app.brand
en English ar العربية ru Русский ur اردو zh 中文

Obligations des entreprises et droits des individus en vertu de la loi sur la protection des données aux Émirats

Obligations des entreprises et droits des individus en vertu de la loi sur la protection des données aux Émirats

Les données personnelles sont aujourd'hui devenues le nerf de l'économie numérique et l'une des sources de responsabilité juridique les plus sensibles pour les organisations aux Émirats arabes unis. Chaque nom, numéro de téléphone, adresse e-mail et enregistrement de transaction est désormais régi par un cadre législatif fédéral qui oblige les entreprises à protéger ce qu'elles collectent et confère aux individus un véritable pouvoir sur leurs données. Le législateur émirien a établi ce cadre par la loi fédérale sur la protection des données personnelles, qui concilie la libre circulation de l'information et les exigences des affaires, d'une part, et les droits fondamentaux des personnes concernées, d'autre part. Dans cet article, nous exposons les principales obligations des entreprises et les droits reconnus aux individus, en précisant qui est soumis à la loi et qui en est exempté.

Quelles sont les obligations des entreprises et les droits des individus en vertu de la loi sur la protection des données personnelles aux Émirats arabes unis ?

Le cadre juridique et l'autorité de contrôle

Le système de protection des données personnelles dans l'État repose sur la loi fédérale sur la protection des données personnelles, qui fixe les cadres généraux relatifs à la collecte, au traitement, à la conservation et à la protection des données personnelles, ainsi que les droits et devoirs de toutes les parties. La supervision de son application relève de l'Office des données des Émirats, institué par une loi fédérale distincte, qui constitue l'autorité de régulation compétente pour émettre des directives, recevoir les plaintes et contrôler la conformité. Plusieurs aspects procéduraux détaillés — tels que les sanctions, les règles de transfert transfrontalier et les limites des exemptions — sont renvoyés au règlement d'exécution de la loi.

Champ d'application : qui est soumis à la loi ?

La loi s'applique au traitement des données personnelles, en tout ou en partie, par des moyens électroniques ou autres, et elle a une portée extraterritoriale dans des cas déterminés. Son champ d'application comprend :

Personne concernéeToute personne résidant dans l'État ou y disposant d'un établissement.
Responsable / sous-traitant à l'intérieur de l'ÉtatTraite les données de personnes concernées à l'intérieur ou à l'extérieur de l'État.
Responsable / sous-traitant à l'extérieur de l'ÉtatTraite les données de personnes concernées résidant dans l'État.

Entités et cas exemptés de la loi

La loi définit expressément les cas auxquels ses dispositions ne s'appliquent pas — un point essentiel pour déterminer la législation applicable à chaque entité :

Cas exemptés
Les données publiques et les entités gouvernementales qui les contrôlent ou les traitent ; les données personnelles détenues par les autorités sécuritaires et judiciaires ; le traitement par une personne de ses propres données à des fins personnelles ; les données de santé soumises à une législation spéciale régissant leur protection ; les données bancaires et de crédit soumises à une législation spéciale ; et les entreprises et établissements situés dans des zones franches disposant de leur propre législation sur la protection des données personnelles.

Pourquoi les zones franches sont-elles indépendantes ? En vertu de cette exemption, les entités opérant dans des zones franches disposant de leur propre système — telles que le Dubai International Financial Centre et l'Abu Dhabi Global Market — sont soumises à leur législation indépendante et à leur propre autorité de contrôle, et non à la loi fédérale. L'Office des données des Émirats peut également exempter certains établissements ne traitant pas un volume important de données d'une partie des exigences, selon les règles du règlement d'exécution.

Le système de protection à plusieurs niveaux dans l'État

Loi fédérale
Le cadre général du continent et de la plupart des établissements, sous la supervision de l'Office des données des Émirats.
DIFC
Une loi indépendante de protection des données et une autorité dédiée pour les entités enregistrées au Dubai International Financial Centre.
ADGM
Des règlements indépendants de protection des données propres aux entités opérant au sein de l'Abu Dhabi Global Market.

Les principes de traitement des données personnelles

Loyauté, transparence et licéité
Les données sont traitées de manière loyale, transparente et licite.
Limitation des finalités
Collectées pour une finalité déterminée et claire, et non traitées ultérieurement de manière incompatible avec celle-ci.
Adéquation et minimisation
Adéquates et limitées à ce qui est nécessaire à la finalité du traitement.
Exactitude et mise à jour
Exactes et correctes, et mises à jour chaque fois que nécessaire.
Sécurité et protection
Conservées en sécurité par des mesures techniques et organisationnelles appropriées contre toute violation ou altération.
Limitation de la conservation
Non conservées au-delà de la réalisation de la finalité, sauf après anonymisation de l'identité de la personne concernée.

Le consentement et les cas de traitement licite sans consentement

En principe, le traitement des données personnelles sans le consentement de la personne concernée est interdit. Ce consentement doit pouvoir être prouvé par le responsable ; il doit être clair, simple, non équivoque et facilement accessible ; et il doit inclure le droit de le retirer aisément — sans que ce retrait affecte la licéité du traitement antérieur. La loi exempte de l'exigence de consentement certains cas où le traitement est licite, notamment :

La protection de l'intérêt public ; les données que la personne concernée a rendues accessibles à tous par son propre fait ; l'établissement de droits et d'actions juridiques, ou les procédures judiciaires et sécuritaires ; les finalités de médecine professionnelle ou préventive et de soins de santé ; la protection de la santé publique ; les finalités d'archivage et les études scientifiques, historiques et statistiques ; la protection des intérêts de la personne concernée ; les obligations d'emploi et de sécurité sociale ; l'exécution d'un contrat auquel la personne concernée est partie ; et l'exécution d'obligations prévues par d'autres lois.

Les obligations des entreprises (responsable et sous-traitant)

Obligations du responsable
Prendre les mesures techniques et organisationnelles appropriées pour sécuriser les données et préserver leur confidentialité et leur caractère privé ; appliquer la protection tant lors de la détermination des moyens de traitement que pendant celui-ci ; régler les paramètres par défaut sur ce qui est nécessaire à la finalité ; tenir un registre spécial des données personnelles ; désigner un sous-traitant offrant des garanties suffisantes ; et fournir à l'Office ce qu'il demande conformément à la loi.
Obligations du sous-traitant
Effectuer le traitement conformément aux instructions du responsable et aux contrats conclus ; appliquer la protection dès la conception ; respecter la finalité et la durée déterminées ; effacer les données après la fin du traitement ou les restituer ; ne pas les divulguer sauf dans les cas autorisés ; sécuriser l'opération de traitement ; et tenir un registre spécial. En cas de pluralité de sous-traitants sans contrat définissant les rôles, ils sont solidairement responsables.

La notification d'une violation de données

Dès qu'il a connaissance de toute violation ou atteinte portant sur la confidentialité, le caractère privé et la sécurité des données, le responsable doit notifier à l'Office la nature de la violation, ses causes, ses effets potentiels et les mesures prises, et doit en informer la personne concernée lorsque la violation touche ses données. Le sous-traitant doit informer le responsable dès qu'il en a connaissance, afin que celui-ci puisse en aviser l'Office.

La désignation d'un délégué à la protection des données (DPO)

Un délégué qualifié à la protection des données doit être désigné dans trois cas : si le traitement engendre un risque élevé pour la vie privée des données du fait de nouvelles technologies ou du volume des données ; s'il comporte une évaluation systématique et exhaustive de données sensibles, y compris le profilage et le traitement automatisé ; ou s'il porte sur un volume important de données sensibles. Le délégué vérifie la conformité, reçoit les demandes et les plaintes, et fait office de point de liaison avec l'Office.

Les droits des individus sur leurs données personnelles

Accès à l'information
Connaître les types de ses données, les finalités du traitement, les décisions automatisées, les parties avec lesquelles elles sont partagées et les règles de conservation — gratuitement.
Portabilité des données
Obtenir ses données dans un format structuré et lisible par machine, et les transférer à un autre responsable lorsque cela est techniquement possible.
Rectification et effacement
Rectifier les données inexactes et demander leur effacement dans des cas tels que la disparition de la finalité ou le retrait du consentement.
Limitation et suspension
Contraindre le responsable à limiter le traitement en cas de contestation de l'exactitude des données ou de leur non-conformité aux finalités ou à la loi.
Opposition au traitement automatisé
S'opposer aux décisions fondées sur le traitement automatisé et le profilage ayant un effet juridique ou significatif.
Communication et plainte
Communiquer directement avec le délégué à la protection des données et déposer des plaintes auprès de l'Office des données des Émirats.

Le transfert transfrontalier des données

Les données personnelles peuvent être transférées hors de l'État vers un pays ou un territoire assurant un niveau de protection adéquat, ou dans des cas déterminés, notamment : le consentement explicite de la personne concernée, d'une manière non contraire à l'intérêt public et sécuritaire ; lorsque le transfert est nécessaire à l'établissement de droits devant les autorités judiciaires ; pour conclure ou exécuter un contrat servant l'intérêt de la personne concernée ; pour une procédure relative à la coopération judiciaire internationale ; ou pour protéger l'intérêt public. Le règlement d'exécution fixe les règles de ces cas.

Le contrôle, les plaintes et les sanctions

Le rôle de l'Office des données des Émirats : la personne concernée peut déposer une plainte auprès de l'Office en cas d'atteinte à l'un de ses droits, et l'Office peut vérifier les causes des violations et infliger des sanctions administratives au responsable ou au sous-traitant qui enfreint les dispositions de la loi et les décisions prises pour son application. Le montant de ces sanctions administratives et leurs procédures sont déterminés par le règlement d'exécution de la loi, outre le pouvoir de l'Office d'émettre des directives et de suivre la conformité.

Références juridiques

Législation applicable : Décret-loi fédéral n° (45) de 2021 relatif à la protection des données personnelles, et Décret-loi fédéral n° (44) de 2021 relatif à la création de l'Office des données des Émirats.

Articles pertinents : champ d'application et exceptions (article 2), pouvoir d'exemption (article 3), traitement licite sans consentement (article 4), principes de traitement (article 5), consentement (article 6), obligations du responsable (article 7), obligations du sous-traitant (article 8), notification de violation (article 9), délégué à la protection des données (articles 10 à 12), droits des individus — accès à l'information, portabilité, rectification, effacement et limitation (articles 13 à 18), transfert transfrontalier (articles 22 et 23), plaintes et sanctions (articles 24 à 26).

Pour les entités en zones franches : Loi du DIFC sur la protection des données n° (5) de 2020, et les Règlements de l'ADGM sur la protection des données.

« La première étape pour toute organisation est de déterminer avec précision la législation à laquelle elle est soumise : la loi fédérale ou la législation d'une zone franche. Quiconque confond les deux systèmes risque de bâtir des politiques non conformes — la conformité commence par la compréhension du champ de la loi avant ses détails. »

— Maître Awadh Almheiri
Besoin d'un conseil en protection des données et en conformité ?

Notre équipe juridique aide les organisations et les individus à déterminer la législation applicable, à rédiger les politiques de confidentialité et les accords de traitement des données, à mettre en place les procédures de réponse aux violations et à exercer les droits prévus.

AWADH ALMHEIRI LAW FIRM AND LEGAL CONSULTATIONS

Foire aux questions

La loi fédérale s'applique-t-elle aux entreprises des zones franches ?+
La loi fédérale ne s'applique pas aux entreprises et établissements situés dans des zones franches disposant de leur propre législation sur la protection des données personnelles, tels que le Dubai International Financial Centre et l'Abu Dhabi Global Market, ces entités étant soumises à leur législation indépendante et à leur propre autorité de contrôle. Tous les autres établissements relèvent de la loi fédérale.
La loi s'applique-t-elle à une entreprise située hors de l'État ?+
Oui ; le champ de la loi s'étend à tout responsable ou sous-traitant situé hors de l'État qui traite les données personnelles de personnes concernées résidant dans l'État. Ce qui compte, c'est le lieu de résidence de la personne concernée, et non seulement l'implantation de l'entreprise.
Quand faut-il désigner un délégué à la protection des données ?+
La désignation est requise dans trois cas : si le traitement engendre un risque élevé pour la vie privée des données du fait de nouvelles technologies ou du volume des données ; s'il comporte une évaluation systématique et exhaustive de données sensibles, y compris le profilage et le traitement automatisé ; ou s'il porte sur un volume important de données sensibles.
Que faut-il faire en cas de violation de données ?+
Dès que le responsable a connaissance d'une violation portant sur la confidentialité, le caractère privé et la sécurité des données, il doit en informer l'Office des données des Émirats en précisant la nature de la violation, ses effets et les mesures prises, et doit en aviser la personne concernée lorsque la violation touche ses données. Le sous-traitant doit informer le responsable dès qu'il en a connaissance.
Comment un individu exerce-t-il ses droits ou dépose-t-il une plainte ?+
L'individu a le droit de communiquer directement avec le délégué à la protection des données de l'entité pour exercer ses droits tels que l'accès, la rectification, l'effacement, la limitation et l'opposition. Si l'un de ses droits est violé, il peut déposer une plainte auprès de l'Office des données des Émirats, qui procède à la vérification et prend les mesures appropriées.
Pour vous aider à vous mettre en conformité ou à exercer vos droits, notre équipe est à votre service.Contactez-nous
Une expertise juridique qui protège vos données et votre activité
Déterminer la législation applicable et bâtir les cadres de conformité
Rédiger les politiques de confidentialité et les accords de traitement des données
Procédures de réponse aux violations et représentation des individus dans l'exercice de leurs droits
Nous mettons notre expertise juridique à votre service

AWADH ALMHEIRI LAW FIRM AND LEGAL CONSULTATIONS

Avertissement juridique
Cet article a été préparé à des fins de diffusion de la culture juridique et de sensibilisation de la communauté, et ne constitue pas un conseil juridique ni un avis juridique sur une situation déterminée. Le traitement juridique varie selon les circonstances de chaque cas ; il est donc recommandé de consulter un conseiller juridique spécialisé avant d'entreprendre toute démarche. La consultation de ce contenu ne crée pas de relation avocat-client. En cas de divergence entre cette traduction et le texte arabe original, la version arabe prévaut.
Nos services à Dubaï

AWADH ALMHEIRI LAW FIRM AND LEGAL CONSULTATIONS à Dubaï offre ses services aux organisations et aux individus en matière de protection des données personnelles et de conformité à la vie privée — depuis la détermination de la législation applicable, qu'il s'agisse de la loi fédérale ou de la législation d'une zone franche telle que le Dubai International Financial Centre, et la mise en place des cadres de gouvernance et la rédaction des politiques de confidentialité et des accords de traitement, jusqu'à la gestion des demandes des individus, la réponse aux incidents de violation de données et les relations avec les autorités de contrôle compétentes.

Nos services dans les autres émirats

Nos services s'étendent à nos clients d'Abou Dabi, de Charjah, d'Ajman, d'Oumm al-Qaïwaïn, de Ras al-Khaïmah et de Foujaïrah, où nous accompagnons les organisations et les individus dans la compréhension de leurs obligations et de leurs droits relatifs aux données personnelles en vertu de la loi fédérale, et offrons des conseils pratiques aidant à concilier les exigences des affaires et la protection de la vie privée des individus, avec un suivi attentif de toute évolution législative touchant ce domaine vital.