Fait partie de notre série Compliance & Regulation
Lire le guide completLoi sur la protection des données des Émirats arabes unis : Guide de conformité des entreprises
Les Émirats arabes unis ont développé l'un des cadres de protection des données les plus sophistiqués du Moyen-Orient, avec de multiples lois qui se chevauchent pour régir la protection des données dans les juridictions fédérales, des zones franches et sectorielles. Comprendre quelle loi s'applique à votre entreprise – et garantir le respect de tous les régimes applicables – est essentiel pour opérer légalement dans l'économie numérique en croissance rapide des Émirats arabes unis.
La principale législation des Émirats arabes unis en matière de protection des données comprend : le décret-loi fédéral n° 45/2021 sur la protection des données personnelles (PDPL) en vigueur en septembre 2021, la loi DIFC sur la protection des données de 2020 (pour les entreprises du centre financier international de Dubaï), la réglementation sur la protection des données de l'ADGM de 2021 (pour les entreprises du marché mondial d'Abu Dhabi) et des réglementations spécifiques au secteur couvrant les soins de santé, les télécommunications et les services financiers.
Points clés à retenir
- Le PDPL des Émirats arabes unis (décret-loi fédéral n° 45/2021) s'applique au traitement des données personnelles aux Émirats arabes unis avec une portée extraterritoriale
- Les zones franches DIFC et ADGM disposent de leurs propres lois indépendantes sur la protection des données, calquées sur le RGPD
- Le PDPL des Émirats arabes unis fournit huit bases juridiques pour le traitement ; le consentement et les intérêts légitimes sont les plus couramment utilisés
- Les droits des personnes concernées comprennent l'accès, la rectification, la suppression, la portabilité, le retrait du consentement et l'opposition.
- Les transferts de données transfrontaliers nécessitent soit une détermination de l'adéquation, soit des garanties appropriées
- L'UAE Data Office (UAEDO) est l'autorité fédérale de surveillance ; Le commissaire du DIFC et l'autorité de régulation de l'ADGM supervisent leurs zones franches respectives
- Les sanctions prévues par le PDPL comprennent des amendes allant jusqu'à 20 millions d'AED (5,4 millions de dollars) et des peines d'emprisonnement pour certaines violations.
- Les données de santé, les données financières et les données biométriques bénéficient d'une protection renforcée en tant que données sensibles
Cadre de protection des données des Émirats arabes unis : chevauchement des juridictions
PDPL fédéral (EAU continentale)
Le décret-loi fédéral n° 45/2021 sur la protection des données personnelles (communément appelé PDPL ou UAE DPL) s'applique à :
- Personnes physiques résidant aux Emirats Arabes Unis
- Toute entité traitant des données personnelles aux Émirats arabes unis ou concernant des résidents des Émirats arabes unis, quel que soit l'endroit où le traitement a lieu
- Personnes morales qui traitent des données personnelles sur le territoire des Émirats arabes unis
Le PDPL a été complété par la décision du Cabinet de réglementation exécutive n° 33/2022, qui fournit des exigences de mise en œuvre détaillées. Le Bureau des données des Émirats arabes unis (UAEDO) supervise l’application, les exigences d’enregistrement et la délivrance de directives.
Loi DIFC sur la protection des données 2020 (loi DP)
Le Centre financier international de Dubaï (DIFC) est une zone franche indépendante dotée de son propre système juridique basé sur la common law anglaise. La loi DIFC sur la protection des données de 2020, administrée par le commissaire à la protection des données du DIFC, reflète fidèlement le RGPD dans sa structure et ses exigences. Il s'applique à :
- Entités enregistrées au DIFC qui traitent des données personnelles
- Entités extérieures au DIFC qui traitent les données des individus du DIFC
Règlement ADGM sur la protection des données 2021
La zone franche du marché mondial d'Abu Dhabi (ADGM) suit une approche similaire à celle du DIFC, avec des réglementations sur la protection des données administrées par l'autorité d'enregistrement de l'ADGM. Ces réglementations suivent également de près les principes du RGPD.
Implication pratique : Une entreprise opérant depuis la partie continentale de Dubaï avec une filiale enregistrée au DIFC et une succursale de l'ADGM est potentiellement confrontée à des obligations au titre des trois régimes simultanément. Comprendre la structure de votre entité juridique est le point de départ de la cartographie de la conformité.
PDPL des Émirats arabes unis : obligations fondamentales
Définition et catégories des données personnelles
En vertu du PDPL des Émirats arabes unis, les données personnelles désignent toutes les données qui conduisent à l'identification d'une personne physique, directement ou indirectement, que ce soit par son nom, sa voix, sa photo, son numéro d'identification ou toute autre caractéristique ou donnée relative à l'identité physique, psychologique, économique, culturelle ou sociale.
Les données personnelles sensibles (nécessitant une protection renforcée) comprennent :
- Données liées à l'origine familiale ou raciale
- Opinions politiques
- Croyances religieuses ou philosophiques
- Données liées au casier judiciaire
- Données biométriques
- Données de santé
- Données relatives aux enfants
Le traitement de données sensibles nécessite un consentement explicite ou relève de dérogations spécifiques (obligation légale, nécessité médicale, intérêts vitaux).
Bases juridiques du traitement
L’article 5 du PDPL des Émirats arabes unis reconnaît huit bases juridiques :
- Consentement explicite de la personne concernée
- Exécution du contrat avec la personne concernée
- Conformité à l'obligation légale
- Protection des intérêts vitaux de la personne concernée ou d'un tiers
- Intérêt public ou exercice de l'autorité publique
- Intérêts légitimes du responsable du traitement ou d'un tiers (sauf si les intérêts de la personne concernée l'emportent)
- Établissement, exercice ou défense de droits en justice
- À des fins d'archivage, de recherche ou de statistiques dans l'intérêt public
Exigences en matière de consentement : en vertu du PDPL des Émirats arabes unis, le consentement doit être explicite, spécifique, éclairé et vérifiable. Le responsable du traitement doit être en mesure de démontrer que le consentement a été obtenu. Le retrait du consentement doit être aussi simple que son octroi, et le traitement fondé sur le consentement doit cesser dès le retrait.
Droits des personnes concernées
Le PDPL des Émirats arabes unis accorde aux personnes concernées des droits qui doivent être respectés dans un délai de 30 jours (prolongables avec justification) :
| Droite | Descriptif |
|---|---|
| Droit d'accès | Obtenir une copie des données personnelles en cours de traitement |
| Droit de rectification | Corriger les données inexactes ou incomplètes |
| Droit à l'effacement | Supprimer des données dans des circonstances déterminées (consentement retiré, traitement illégal) |
| Droit à la restriction | Restreindre le traitement en attendant la résolution des litiges |
| Droit à la portabilité | Recevez des données dans un format structuré et lisible par machine |
| Droit de retirer son consentement | Retirer le consentement à tout moment sans affecter le traitement préalable |
| Droit d'opposition | S'opposer au traitement fondé sur des intérêts légitimes |
| Droit de ne pas être soumis à des décisions automatisées | S'opposer aux décisions entièrement automatisées ayant des effets significatifs |
Exercice des droits : les responsables du traitement doivent établir des canaux clairs pour recevoir et répondre aux demandes de droits. Les refus doivent être documentés et justifiés.
Obligations du contrôleur et du sous-traitant
Obligations du contrôleur
Inscription auprès de l'UAEDO : les entreprises traitant des données personnelles peuvent être tenues de s'inscrire auprès du bureau de données des Émirats arabes unis. L’UAEDO élabore des exigences d’enregistrement au moyen de réglementations supplémentaires – surveillez les directives de l’UAEDO pour connaître les exigences actuelles.
Avis de confidentialité : doit être fourni aux personnes concernées au moment ou avant la collecte, révélant :
- Identité et coordonnées du responsable du traitement
- Finalités et base juridique du traitement
- Catégories de données personnelles collectées
- Délais de conservation des données
- Droits des personnes concernées et comment les exercer
- Informations sur les virements transfrontaliers
- Si la fourniture de données est obligatoire ou volontaire
Délégué à la protection des données : Le PDPL des Émirats arabes unis exige la nomination d'un délégué à la protection des données (DPO) pour :
- Organismes publics
- Responsables du traitement ou sous-traitants dont les activités principales nécessitent une surveillance systématique à grande échelle des individus
- Responsables du traitement ou sous-traitants dont les activités principales impliquent un traitement à grande échelle de données sensibles
Les entreprises privées ne répondant pas à ces critères peuvent néanmoins bénéficier de la nomination d’un DPD à des fins de gouvernance.
Mesures de sécurité : Mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées compte tenu de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits des personnes concernées.
Accords de processeur
Les sous-traitants doivent traiter les données uniquement sur instructions documentées du contrôleur. Les accords entre responsables du traitement et sous-traitants doivent couvrir :
- Instructions et portée du traitement des données
- Obligations de confidentialité
- Exigences de sécurité
- Restrictions du sous-traitant secondaire
- Assistance concernant les droits des personnes concernées
- Obligations de restitution ou de suppression des données
Règles de transfert de données transfrontalières
L'article 22 du PDPL des Émirats arabes unis restreint les transferts de données personnelles en dehors des Émirats arabes unis. Mécanismes de transfert autorisés :
| Mécanisme | Exigences |
|---|---|
| Décision d'adéquation | Transfert vers un pays offrant un niveau de protection adéquat (selon la détermination de l'UAEDO) |
| Garanties appropriées | Clauses contractuelles types ou règles d'entreprise contraignantes |
| Règles d'entreprise contraignantes | Pour les transferts intragroupe entre filiales |
| Consentement explicite | Consentement éclairé de la personne concernée |
| Nécessité du contrat | Transfert nécessaire à l'exécution du contrat entre la personne concernée et le responsable du traitement |
| Procédures judiciaires | Transfert nécessaire aux réclamations légales |
| Intérêts vitaux | Transfert nécessaire pour protéger des intérêts vitaux |
Décisions d'adéquation de l'UAEDO : L'UAEDO élabore actuellement la liste des pays bénéficiant d'une protection adéquate des données. Début 2026, la liste d’adéquation formelle est toujours en cours d’établissement. Dans la pratique, de nombreuses entreprises des Émirats arabes unis utilisent des clauses contractuelles pour les transferts transfrontaliers.
Considérations sur les zones franches : DIFC et ADGM ont leurs propres mécanismes de transfert. La loi DIFC sur la protection des données reconnaît les transferts vers des pays adéquats (y compris les pays adéquats au RGPD), les règles d'entreprise contraignantes et les clauses contractuelles types. Le commissaire du DIFC a approuvé des mécanismes de transfert spécifiques.
Loi DIFC sur la protection des données 2020 — Différences clés
Pour les entreprises opérant dans ou via le DIFC, la loi DIFC DP 2020 s'applique directement et est plus alignée sur le RGPD que la PDPL fédérale. Principales caractéristiques :
Six bases juridiques (correspondant au RGPD) : consentement, contrat, obligation légale, intérêts vitaux, mission publique, intérêts légitimes
Exigences de consentement plus strictes : consentement écrit requis pour le traitement de catégories particulières de données personnelles ; le consentement doit être donné librement (la considération du déséquilibre des pouvoirs s’applique)
Notification de violation de données : notification dans les 72 heures au commissaire du DIFC ; notification individuelle en cas de risque élevé – identique au calendrier RGPD
Exigence DPO : Mêmes seuils que le RGPD (surveillance systématique, données de catégories spéciales à grande échelle, autorité publique)
Amendes : jusqu'à 100 000 USD pour les infractions de niveau 1 ; illimité pour le niveau 2 (infractions graves, délibérées ou imprudentes)
Analyses d'impact sur la protection des données : requises pour les traitements à haut risque (mêmes déclencheurs que l'article 35 du RGPD)
Exigences de protection des données spécifiques au secteur
Données de santé
La loi sur les données de santé des Émirats arabes unis (loi fédérale n° 2/2019) et les réglementations de l'autorité sanitaire de Dubaï imposent des exigences supplémentaires sur les données de santé :
- Consentement du patient requis pour le partage de données de santé (avec exceptions spécifiques pour la santé publique et la recherche)
- Les données de santé doivent être stockées aux Émirats arabes unis, sauf si le transfert transfrontalier est spécifiquement autorisé
- Les dossiers de santé électroniques doivent répondre à des normes spécifiques de sécurité et d'interopérabilité
- La Dubai Health Authority maintient des exigences obligatoires en matière de localisation des données pour les données de santé.
Services financiers
La Banque centrale des Émirats arabes unis et la Securities and Commodities Authority (SCA) ont des exigences en matière de protection des données et de cybersécurité pour les institutions financières. Les principales exigences comprennent :
- Classification et protection des données clients proportionnelles à leur sensibilité
- Notification client des violations de données dans des délais définis
- Restrictions sur le partage des données financières des clients sans consentement
- Conformité au cadre de cybersécurité (CBUAE Cybersecurity Framework pour les banques)
Données de télécommunications
L'Autorité de régulation des télécommunications (TRA) réglemente le traitement des données personnelles par les fournisseurs de télécommunications, notamment :
- Protections de la vie privée des abonnés
- Restrictions d'accès aux enregistrements des détails des appels
- Protections des données de localisation
- Exigences de localisation des données pour certaines données télécoms
Notification de violation dans le cadre du PDPL des Émirats arabes unis
L’article 16 du PDPL des Émirats arabes unis exige que les responsables du traitement notifient :
- The UAE Data Office : Dans les 72 heures suivant la prise de connaissance d'une violation de données personnelles susceptible d'entraîner des dommages aux personnes concernées.
- Personnes concernées : sans délai injustifié si la violation est susceptible d'entraîner un risque élevé pour leurs droits
La notification à l’UAEDO doit comprendre :
- Nature du manquement
- Catégories et nombre approximatif de personnes concernées
- Catégories et nombre approximatif d'enregistrements de données personnelles concernés
- Coordonnées du DPO
- Conséquences probables de la violation
- Mesures prises ou proposées pour remédier à la violation
Documentation : même si aucune notification n'est requise (car le risque pour les personnes concernées est peu probable), la violation doit être documentée en interne avec les faits, les effets et les actions correctives.
Pénalités et application du PDPL
Le Bureau des données des Émirats arabes unis (UAEDO) dispose de larges pouvoirs d'application, notamment en matière d'enquête, d'amendes administratives et de saisine du ministère public pour les affaires pénales.
Sanctions administratives :
- Des amendes allant jusqu'à 5 millions AED (1,36 million USD) pour violation des obligations du responsable du traitement/sous-traitant
- Des amendes allant jusqu'à 20 millions d'AED (5,44 millions de dollars) pour les violations impliquant des données sensibles ou causant un préjudice aux personnes concernées
Sanctions pénales : La loi fédérale n° 34/2021 sur la lutte contre les rumeurs et la cybercriminalité recoupe la PDPL pour certaines infractions liées aux données. Des délits spécifiques liés aux données peuvent entraîner des peines d'emprisonnement et/ou des amendes pouvant aller jusqu'à 3 millions d'AED.
Amendes du commissaire du DIFC : Amendes illimitées en cas de violations graves ; 100 000 $ pour les infractions mineures. Le DIFC a historiquement appliqué activement, avec des décisions publiées.
Liste de contrôle de conformité à la protection des données des Émirats arabes unis
- Loi applicable déterminée pour chaque entité juridique (PDPL fédérale, loi DIFC DP, ADGM DPR ou combinaison)
- Inventaire des données personnelles réalisé sur tous les systèmes
- Données sensibles identifiées et protections renforcées appliquées
- Base juridique documentée pour chaque activité de traitement
- Avis de confidentialité publié couvrant toutes les divulgations requises
- DPD désigné si nécessaire ; coordonnées publiées
- Procédures relatives aux droits des personnes concernées documentées (délai de réponse de 30 jours) -[ ] Accords de processeur examinés et mis à jour conformément aux exigences PDPL
- Évaluation des transferts transfrontaliers terminée — mécanismes en place -[ ] Localisation des données de santé évaluée le cas échéant
- Mesures de sécurité documentées et mises en œuvre proportionnellement au risque
- Procédure de notification de violation documentée (délai de 72 heures)
- Formation des employés sur les obligations PDPL/DIFC DP terminée
- Enregistrement UAEDO évalué selon la réglementation en vigueur
Questions fréquemment posées
Quelle loi des Émirats arabes unis sur la protection des données s'applique à mon entreprise en zone franche ?
Cela dépend de votre zone franche. Les entreprises enregistrées au DIFC sont soumises à la loi DIFC sur la protection des données 2020, qui est indépendante du PDPL fédéral. Les entreprises de l'ADGM sont soumises aux réglementations ADGM sur la protection des données 2021. Les entreprises des autres zones franches (JAFZA, DMCC, Dubai Internet City, etc.) sont généralement soumises au PDPL fédéral parallèlement aux propres réglementations de la zone franche. Dans de nombreux cas, en particulier pour les entreprises dont les activités s'étendent sur le continent des Émirats arabes unis et dans les zones franches, plusieurs cadres s'appliquent.
Le PDPL des Émirats arabes unis nécessite-t-il la localisation des données ?
Le PDPL des Émirats arabes unis lui-même n’impose pas d’exigences générales en matière de localisation des données : les transferts transfrontaliers sont autorisés sous réserve de garanties appropriées. Cependant, les réglementations spécifiques à un secteur (en particulier les soins de santé et les services financiers) peuvent imposer des exigences de localisation pour des catégories de données spécifiques. Le cadre de cybersécurité de la Banque centrale des Émirats arabes unis et les réglementations de la Dubai Health Authority imposent des obligations de résidence des données pour certaines données réglementées. Vérifiez toujours les exigences spécifiques au secteur en plus du PDPL.
Comment la protection des données des Émirats arabes unis s'applique-t-elle aux services cloud ?
Les fournisseurs de services cloud qui traitent des données personnelles des Émirats arabes unis pour le compte d'entreprises des Émirats arabes unis sont des sous-traitants en vertu de la PDPL. Ils doivent conclure des accords de sous-traitance avec les contrôleurs, mettre en œuvre des mesures de sécurité appropriées et se conformer aux exigences de transfert transfrontalier si les données sont stockées en dehors des Émirats arabes unis. Les entreprises des Émirats arabes unis utilisant des services cloud doivent vérifier : la conformité PDPL du fournisseur de cloud, si un BAA/DPA est en place et si l'emplacement de stockage des données nécessite des mécanismes de transfert transfrontalier.
Quelle est l'approche des Émirats arabes unis en matière d'IA et de prise de décision automatisée ?
Le PDPL des Émirats arabes unis comprend le droit de ne pas être soumis à des décisions fondées uniquement sur un traitement automatisé qui produisent des effets juridiques importants ou des effets tout aussi importants – nécessitant une intervention humaine sur demande. Les Émirats arabes unis ont également élaboré un cadre d’éthique de l’IA et la stratégie de Dubaï pour l’IA 2031, qui mettent l’accent sur la confidentialité des données et l’éthique dans l’IA. Les entreprises qui utilisent l’IA pour prendre des décisions importantes (évaluation du crédit, vérification des ressources humaines, classification des clients) doivent évaluer à la fois les obligations PDPL et les exigences de gouvernance de l’IA spécifiques au secteur.
Comment la protection des données aux Émirats arabes unis se compare-t-elle au RGPD ?
Le PDPL des Émirats arabes unis partage les principes fondamentaux du RGPD (légalité, équité, transparence, limitation de la finalité, minimisation des données, exactitude, limitation du stockage, sécurité, responsabilité) et les droits similaires des personnes concernées. Cependant, le PDPL est moins prescriptif dans certains domaines : les délais, les exigences de qualification du DPO et les exigences DPIA sont moins détaillées que le RGPD. La loi DIFC DP 2020 est nettement plus proche du RGPD dans sa structure et ses détails. Les organisations soumises à la fois au RGPD et au PDPL des Émirats arabes unis constateront que la conformité au RGPD constitue une base solide pour la conformité au PDPL, avec quelques ajouts spécifiques aux Émirats arabes unis nécessaires.
Prochaines étapes
L'environnement complexe de protection des données à plusieurs niveaux des Émirats arabes unis (PDPL fédéral, DIFC, ADGM et réglementations sectorielles) nécessite une approche de conformité structurée qui mappe les obligations à chaque entité juridique et flux de données concernés. L'équipe d'ECOSIRE a de l'expérience en matière de conformité dans les zones franches des Émirats arabes unis et dans les environnements continentaux, avec une expertise particulière dans la mise en œuvre de plates-formes technologiques qui répondent simultanément à plusieurs exigences réglementaires.
Commencez : Services ECOSIRE
Avertissement : ce guide est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les lois sur la protection des données des Émirats arabes unis évoluent et ce guide reflète les exigences du début de 2026. Consultez un conseiller juridique qualifié des Émirats arabes unis pour obtenir des conseils spécifiques à votre organisation et à votre juridiction.
Rédigé par
ECOSIRE Research and Development Team
Création de produits numériques de niveau entreprise chez ECOSIRE. Partage d'analyses sur les intégrations Odoo, l'automatisation e-commerce et les solutions d'entreprise propulsées par l'IA.
Articles connexes
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Plus de Compliance & Regulation
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.