprès de la CNPD ?
La CNPD ouvre un dossier, contacte le responsable de traitement pour obtenir des observations écrites (généralement sous 10 à 20 jours ouvrés), peut demander des documents (registre des traitements, politique de confidentialité, journal des demandes, registre des violations, DPA), et mène une enquête écrite ou sur place. La procédure se conclut par un classement sans suite, un avertissement, une injonction corrective ou une amende administrative.
La coopération et une posture de conformité démontrable réduisent considérablement la probabilité d'une amende. La console RGPD de Zunapro produit sur demande tous les documents standard au format portugais accepté par la CNPD.
Rendez votre e-commerce portugais conforme au RGPD en un clic
Bannière cookies conforme CNPD · politique de confidentialité en portugais · registre des traitements · DPA article 28 · workflow de traitement des demandes · plan d'action 72 heures en cas de violation · modèles de TIA · fiche de contact du DPO. Intégré à chaque connexion aux places de marché portugaises sur Zunapro. Aucune démo legal-tech requise, aucun contrat long.
🛡️ Activer la conformité RGPD →Besoin d'aide ?
Service associé: E-Commerce