Comprendre le PDPL des EAU : obligations clés, transferts internationaux et rôle du DPO

Le Personal Data Protection Law (PDPL) des Émirats arabes unis constitue le socle fédéral de protection des données personnelles. Inspiré des standards internationaux (notamment le GDPR), il conserve des spécificités locales auxquelles les entreprises doivent se conformer. À partir de l’article source « Breaking Down the UAE’s Data Protection Law » (HNS Legal, 2025), nous proposons une lecture opérationnelle du cadre : champ d’application, bases juridiques (dont le consentement), données sensibles et DPO, transferts transfrontières, liens avec la loi cybercriminalité, et feuille de route de conformité.

Champ d’application : qui est concerné ?

Le PDPL s’applique au traitement de données personnelles réalisé aux EAU, y compris par des acteurs établis hors EAU lorsqu’ils ciblent des personnes situées dans le pays. Les responsables de traitement dont les sous–traitants doivent cartographier leurs flux pour déterminer leurs obligations.

Bases juridiques et consentement

La loi autorise le traitement des données lorsqu’il repose sur une base légale appropriée : dans le cas de l’exécution d’un contrat, lorsque la loi impose le traitement, pour l’intérêt public, ou lorsque la personne a rendu ses données publiques. Le consentement doit être spécifique, non ambigu, séparable des autres informations, et révocable facilement. L’entreprise doit pouvoir démontrer la validité du consentement et gérer l’optout dans des délais raisonnables.

Données sensibles et obligation de DPO

Le PDPL protège à un niveau renforcé les données sensibles (santé, biométrie, données financières et pénales, convictions religieuses ou politiques, etc.). Les traitements à risque élevé (grands volumes, profilage, technologies nouvelles telles que IA, ML ou blockchain) peuvent imposer la désignation d’un DPO chargé de piloter la conformité, sensibiliser les équipes et superviser la gestion des incidents. 

Transferts internationaux de données

Le transfert hors EAU est encadré : il est possible vers un pays adéquat ou dans le cadre d’accords internationaux. À défaut, l’entreprise doit mettre en place des garanties appropriées ou se fonder sur des dérogations prévues par la loi. Il est recommandé d’évaluer les risques en fonction du pays de destination en prenant en compte la loi et les spécificités locales.

Sécurité et loi sur la cybercriminalité

Le PDPL s’articule avec la loi fédérale sur la cybercriminalité (Federal Law n° 34/2021) qui réprime l’accès illicite, la divulgation des données non autorisée et sans bases légales et les atteintes aux systèmes. La conformité privacy et la cybersécurité se renforcent mutuellement : contrôle d’accès, MFA, chiffrement, journalisation, tests d’intrusion, et plan de réponse à incident intégrant la notification à l’autorité compétente et, selon les cas, aux personnes concernées.

Droits des personnes et gouvernance

• Une totale transparence est à adopter, notamment en adoptant des politiques et notices claires (finalités, bases, destinataires, transferts, durées, droits).
• Il est nécessaire d’assurer le respect des droits d’accès, de rectification, d’effacement, de portabilité, de limitation/opposition selon le cadre PDPL.
• Tenir un registre comprenant l’ inventaire des traitements, identité des soustraitants, les transferts réalisés et les analyses de risques (DPIA si nécessaire).
• Signer des contrats conformes incluant des clauses de protection des données avec l’ensemble des prestataires.

Feuille de route de conformité (pragmatique)

1. Cartographier les données (sources, finalités, systèmes, transferts) et qualifier les bases légales.
2. Évaluer les risques (DPIA pour traitements sensibles/à grande échelle), déterminer l’obligation de DPO.
3. Contractualiser : DPA, clauses transferts, exigences sécurité et audit.
4. Mettre en place des politiques précises (rétention, droits, BYOD, incidents), procédures de réponse à incident.
5. Sécuriser : chiffrement au repos/en transit, segmentation, MFA, revue des habilitations.
6. Former ses équipes (marketing, RH, IT, ventes) et tracer les actions (KPIs, plans de remédiation).

Cas pratiques

E-commerce

• Consentement cookies/SDK : recueil préalable, clair et documenté, possibilité de refus ou retrait.
• Personnalisation : usage des données limité, fondé sur consentement ou intérêt légitime, information transparente.
• Lutte contre la fraude : traitements proportionnés et sécurisés pour détecter les paiements frauduleux.
• Conservation limitée : durée définie selon la finalité

Ressources humaines (RH)

• Surveillance : dispositifs proportionnés et information préalable des salariés.
• Transferts internationaux : encadrés par clauses ou BCR pour SIRH globaux.
• Santé : accès restreint et protection renforcée des données médicales.

B2B / Cloud

• Rôles définis : préciser qui est responsable du traitement et qui est sous-traitant.
• Audits : droit de contrôle et rapports de conformité (ISO, SOC).
• Sous-traitance en chaîne : liste claire, notification des changements, même niveau de protection.

Le PDPL offre un cadre moderne et exigeant centré sur la responsabilité, la transparence et la sécurité. Les organisations qui structurent leur gouvernance data (cartographie, DPO, contrats, sécurité et entraînement des équipes) réduisent leur exposition juridique et gagnent en confiance client.

Nos avocats se tiennent à votre disposition pour répondre à toutes vos questions et vous conseiller. Nous proposons des entretiens en présentiel ou en visioconférence. Vous pouvez prendre rendez–vous directement en ligne sur https://www.agn-avocats.fr/.

AGN AVOCATS – Pôle droit des Affaires
contact@agn-avocats.fr
09 72 34 24 72