Loi sur la protection des données personnelles aux Émirats arabes unis

Le gouvernement a promulgué plusieurs réformes juridiques importantes pour célébrer les 50 ans d'indépendance, notamment la très attendue loi fédérale n° 45 de 2021 sur la protection des données personnelles (PDPL), publiée le 26 septembre 2021. Dans cet article, nous la désignerons par le terme « la Loi ».

Entrée en vigueur le 2 janvier 2022, cette loi fournit des orientations sur la gouvernance et la protection des données, définissant les droits et obligations de toutes les parties prenantes. Elle vise à aligner la législation fédérale des Émirats arabes unis sur les pratiques internationales en matière de protection des données, notamment les concepts clés de transparence et de responsabilité. Elle comprend des exigences en matière de violation de données, d'analyses d'impact sur la protection des données, de transfert et de notification des données, ainsi que de tenue de registres. Cet article présente les principaux principes et le champ d'application de la loi.

Dispositions et principes clés de la loi aux Émirats arabes unis

La loi implique un contrôle du traitement des données personnelles. Ce contrôle comprend des méthodes transparentes de collecte d'informations, c'est-à-dire la collecte de données personnelles uniquement à des fins spécifiques et claires ; Maintenir l'exactitude des données personnelles, corriger ou supprimer les données inexactes ; garantir la sécurité des données personnelles ; conserver les données personnelles uniquement aussi longtemps que nécessaire à la finalité déterminée, puis les supprimer.

La loi couvre deux parties : les responsables du traitement et les sous-traitants. Le responsable du traitement est la personne ou l'organisation qui décide de la méthode et des critères de traitement des données personnelles, ainsi que de la finalité du traitement. Les données personnelles sont traitées par le sous-traitant sur instruction du responsable du traitement. Le sous-traitant est une entreprise ou une personne physique qui traite les données personnelles pour le compte du responsable du traitement, conformément aux pouvoirs et aux instructions de ce dernier.

Selon la définition de la Loi, les données personnelles sont toute information relative à une personne physique, incluant ses attributs personnels tels que son nom, sa voix, sa photographie, son numéro d'identification, son identifiant électronique, sa localisation géographique ou ses caractéristiques physiques, physiologiques, culturelles et sociales.

Cependant, certaines entreprises ne sont pas couvertes par la Loi. Parmi ces exceptions figurent :

• Données gouvernementales
• Entreprises des zones franches disposant de leur propre législation en matière de protection des données. Par exemple, les entreprises des zones franches d'Abou Dhabi Global Market (ADGM) et du Centre financier international de Dubaï (DIFC)
• Informations personnelles relatives à la santé, aux opérations bancaires et au crédit, couvertes par une législation distincte

Champ d'application de la loi

La loi s'applique aux personnes résidant aux Émirats arabes unis ou y exerçant une activité ; à tout responsable du traitement ou sous-traitant aux Émirats arabes unis, qu'il collecte des données personnelles auprès de personnes situées aux Émirats arabes unis ou hors des Émirats arabes unis ; à tout responsable du traitement ou sous-traitant situé hors des Émirats arabes unis effectuant des activités de traitement sur des personnes concernées situées aux Émirats arabes unis.

Exceptions nécessitant le traitement de données personnelles

Sauf cas de limitation spécifique, le traitement des données personnelles ne peut être effectué qu'avec le consentement de la personne concernée. Toutefois, il existe certaines circonstances exceptionnelles où la loi exige le traitement des données. Ces cas incluent :

• la conclusion d'un contrat avec la personne concernée, la modification ou la résiliation d'un contrat ;
• lorsque la personne concernée a rendu publiques des données à caractère personnel ;
• pour protéger ses intérêts ;
• lorsque le traitement est nécessaire à la défense de droits légaux ou dans le cadre d'une procédure judiciaire ou de sécurité ;
• lorsque le traitement est nécessaire à certaines fins médicales ou pour des raisons de santé publique.

Loi sur le Bureau des données des Émirats arabes unis

Une autre loi a été promulguée simultanément : un règlement distinct (loi fédérale n° 44 de 2021) appelé « Autorité des données ». Son objectif est de garantir une protection optimale des données personnelles. L’Autorité des données est chargée de diverses missions, notamment : la préparation de recommandations et l’approbation des systèmes de plaintes et de récompenses des personnes concernées ; la fourniture d’informations sur la mise en œuvre complète des lois sur la protection des données ; l’imposition de sanctions administratives ; la rédaction de lois et de politiques de protection des données ; et la proposition de normes pour guider les lois sur la protection des données.

Bien que la loi partage de nombreux aspects avec le règlement général sur la protection des données (RGPD) de l’UE, il existe quelques différences entre les deux lois. Les principales caractéristiques de la loi sont :

• des exigences de transparence assouplies, ce qui signifie que seule une petite quantité d’informations sera requise avant le traitement ;
• une base de consentement, qui constitue le principal fondement juridique ;
• un enregistrement plus complet des exigences de traitement.

Pour obtenir des conseils ou une assistance concernant la fourniture d’informations sur la loi, veuillez nous contacter.

Marsel Shadmanov

Directeur des services aux entreprises chez Garant Business Consultancy DMCC

Téléphone: +971 4 421 4335

Email: info@garant.ae