Loi de protection des donnees personnelles des EAU

Guide de conformite en matiere de protection des donnees des EAU

Naviguez le decret-loi federal n° 45 de 2021 des EAU avec confiance. Que vous opériez sur le continent emirati, au DIFC ou a l'ADGM, nous vous aidons a mettre en oeuvre des controles complets de protection des donnees et a maintenir la conformite.

Commencer l'evaluation de conformiteReserver une consultation PDPL EAU

Qu'est-ce que la PDPL des EAU ?

La loi de protection des donnees personnelles des EAU (decret-loi federal n° 45 de 2021) est la reglementation complete de protection des donnees des EAU. Les reglementations d'execution publiees en 2023 fournissent des orientations detaillees de mise en oeuvre et des exigences operationnelles.

Note juridictionnelle importante : La PDPL des EAU s'applique au traitement des donnees personnelles sur le continent emirati. Le Dubai International Financial Centre (DIFC) et l'Abu Dhabi Global Market (ADGM) disposent de cadres de protection des donnees separes avec leurs propres autorites de supervision et mecanismes d'application.

Champ continental

S'applique aux EAU hors DIFC/ADGM

Bureau des donnees

Supervise par le Bureau des donnees des EAU (TDRA)

Complete la conformite au RGPD et s'aligne sur les cadres regionaux, y compris la PDPL de Bahrein, la PDPL d'Arabie saoudite et la PDPL du Qatar.

Qui a besoin de la conformite PDPL des EAU ?

Entreprises du continent emirati

Toutes les entites traitant des donnees personnelles aux EAU (hors DIFC/ADGM)

Entites gouvernementales

Organismes gouvernementaux federaux et locaux gerant des donnees personnelles

Plateformes de commerce electronique

Detaillants en ligne et places de marche traitant des donnees clients

Prestataires de soins de sante

Hopitaux et cliniques gerant des informations sensibles sur les patients

Institutions financieres

Banques et fintechs hors des juridictions DIFC/ADGM

Marketing et publicite

Agences traitant des donnees personnelles a des fins promotionnelles

Comment VerifyWise soutient la conformite PDPL des EAU

Capacites concretes repondant a chaque categorie d'exigences

Cartographie et inventaire des donnees personnelles

Cartographiez toutes les activites de traitement de donnees personnelles avec des metadonnees structurees couvrant la finalite, la base juridique, la conservation et les transferts transfrontaliers. La plateforme capture l'inventaire de donnees exige par l'Article 6 de la PDPL des EAU et conserve les registres de traitement.

Couvre : Articles 6, 7 : Principes de traitement des donnees, tenue de registres

Gestion des droits des personnes concernees

Suivez et repondez aux demandes d'acces, de correction, d'effacement, de limitation, de portabilite et d'opposition des personnes concernees. La plateforme conserve les pistes d'audit des demandes et reponses comme requis par les Articles 13-18 de la PDPL des EAU.

Couvre : Articles 13-18 : Droits des personnes concernees, workflows de reponse

Conformite des transferts transfrontaliers

Documentez les transferts transfrontaliers de donnees avec des evaluations d'adequation et des garanties contractuelles. La plateforme suit les mecanismes de transfert, realise des evaluations des risques et genere la documentation exigee par l'Article 22 de la PDPL des EAU.

Couvre : Article 22 : Transfert transfrontalier, adequation, garanties

Suivi du consentement et des bases juridiques

Enregistrez et gerez la collecte du consentement avec des preuves d'accord informe et librement donne. La plateforme conserve les registres de consentement, suit les retraits et documente les bases juridiques alternatives comme l'exige l'Article 5 de la PDPL des EAU.

Couvre : Article 5 : Traitement licite, exigences de consentement

Detection et notification de violation

Gerez les incidents de violation de donnees avec des workflows structures pour l'evaluation, le confinement et la notification. La plateforme suit le calendrier de la violation, les personnes affectees et les notifications reglementaires conformement a l'Article 10 de la PDPL des EAU.

Couvre : Article 10 : Notification de violation de donnees, reponse aux incidents

Evaluations d'impact sur la vie privee

Realisez des evaluations systematiques d'impact sur la vie privee pour les activites de traitement a haut risque. La plateforme guide la methodologie d'evaluation, documente l'attenuation des risques et conserve les preuves attendues par l'Article 9 de la PDPL des EAU.

Couvre : Article 9 : Evaluation d'impact sur la vie privee pour les traitements a haut risque

Toutes les activites de traitement sont suivies avec des horodatages, des responsables de traitement designes et des workflows d'approbation. Cette piste d'audit demontre une conformite systematique plutot qu'une documentation creee apres coup.

Couverture complete des exigences PDPL des EAU

VerifyWise fournit des outils dedies pour toutes les categories d'exigences majeures

26

Exigences de controle PDPL des EAU

26

Controles avec outillage dedie

100%

Couverture sur tous les domaines d'exigences

Licite et transparence8/8

Bases juridiques, consentement, specification des finalites

Droits des personnes concernees7/7

Acces, correction, effacement, portabilite

Transferts transfrontaliers5/5

Adequation, garanties, documentation

Securite et violation6/6

Mesures techniques, reponse aux incidents

Concu pour la conformite en matiere de protection des donnees des EAU

Support multi-juridictionnel

Cadres continent EAU, DIFC, ADGM sur une seule plateforme

Outils de transfert transfrontalier

Evaluations d'adequation et gestion des garanties contractuelles

Automatisation des droits des personnes

Suivi de reponse de 30 jours avec dossiers de preuves

Alignement confidentialite CCG

Cadres de Bahrein, d'Arabie saoudite, du Qatar et des EAU

Sept principes cles de protection des donnees

La PDPL des EAU etablit des principes fondamentaux pour le traitement licite des donnees personnelles

Licite

Les donnees personnelles doivent etre traitees sur des bases juridiques legitimes, y compris le consentement, le contrat, l'obligation legale ou les interets legitimes.

Exigences cles

  • Base juridique valide
  • Specification des finalites
  • Documentation du consentement

Loyaute et transparence

Le traitement doit etre loyal envers les personnes concernees avec des informations claires sur la maniere dont les donnees personnelles sont collectees et utilisees.

Exigences cles

  • Avis de confidentialite
  • Communication claire
  • Pas de traitement cache

Limitation des finalites

Les donnees personnelles doivent etre collectees pour des finalites determinees, explicites et legitimes et ne pas etre traitees de maniere incompatible.

Exigences cles

  • Finalites definies
  • Evaluation de la compatibilite
  • Documentation des finalites

Minimisation des donnees

Seules les donnees personnelles adequates, pertinentes et limitees a ce qui est necessaire pour la finalite specifiee doivent etre collectees.

Exigences cles

  • Evaluation de la necessite
  • Collecte minimale
  • Proportionnalite

Exactitude

Les donnees personnelles doivent etre exactes et tenues a jour. Les donnees inexactes doivent etre corrigees ou effacees sans retard.

Exigences cles

  • Controles d'exactitude
  • Mecanismes de mise a jour
  • Procedures de correction

Limitation de la conservation

Les donnees personnelles ne doivent etre conservees que le temps necessaire pour les finalites de leur collecte.

Exigences cles

  • Calendriers de conservation
  • Procedures de suppression
  • Cycles de revue

Confidentialite et securite

Les donnees personnelles doivent etre traitees de maniere securisee avec des mesures techniques et organisationnelles appropriees contre les acces non autorises.

Exigences cles

  • Controles de securite
  • Chiffrement
  • Gestion des acces

Guide officiel

Visiter le site de la TDRA →

Droits des personnes concernees en vertu de la PDPL des EAU

Les personnes disposent de six droits fondamentaux lorsque leurs donnees personnelles sont traitees

Droit d'acces

Les personnes peuvent demander la confirmation que leurs donnees personnelles sont traitees et obtenir une copie de ces donnees.

Delai de reponse : Sous 30 jours

Etapes de mise en oeuvre

  • Verification d'identite
  • Extraction des donnees
  • Format de reponse

Droit de correction

Les personnes peuvent demander la correction de donnees personnelles inexactes ou incompletes.

Delai de reponse : Sans retard injustifie

Etapes de mise en oeuvre

  • Verification de l'exactitude
  • Procedures de mise a jour
  • Notification aux destinataires

Droit a l'effacement

Les personnes peuvent demander la suppression des donnees personnelles lorsqu'elles ne sont plus necessaires ou que le consentement est retire.

Delai de reponse : Sans retard injustifie

Etapes de mise en oeuvre

  • Examen de la licite
  • Procedures de suppression
  • Gestion des sauvegardes

Droit a la limitation

Les personnes peuvent demander la limitation du traitement dans certaines circonstances pendant la verification de l'exactitude ou de la licite.

Delai de reponse : Sans retard injustifie

Etapes de mise en oeuvre

  • Suspension du traitement
  • Mode stockage uniquement
  • Systemes de notification

Droit a la portabilite

Les personnes peuvent recevoir leurs donnees personnelles dans un format structure et couramment utilise et les transmettre a un autre responsable de traitement.

Delai de reponse : Sous 30 jours

Etapes de mise en oeuvre

  • Export de donnees
  • Format lisible par machine
  • Transmission directe

Droit d'opposition

Les personnes peuvent s'opposer au traitement base sur des interets legitimes ou a des fins de marketing direct.

Delai de reponse : Immediat pour le marketing

Etapes de mise en oeuvre

  • Evaluation de l'opposition
  • Cessation du traitement
  • Desinscription marketing

Cadres de protection des donnees du DIFC et de l'ADGM

Les zones franches des EAU disposent de regimes de protection des donnees separes avec des exigences distinctes

Loi DIFC sur la protection des donnees

Dubai International Financial Centre

Loi n° 5 de 2020

Loi de protection des donnees inspiree du RGPD pour la zone franche du DIFC

Points cles

  • S'applique aux responsables de traitement et sous-traitants dans le DIFC
  • Champ d'application extraterritorial similaire au RGPD
  • Commissaire independant a la protection des donnees
  • Designation de DPO pour les traitements a grande echelle
  • Amendes jusqu'a 100 000 $ par violation
Guide officiel →

Reglementations ADGM sur la protection des donnees

Abu Dhabi Global Market

Reglementations 2021

Cadre de protection des donnees pour la zone franche de l'ADGM

Points cles

  • S'applique aux entites enregistrees a l'ADGM
  • Base sur les principes du RGPD de l'UE
  • Bureau d'enregistrement pour la protection des donnees
  • Notification de violation obligatoire sous 72 heures
  • Amendes administratives pour non-conformite
Guide officiel →

Operations multi-juridictionnelles : Si vous operez a travers le continent emirati, le DIFC et l'ADGM, vous devrez peut-etre vous conformer simultanement a plusieurs cadres de protection des donnees. VerifyWise prend en charge les trois regimes sur une seule plateforme.

Discuter de la conformite multi-juridictionnelle

Feuille de route de mise en oeuvre sur 16 semaines

Un parcours pratique vers la conformite PDPL des EAU avec des jalons clairs

Phase 1Semaines 1-4

Cartographie des donnees

  • Inventorier toutes les activites de traitement de donnees personnelles
  • Documenter les bases juridiques et les finalites
  • Identifier les transferts transfrontaliers de donnees
  • Evaluer les avis de confidentialite actuels
Phase 2Semaines 5-8

Droits et processus

  • Etablir des procedures de droits des personnes concernees
  • Mettre en oeuvre des systemes de gestion du consentement
  • Creer des modeles d'evaluation d'impact sur la vie privee
  • Developper des procedures de reponse aux violations
Phase 3Semaines 9-12

Securite et gouvernance

  • Deployer des mesures de securite techniques
  • Etablir des calendriers de conservation des donnees
  • Mettre en oeuvre des controles d'acces et le chiffrement
  • Designer un DPO si necessaire
Phase 4Semaines 13-16

Documentation et formation

  • Finaliser la documentation de conformite
  • Former le personnel aux exigences de confidentialite
  • Realiser un audit de conformite
  • Etablir une surveillance continue

Sanctions et application

Comprendre les consequences de la non-conformite

Amendes administratives

5 000 000 AED

~1,36 million $

Violations applicables

  • Traitement sans base juridique
  • Defaut de mise en oeuvre de mesures de securite
  • Non-respect des droits des personnes concernees
  • Transferts transfrontaliers illicites
  • Violation des obligations de confidentialite

Sanctions DIFC

100 000 $

Par violation

Violations applicables

  • Traitement sans base licite
  • Defaut de notification de violation
  • Non-cooperation avec le Commissaire
  • Transfert vers des juridictions inadequates
  • Defaut de designation de DPO si requis

Bureau des donnees des EAU

Sous Emirates Data Office

Le Bureau des donnees des EAU est l'autorite de supervision principale pour l'application de la PDPL des EAU sur le continent emirati.

Responsabilites

  • Surveiller et appliquer la conformite PDPL
  • Emettre des orientations et meilleures pratiques
  • Enqueter sur les plaintes et violations
  • Imposer des sanctions administratives
  • Promouvoir la sensibilisation a la protection des donnees

Contact

Autorite de regulation des telecommunications et du gouvernement numerique (TDRA)

Visiter le site de la TDRA →

Exigences relatives au delegue a la protection des donnees (DPO)

Quand vous devez designer un DPO en vertu de la PDPL des EAU

Autorites publiques

Organismes gouvernementaux et institutions publiques traitant des donnees personnelles dans le cadre de leurs activites principales

Traitement a grande echelle

Organisations realisant un suivi systematique a grande echelle ou un traitement de donnees sensibles

Donnees sensibles

Entites dont les activites principales impliquent le traitement de categories de donnees personnelles sensibles

Entites DIFC/ADGM

Organisations dans les zones franches avec des exigences specifiques de designation de DPO

Qualifications et fonctions du DPO

Qualifications requises

  • • Connaissance experte du droit et des pratiques de protection des donnees
  • • Comprehension de la PDPL des EAU et des reglementations connexes
  • • Capacite a remplir ses fonctions de maniere independante
  • • Lien hierarchique direct avec la direction

Responsabilites principales

  • • Surveiller la conformite interne a la PDPL des EAU
  • • Conseiller sur les evaluations d'impact sur la protection des donnees
  • • Servir de point de contact pour l'autorite de supervision
  • • Traiter les demandes et plaintes des personnes concernees

Comparaison de la PDPL des EAU

Comprendre les relations entre les lois de confidentialite des EAU, du RGPD et regionales

AspectPDPL des EAURGPDPDPL de Bahrein
Champ geographique
Continent des EAU (hors DIFC, ADGM)UE/EEE + extraterritorialRoyaume de Bahrein au niveau national
Statut juridique
Decret-loi federal n° 45/2021Reglement UE (directement applicable)Loi n° 30/2018
Date d'application
Septembre 2021 (reglementations 2023)Mai 2018Aout 2019
Amende maximale
5 M AED (~1,36 M $)20 M EUR ou 4 % du CA mondial20 000 BHD (~53 000 $)
Exigence de DPO
Autorites publiques, traitement a grande echelleAutorites publiques, suivi principalEntites traitant de gros volumes
Notification de violation
Sans retard injustifie a l'autorite72 heures a l'autorite72 heures a l'autorite
Transferts transfrontaliers
Adequation ou garanties requisesDecision d'adequation ou outils de transfertAdequation ou garanties du responsable
Exigences de consentement
Informe, libre, specifiqueInforme, libre, specifique, non ambiguConsentement ecrit pour les donnees sensibles
Droits des personnes concernees
6 droits fondamentaux (acces, correction, effacement, etc.)8 droits dont les decisions automatiseesAcces, correction, effacement, opposition

Operations regionales : Operer dans les pays du CCG necessite de comprendre plusieurs cadres de confidentialite. Le RGPDfournit la reference mondiale, tandis que laPDPL de Bahrein, la PDPL d'Arabie saoudite et laPDPL du Qatarajoutent des exigences regionales.

Discuter de la conformite multi-juridictionnelle
Modeles de politiques

Repertoire complet de politiques de gouvernance de la vie privee

Accedez a 37 modeles de politiques de confidentialite et de gouvernance de l'IA prets a l'emploi, alignes sur la PDPL des EAU, le RGPD et les exigences ISO 42001

Protection des donnees

  • • Politique de protection des donnees personnelles
  • • Modeles d'avis de confidentialite
  • • Politique de gestion du consentement
  • • Politique de conservation des donnees
  • • Politique de transfert transfrontalier
  • • Evaluation d'impact sur la vie privee
  • + 6 politiques supplementaires

Droits des personnes concernees

  • • Procedure de demande d'acces
  • • Politique de correction et effacement
  • • Directives de portabilite des donnees
  • • Processus de traitement des oppositions
  • • Procedures de limitation
  • • Politique de traitement des plaintes
  • + 4 politiques supplementaires

Securite et incidents

  • • Politique de securite des donnees
  • • Procedure de notification de violation
  • • Plan de reponse aux incidents
  • • Normes de chiffrement
  • • Politique de controle d'acces
  • • Exigences de securite des tiers
  • + 5 politiques supplementaires
Parcourir tous les modeles de politiques

Questions frequemment posees

Questions courantes sur la conformite PDPL des EAU

Le decret-loi federal n° 45 de 2021 des EAU sur la protection des donnees personnelles (PDPL) est la reglementation complete de protection des donnees des EAU. Les reglementations d'execution ont ete publiees en 2023 fournissant des orientations detaillees de mise en oeuvre. La loi s'applique au traitement des donnees personnelles sur le continent emirati (le DIFC et l'ADGM ont des cadres separes). Consultez la TDRA pour les orientations officielles.
Non, la PDPL des EAU ne s'applique pas au Dubai International Financial Centre (DIFC) ni a l'Abu Dhabi Global Market (ADGM). Le DIFC a sa propre loi de protection des donnees n° 5 de 2020 et l'ADGM a les Reglementations de protection des donnees 2021. Ce sont des regimes separes avec leurs propres exigences, autorites de supervision et mecanismes d'application.
La PDPL des EAU autorise des amendes administratives allant jusqu'a 5 millions AED (environ 1,36 million USD) pour les violations graves, y compris le traitement sans base juridique, le defaut de mise en oeuvre de mesures de securite et le non-respect des droits des personnes concernees. Le DIFC a des sanctions separees allant jusqu'a 100 000 $ par violation. Le Bureau des donnees des EAU a l'autorite d'application pour les entites du continent.
La PDPL des EAU suit des principes similaires au RGPD, y compris la licite, la transparence, la limitation des finalites et la minimisation des donnees. Cependant, la PDPL des EAU a des amendes maximales plus basses (5 M AED vs 20 M EUR ou 4 % du CA du RGPD), un champ d'application territorial different et des droits distincts pour les personnes concernees. Les organisations operant dans les deux juridictions devraient mettre en oeuvre une approche globale repondant aux deux cadres.
La PDPL des EAU accorde aux personnes six droits fondamentaux : (1) Droit d'acces a leurs donnees personnelles, (2) Droit de correction des donnees inexactes, (3) Droit a l'effacement lorsque les donnees ne sont plus necessaires, (4) Droit a la limitation du traitement, (5) Droit a la portabilite des donnees, et (6) Droit d'opposition au traitement. Les responsables de traitement doivent repondre aux demandes dans les 30 jours et etablir des procedures claires pour traiter ces droits.
La PDPL des EAU exige la designation d'un DPO pour les autorites publiques et les organisations realisant un traitement a grande echelle ou un suivi systematique. Le DIFC et l'ADGM ont des exigences specifiques de DPO pour leurs juridictions. Le DPO doit avoir une connaissance experte du droit et des pratiques de protection des donnees, rendre compte directement a la direction et maintenir son independance dans l'exercice de ses fonctions.
Oui, mais l'Article 22 de la PDPL des EAU exige que les transferts transfrontaliers ne soient effectues que vers des pays disposant d'une protection adequate des donnees ou avec des garanties appropriees en place (telles que des clauses contractuelles types). Vous devez documenter le mecanisme de transfert, realiser des evaluations des risques et assurer une conformite continue. Chaque transfert devrait etre enregistre et revu periodiquement.
Les donnees personnelles sensibles comprennent les donnees revelant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses, l'appartenance syndicale, les donnees genetiques ou biometriques, les donnees de sante, l'orientation sexuelle ou le casier judiciaire. Le traitement de donnees sensibles necessite des garanties plus strictes, un consentement explicite (dans la plupart des cas) et des mesures de securite renforcees.
La mise en conformite PDPL des EAU typique prend 12 a 16 semaines selon la taille de l'organisation, la complexite des donnees et la maturite existante en matiere de confidentialite. La feuille de route comprend la cartographie des donnees (4 semaines), la mise en oeuvre des droits et processus (4 semaines), la securite et la gouvernance (4 semaines) et la documentation et la formation (4 semaines). Les organisations disposant de programmes de confidentialite etablis peuvent progresser plus rapidement.
En vertu de l'Article 10 de la PDPL des EAU, vous devez notifier le Bureau des donnees des EAU sans retard injustifie lorsqu'une violation presente des risques pour les personnes. Vous devez documenter la violation, evaluer son impact, contenir l'incident, notifier les personnes affectees le cas echeant et mettre en oeuvre des mesures pour prevenir la recurrence. Conservez des journaux d'incidents detailles et des preuves de vos actions de reponse.
Les systemes d'IA traitant des donnees personnelles doivent respecter les principes de la PDPL des EAU, y compris la licite, la limitation des finalites et la minimisation des donnees. La prise de decision automatisee peut necessiter une transparence supplementaire et le droit a une revision humaine. Mettez en oeuvre la norme ISO 42001 de gouvernance de l'IA en parallele de la PDPL des EAU pour une conformite complete. Consultez nos modeles de politiques de gouvernance de l'IA pour des orientations detaillees.
La PDPL des EAU s'applique au continent emirati, tandis que le DIFC et l'ADGM ont des regimes separes. Le cadre du DIFC est fortement inspire du RGPD avec des amendes allant jusqu'a 100 000 $ et un Commissaire independant. L'ADGM suit egalement les principes du RGPD avec une notification de violation sous 72 heures. Chacun a des autorites de supervision, des mecanismes d'application et des exigences specifiques differents. Si vous operez a travers les juridictions, vous devrez peut-etre vous conformer a plusieurs cadres.
Oui, VerifyWise fournit des outils complets de conformite PDPL des EAU, y compris la cartographie des donnees, la gestion du consentement, les workflows de droits des personnes concernees, les procedures de notification de violation et la documentation des transferts transfrontaliers. Notre plateforme prend egalement en charge le RGPD, la PDPL de Bahrein, la PDPL d'Arabie saoudite et la PDPL du Qatar pour les operations multi-juridictionnelles.

Pret a atteindre la conformite PDPL des EAU ?

Commencez votre parcours de conformite avec notre evaluation guidee et nos outils de mise en oeuvre pour le continent emirati, le DIFC et l'ADGM.

Commencer l'evaluation de conformitePlanifier une consultation
UAE Federal Decree-Law 45/2021: data protection compliance guide