Loi bahreinie sur la protection des donnees personnelles

Guide de conformite PDPL de Bahrein

La loi bahreinie sur la protection des donnees personnelles (loi n° 30 de 2018) etablit des exigences completes de protection des donnees. Que vous soyez une entite basee a Bahrein ou que vous traitiez des donnees de residents bahreiniens, nous vous aidons a atteindre une conformite complete avec des processus clairs et des preuves.

Demarrer l'evaluation de conformite Reserver une consultation

Qu'est-ce que la PDPL de Bahrein ?

La loi bahreinie sur la protection des donnees personnelles (PDPL), egalement connue sous le nom de loi n° 30 de 2018, est la legislation comprehensive de protection des donnees de Bahrein. Elle est entree en vigueur le 1er aout 2019 et etablit le cadre juridique pour le traitement des donnees personnelles au Royaume de Bahrein.

Autorite de controle : La loi est supervisee par l'Autorite de protection des donnees personnelles (PDPA), operant sous le ministere de la Justice, des Affaires islamiques et des Waqfs. La PDPA dispose de pouvoirs d'application incluant les enquetes, les audits et l'imposition de penalites.

En vigueur depuis

1er aout 2019

Statut juridique

Loi obligatoire avec penalites

Alignee avec les principes du RGPD et complete la PDPL saoudienne et la PDPL des EAU.

Qui doit se conformer ?

Organisations basees a Bahrein

Toute entite traitant des donnees personnelles a Bahrein

Responsables de traitement

Entites determinant les finalites et les moyens du traitement

Sous-traitants

Prestataires de services traitant des donnees pour le compte de responsables

Entites etrangeres

Organisations offrant des biens/services aux residents de Bahrein

Institutions financieres

Banques, assureurs et processeurs de paiement a Bahrein

Prestataires de sante

Hopitaux, cliniques traitant des donnees de sante des patients

Comment VerifyWise soutient la conformite PDPL de Bahrein

Des capacites completes repondant a chaque exigence de la loi

Inventaire et cartographie des donnees personnelles

Enregistrez toutes les activites de traitement avec des metadonnees structurees couvrant la finalite, la base juridique, les categories de donnees et les periodes de conservation. La plateforme maintient le registre de traitement que l'article 7 de la PDPL de Bahrein exige.

Couvre : Article 7 : Registres de traitement et obligations de transparence

Gestion du consentement et suivi de la base juridique

Capturez et documentez le consentement avec horodatage, finalite et mecanismes de retrait. Suivez les bases juridiques alternatives pour le traitement et maintenez les preuves de fondement de traitement licite.

Couvre : Article 5 : Conditions de traitement licite et exigences de consentement

Exercice des droits des personnes concernees

Gerez les demandes d'acces, de rectification, d'effacement et d'opposition avec des flux de travail integrant des delais de reponse. Generez des rapports demontrant la conformite aux obligations relatives aux droits des personnes concernees.

Couvre : Articles 8-13 : Droits des personnes concernees (acces, rectification, effacement, opposition)

Documentation des mesures de securite

Documentez les mesures de securite techniques et organisationnelles protegeant les donnees personnelles. Maintenez les preuves de chiffrement, controles d'acces, pseudonymisation et politiques de securite.

Couvre : Article 6 : Obligations de securite et de protection

Gestion des incidents de violation de donnees

Suivez les violations de donnees avec des flux de travail structures pour la notification a l'Autorite de protection des donnees personnelles et aux personnes concernees. Maintenez la chronologie des incidents et les preuves de remediation.

Couvre : Article 21 : Exigences de notification de violation de donnees

Conformite des transferts transfrontaliers

Documentez les transferts transfrontaliers de donnees avec les decisions d'adequation, les clauses contractuelles types ou les regles d'entreprise contraignantes. Suivez les mecanismes de transfert et maintenez les evaluations d'impact des transferts.

Couvre : Article 19 : Restrictions sur les transferts transfrontaliers de donnees

Toutes les activites de traitement sont suivies avec horodatages, documentation de base juridique et flux d'approbation. Cette piste d'audit demontre la conformite aux obligations PDPL et fournit des preuves pour les enquetes de l'Autorite de protection des donnees personnelles.

Couverture complete des exigences PDPL de Bahrein

VerifyWise fournit des controles dedies pour toutes les obligations cles de la PDPL

Controles de conformite PDPL

Controles avec outillage dedie

100%

Couverture sur toutes les categories

Traitement licite8/8

Consentement, interet legitime, obligations legales

Droits des personnes concernees6/6

Acces, rectification, effacement, opposition, portabilite

Securite et protection7/7

Mesures techniques et organisationnelles

Responsabilite5/5

Documentation, DPO, notification de violation

Conçu pour la conformite PDPL de Bahrein

Mappage par article

Controles mappes aux articles et obligations specifiques de la PDPL

Portail des personnes concernees

Portail en libre-service pour les demandes de droits et la gestion du consentement

Reporting PDPA

Generez des rapports pour les audits de l'Autorite de protection des donnees personnelles

Multi-juridiction CCG

Conformite unifiee pour les DPL de Bahrein, Arabie Saoudite, EAU, Qatar

Six principes cles de protection des donnees

Principes fondamentaux regissant tout traitement de donnees personnelles selon la PDPL de Bahrein

Liceite, loyaute et transparence

Traiter les donnees personnelles de maniere licite, loyale et transparente. Les personnes concernees doivent etre informees du traitement.

Exigences cles

• Base juridique du traitement
• Avis de confidentialite clairs
• Communication transparente

Limitation des finalites

Collecter les donnees personnelles pour des finalites determinees, explicites et legitimes. Pas de traitement ulterieur incompatible avec ces finalites.

Exigences cles

• Finalites specifiees
• Documentation explicite
• Utilisation compatible uniquement

Minimisation des donnees

Collecter uniquement les donnees personnelles adequates, pertinentes et limitees a ce qui est necessaire pour les finalites du traitement.

Exigences cles

• Evaluation de la necessite
• Collecte proportionnee
• Revisions regulieres

Exactitude

S'assurer que les donnees personnelles sont exactes et tenues a jour. Les donnees inexactes doivent etre effacees ou rectifiees sans delai.

Exigences cles

• Verification des donnees
• Mecanismes de mise a jour
• Procedures de correction

Limitation de la conservation

Conserver les donnees personnelles uniquement pendant la duree necessaire aux finalites pour lesquelles elles ont ete collectees.

Exigences cles

• Calendriers de conservation
• Procedures de suppression
• Politiques d'archivage

Integrite et confidentialite

Traiter les donnees personnelles de maniere securisee en utilisant des mesures techniques et organisationnelles appropriees.

Exigences cles

• Mesures de securite
• Controles d'acces
• Protections de confidentialite

Droits des personnes concernees

Six droits fondamentaux que la PDPL de Bahrein accorde aux individus

Droit d'acces

Les personnes concernees peuvent demander la confirmation que leurs donnees personnelles sont traitees et obtenir une copie des donnees.

Delai : Dans les 30 jours suivant la demande

• Confirmer le traitement
• Fournir une copie des donnees
• Divulguer les finalites et destinataires

Droit de rectification

Les personnes concernees peuvent demander la correction de donnees personnelles inexactes ou incompletes.

Delai : Sans retard injustifie

• Verifier l'exactitude
• Effectuer les corrections
• Notifier les tiers si applicable

Droit a l'effacement

Les personnes concernees peuvent demander la suppression des donnees personnelles lorsqu'elles ne sont plus necessaires ou que le consentement est retire.

Delai : Sans retard injustifie

• Evaluer les motifs d'effacement
• Supprimer les donnees
• Notifier les sous-traitants

Droit d'opposition

Les personnes concernees peuvent s'opposer au traitement base sur des interets legitimes ou a des fins de prospection commerciale.

Delai : Immediat pour le marketing

• Honorer l'opposition
• Cesser le traitement
• Documenter la decision

Droit de retrait du consentement

Les personnes concernees peuvent retirer leur consentement a tout moment lorsque le traitement est base sur le consentement.

Delai : Effet immediat

• Retrait facile
• Arreter le traitement
• Maintenir l'enregistrement du retrait

Droit a la portabilite des donnees

Les personnes concernees peuvent demander leurs donnees dans un format structure, couramment utilise et lisible par machine.

Delai : Dans les 30 jours suivant la demande

• Format structure
• Lisible par machine
• Transfert a un autre responsable si possible

Feuille de route de mise en oeuvre sur 20 semaines

Un chemin pratique vers la conformite PDPL de Bahrein avec des jalons clairs

Phase 1Semaines 1-4

Decouverte et cartographie des donnees

Realiser l'inventaire des donnees sur tous les systemes
Cartographier les flux de donnees et les activites de traitement
Identifier la base juridique de chaque traitement
Documenter les categories de donnees et la conservation

Phase 2Semaines 5-8

Gouvernance et politiques

Nommer un delegue a la protection des donnees si requis
Developper les politiques et avis de confidentialite
Creer les procedures relatives aux droits des personnes
Etablir le plan de reponse aux violations de donnees

Phase 3Semaines 9-14

Securite et controles

Implementer les mesures de securite techniques
Deployer les controles d'acces et le chiffrement
Etablir les procedures de conservation des donnees
Creer les mecanismes de transfert transfrontalier

Phase 4Semaines 15-20

Operationnalisation

Former le personnel aux obligations PDPL
Implementer les outils de gestion du consentement
Tester les flux de droits des personnes concernees
Mener un audit de conformite et une remediation

Penalites et application

Penalites significatives en cas de non-conformite

La PDPL de Bahrein prevoit a la fois l'emprisonnement et des amendes. L'Autorite de protection des donnees personnelles dispose de pouvoirs d'application incluant les enquetes, les audits et l'imposition de penalites.

Severite elevee

Traitement sans base juridique

Emprisonnement et/ou amende jusqu'a 20 000 BHD

Severite elevee

Defaut de notification de violation de donnees

Emprisonnement et/ou amende jusqu'a 10 000 BHD

Severite elevee

Transfert transfrontalier non autorise

Emprisonnement et/ou amende jusqu'a 15 000 BHD

Severite moyenne

Refus des droits des personnes concernees

Amende jusqu'a 5 000 BHD

Severite moyenne

Mesures de securite inadequates

Amende jusqu'a 10 000 BHD

Severite moyenne

Defaut de tenue de registres

Amende jusqu'a 3 000 BHD

Important : Les penalites peuvent inclure a la fois l'emprisonnement et des amendes. Les tribunaux peuvent egalement ordonner la cessation du traitement illicite, la suppression des donnees et la publication des violations. L'Autorite de protection des donnees personnelles mene des audits et enquetes reguliers.

Demarrer l'evaluation de conformite

Modeles de politiques

Modeles de politiques PDPL de Bahrein

Accedez a des modeles de politiques de protection des donnees prets a l'emploi alignes sur les exigences de la PDPL de Bahrein

Politiques de base

• Modele de politique de confidentialite
• Accord de traitement des donnees
• Politique de gestion du consentement
• Politique de conservation des donnees
• Modele d'avis de confidentialite
• Politique de cookies
+ 5 autres politiques

Droits et procedures

• Procedure de droits des personnes
• Processus de demande d'acces
• Procedure de rectification
• Processus de demande d'effacement
• Traitement des oppositions
• Procedure de portabilite des donnees
+ 4 autres procedures

Securite et conformite

• Politique de securite des donnees
• Procedure de notification de violation
• Politique de transfert transfrontalier
• Charte du DPO
• Due diligence des tiers
• Preparation d'audit PDPA
+ 3 autres politiques

Parcourir tous les modeles de politiques

Comparaison de la PDPL de Bahrein

Comprendre la relation entre la PDPL de Bahrein et les autres grandes lois de protection des donnees

Aspect	PDPL de Bahrein	RGPD	PDPL saoudienne
Champ d'application	Traitement de donnees personnelles a Bahrein	Donnees des residents de l'UE dans le monde	Traitement de donnees personnelles en Arabie Saoudite
Statut juridique	Loi n° 30 de 2018 (obligatoire)	Reglement UE 2016/679 (obligatoire)	Decret royal M/19 (obligatoire)
Date d'effet	1er aout 2019	25 mai 2018	14 septembre 2023
Penalites	Jusqu'a 20 000 BHD + emprisonnement	Jusqu'a 20 M€ ou 4 % du CA	Jusqu'a 3 M SAR
Exigence de DPO	Requis pour certains responsables	Requis pour autorites publiques/grande echelle	Requis pour certaines entites
Notification de violation	Notification a l'autorite et aux personnes	72 heures a l'autorite, notifier les personnes	Dans les 72 heures a l'autorite
Transferts transfrontaliers	Decision d'adequation ou garanties requises	Decision d'adequation ou garanties appropriees	Evaluation d'adequation ou mecanisme approuve
Age du consentement	Consentement parental pour les mineurs de moins de 18 ans	16 ans (les Etats membres peuvent abaisser a 13)	Consentement parental pour les mineurs
Autorite de controle	Autorite de protection des donnees personnelles	Autorites nationales de protection des donnees	Saudi Data & AI Authority (SDAIA)

Conseil : Les organisations operant dans le CCG devraient mettre en oeuvre des programmes de conformite unifies. La PDPL saoudienne, la PDPL des EAU et la PIPL du Qatarpartagent des principes similaires avec la PDPL de Bahrein.

Discuter de la conformite multi-juridictionnelle

Questions frequemment posees

Questions courantes sur la conformite PDPL de Bahrein

La loi bahreinie sur la protection des donnees personnelles (PDPL) est la loi n° 30 de 2018, entree en vigueur le 1er aout 2019. Elle reglemente le traitement des donnees personnelles a Bahrein et etablit des droits de protection des donnees pour les individus. La loi est supervisee par l'Autorite de protection des donnees personnelles sous le ministere de la Justice, des Affaires islamiques et des Waqfs. Visitez le site officiel de la PDPA pour les details complets.

La PDPL de Bahrein s'applique a toute organisation qui traite des donnees personnelles a Bahrein, que l'organisation soit basee ou non a Bahrein. Cela inclut les responsables de traitement, les sous-traitants et les entites etrangeres offrant des biens ou services aux residents de Bahrein. Les organisations du secteur public et prive doivent se conformer.

Les donnees personnelles sont toute information relative a une personne physique identifiee ou identifiable. Cela inclut les noms, numeros d'identification, donnees de localisation, identifiants en ligne et facteurs specifiques a l'identite physique, physiologique, genetique, mentale, economique, culturelle ou sociale. Les categories speciales de donnees sensibles (sante, biometrique, origine raciale, croyances religieuses) beneficient de protections supplementaires.

Le consentement est l'une des plusieurs bases juridiques pour le traitement des donnees personnelles en vertu de l'article 5. Le traitement est egalement licite lorsqu'il est necessaire a l'execution d'un contrat, au respect d'une obligation legale, a la protection des interets vitaux, a l'execution d'une mission d'interet public ou aux interets legitimes (sauf pour les donnees d'enfants). Le consentement doit etre libre, specifique, eclaire et univoque. Pour les donnees sensibles, un consentement explicite est requis.

L'article 21 exige que les responsables de traitement notifient l'Autorite de protection des donnees personnelles des violations de donnees sans retard injustifie. Si la violation est susceptible d'entrainer un risque eleve pour les droits et libertes des personnes concernees, le responsable doit egalement notifier directement les personnes affectees. La notification doit inclure la nature de la violation, les consequences probables et les mesures correctives prises.

L'article 22 exige que certains responsables de traitement nomment un delegue a la protection des donnees (DPO). Cela inclut les autorites publiques, les entites dont les activites principales impliquent une surveillance systematique a grande echelle, ou le traitement a grande echelle de donnees sensibles. Le DPO doit avoir une expertise en matiere de droit et de pratiques de protection des donnees et operer de maniere independante.

L'article 19 restreint les transferts transfrontaliers de donnees. Les transferts sont autorises vers des pays offrant un niveau de protection adequat des donnees (tel que determine par l'Autorite de protection des donnees personnelles), ou lorsque des garanties appropriees sont en place telles que des regles d'entreprise contraignantes, des clauses contractuelles types ou des codes de conduite approuves. Le consentement specifique peut egalement justifier les transferts dans certaines circonstances.

La PDPL de Bahrein partage de nombreux principes avec le RGPD, notamment la liceite, la transparence, la limitation des finalites, la minimisation des donnees et la securite. Les differences cles incluent le champ d'application territorial (Bahrein vs. UE), les niveaux de penalites (jusqu'a 20 000 BHD vs. jusqu'a 20 M€/4 % du CA), et certaines differences procedurales dans les delais de notification de violation et les exigences de nomination du DPO. Les organisations operant dans les deux juridictions devraient aligner leurs programmes de conformite.

La PDPL de Bahrein prevoit a la fois l'emprisonnement et des amendes selon la violation. Les penalites peuvent atteindre jusqu'a 20 000 BHD pour les violations graves comme le traitement sans base juridique ou les transferts transfrontaliers non autorises. Le defaut de notification de violation peut entrainer des amendes jusqu'a 10 000 BHD. Les tribunaux peuvent egalement ordonner la cessation du traitement illicite et la suppression des donnees.

L'article 6 exige que les donnees personnelles soient conservees uniquement pendant la duree necessaire pour atteindre les finalites pour lesquelles elles ont ete collectees. Les organisations doivent etablir des calendriers de conservation bases sur les exigences legales, les obligations contractuelles et les besoins commerciaux legitimes. Les donnees doivent etre supprimees de maniere securisee ou anonymisees lorsqu'elles ne sont plus necessaires, sauf si la conservation est requise par la loi.

L'article 6 impose des mesures de securite techniques et organisationnelles appropriees pour proteger les donnees personnelles contre l'acces non autorise, la destruction, la perte, l'alteration ou la divulgation. Les mesures requises dependent de la nature et des risques du traitement mais incluent generalement le chiffrement, les controles d'acces, la pseudonymisation, les tests de securite reguliers et les procedures de reponse aux incidents.

La PDPL de Bahrein fait partie d'un mouvement plus large du CCG vers une protection comprehensive des donnees. Des lois similaires existent en Arabie Saoudite (PDPL), aux EAU (PDPL) et au Qatar (PIPL). Ces lois partagent des principes communs mais different en termes de champ d'application, de penalites et d'exigences specifiques. Les organisations operant dans le CCG devraient mettre en oeuvre des programmes de conformite unifies couvrant toutes les lois applicables.

Oui, VerifyWise fournit des modules dedies de conformite PDPL de Bahrein incluant l'inventaire des donnees personnelles, la gestion du consentement, les flux de droits des personnes concernees, les procedures de notification de violation et la documentation des transferts transfrontaliers. Notre plateforme mappe les controles aux articles specifiques de la PDPL et genere des preuves pour les audits reglementaires et les enquetes de l'Autorite de protection des donnees personnelles.

Pret a atteindre la conformite PDPL de Bahrein ?

Commencez votre parcours de conformite avec notre evaluation guidee et nos outils de mise en oeuvre alignes sur la loi bahreinie sur la protection des donnees personnelles.

Demarrer l'evaluation de conformite Planifier une consultation