Les données personnelles sont devenues aujourd'hui l'un des actifs les plus précieux des entreprises et, en même temps, l'une des sources de responsabilité juridique les plus sensibles pour les organisations. Chaque nom, numéro de téléphone, adresse électronique et enregistrement de transaction relève d'un cadre réglementaire strict qui oblige les entreprises à protéger ce qu'elles collectent et confère aux particuliers un véritable contrôle sur leurs données. Au sein du Centre financier international de Dubaï, la loi sur la protection des données établit un cadre complet qui concilie la libre circulation de l'information et les besoins des entreprises, d'une part, et les droits fondamentaux des personnes concernées, d'autre part. Dans cet article, nous expliquons les principales obligations des entreprises et les droits reconnus aux particuliers en vertu de cette loi, en des termes pratiques aidant les organisations et les particuliers à comprendre leur situation juridique.
Quelles sont les obligations des entreprises et les droits des particuliers en vertu de la loi du DIFC sur la protection des données ?
Champ d'application de la loi et personnes assujetties
La loi sur la protection des données a été promulguée par le Centre financier international de Dubaï et est entrée en vigueur pour abroger et remplacer la législation antérieure ; elle a depuis été actualisée dans sa version consolidée à la suite des derniers amendements. La loi vise à fournir des normes et des contrôles pour le traitement et la libre circulation des données personnelles, ainsi qu'à protéger les droits fondamentaux des personnes concernées, y compris la manière dont ces droits s'appliquent aux technologies émergentes.
La loi s'applique :au traitement des données personnelles par des moyens automatisés, et par des moyens non automatisés lorsque les données font partie d'un système de classement structuré ; à tout responsable du traitement ou sous-traitant constitué dans le DIFC, quel que soit le lieu du traitement ; et à tout traitement effectué au sein du DIFC, quel que soit le lieu de constitution.
La loi ne s'applique pas :au traitement des données personnelles par des personnes physiques dans le cadre d'une activité purement personnelle ou domestique sans lien avec une finalité commerciale. L'application de la loi est supervisée par le Commissaire à la protection des données du Centre, doté de pouvoirs de contrôle, d'enquête et de sanction.
Les principes généraux régissant le traitement des données
La loi exige de toute entreprise qui traite des données personnelles qu'elle respecte un ensemble de principes fondamentaux et qu'elle soit en mesure de démontrer sa conformité au Commissaire. Ces principes constituent l'ossature de la conformité :
Licéité et transparence
Les données sont traitées de manière licite, loyale et transparente à l'égard de la personne concernée.
Limitation des finalités
Collectées pour des finalités déterminées, explicites et légitimes fixées au moment de la collecte, et non utilisées de manière incompatible.
Minimisation des données
Limitées à ce qui est pertinent et nécessaire à la finalité, sans extension injustifiée.
Exactitude
Exactes et, si nécessaire, tenues à jour, avec rectification ou effacement sans retard injustifié.
Limitation de la conservation
Conservées sous une forme permettant l'identification de la personne uniquement le temps nécessaire à la finalité.
Sécurité et responsabilité
Conservées de manière sécurisée par des mesures techniques et organisationnelles ; le responsable doit démontrer sa conformité.
Une base légale : pas de traitement sans fondement
Une entreprise ne peut traiter aucune donnée personnelle sans s'appuyer sur au moins l'une des bases légales définies de manière limitative par la loi :
Consentementle consentement de la personne pour des finalités précises
Contratnécessaire à l'exécution d'un contrat dont la personne est partie
Obligation légalerespect d'une loi applicable
Intérêts vitauxprotéger la vie de la personne ou d'autrui
Intérêt publicune mission d'un organe du DIFC dans l'intérêt du Centre
Intérêts légitimessauf s'ils sont supplantés par les droits de la personne
Catégories particulières de données : les données sensibles sont soumises à des conditions supplémentaires et ne peuvent être traitées que dans des cas précis, tels que le consentement explicite, ce qui est nécessaire à des fins liées à l'emploi, la protection des intérêts vitaux, ou des motifs d'intérêt public substantiel proportionnés à l'objectif poursuivi.
Obligations des entreprises (responsable et sous-traitant)
Un consentement valable
Lorsque le consentement constitue la base, il doit être donné librement par un acte positif clair manifestant sans ambiguïté l'accord, et l'entreprise doit pouvoir démontrer qu'il a été obtenu et gérer son retrait, avec une réaffirmation périodique pour les traitements continus.
Responsabilité et protection dès la conception
L'entreprise doit mettre en œuvre des mesures techniques et organisationnelles appropriées et adopter le principe de « protection des données dès la conception et par défaut », de sorte que, par défaut, seules les données nécessaires à chaque finalité soient traitées, en s'enregistrant auprès du Commissaire lorsque la loi l'exige.
Registres des activités de traitement
Le responsable et le sous-traitant tiennent un registre écrit des activités de traitement comprenant les catégories de personnes concernées, les catégories de données et les catégories de destinataires, tout transfert vers des pays tiers ou des organisations internationales avec leurs garanties, les délais d'effacement et une description générale des mesures de sécurité lorsque cela est possible.
Délégué à la protection des données (DPO)
Un DPO doit être désigné par les organes du DIFC et par tout responsable ou sous-traitant exerçant des « activités de traitement à haut risque » de manière systématique ou régulière. Le délégué doit posséder la compétence et l'indépendance requises, avec un accès direct à la direction, et réalise une évaluation annuelle de conformité.
Analyse d'impact et consultation préalable
Avant un traitement à haut risque, l'entreprise réalise une analyse d'impact relative à la protection des données analysant les risques pour les droits des personnes et les mesures pour y répondre, et peut consulter le Commissaire au préalable, tout en se conformant à toute instruction émise à l'issue de cette consultation.
Sous-traitants et transferts hors du Centre
Les relations avec les sous-traitants sont régies par un accord écrit contraignant définissant les responsabilités, les obligations de confidentialité et les contrôles des sous-traitants ultérieurs. Les données ne peuvent être transférées hors du DIFC que vers une destination offrant un niveau de protection adéquat, ou sous réserve de garanties appropriées en l'absence d'une telle adéquation.
Cessation du traitement et information transparente
Lorsque la finalité disparaît ou que le consentement est retiré, l'entreprise doit cesser le traitement et supprimer, anonymiser, pseudonymiser ou chiffrer les données ou les rendre inutilisables, et fournir aux personnes des informations claires sur la manière dont leurs données sont traitées au moyen d'avis de confidentialité.
Les droits des particuliers sur leurs données personnelles
La loi confère à la personne concernée un ensemble de droits exécutoires, et l'entreprise doit prévoir au moins deux moyens de les exercer :
Retrait du consentement
Un droit absolu de retirer son consentement à tout moment lorsqu'il constitue la base du traitement.
Accès, rectification et effacement
Obtenir confirmation et copie des données et en demander la rectification ou l'effacement, sans frais et dans un délai d'un mois.
Opposition au traitement
S'opposer à un traitement donné ; l'opposition est réputée justifiée sauf si l'entreprise démontre des motifs impérieux primant sur les droits de la personne.
Limitation du traitement
Demander la limitation dans des cas tels qu'un différend sur l'exactitude des données ou un traitement illicite.
Portabilité des données
Recevoir les données dans un format transférable et les faire transmettre directement à un tiers lorsque cela est techniquement possible.
Décisions automatisées et profilage
S'opposer à toute décision fondée uniquement sur un traitement automatisé produisant des effets juridiques ou significatifs, et demander un réexamen humain.
Non-discrimination
Ne pas être traité moins favorablement du seul fait de l'exercice des droits conférés par la loi.
Notification des destinataires
Le responsable doit informer les destinataires lorsque les données sont rectifiées, effacées ou limitées.
Notification des violations de données personnelles
Notification au CommissaireLorsqu'une violation compromet la confidentialité, la sécurité ou la vie privée d'une personne, le responsable notifie le Commissaire dès que possible, en décrivant la nature de la violation, ses conséquences probables et les mesures prises pour y remédier. Le sous-traitant en informe le responsable sans retard injustifié.
Notification à la personne concernéeLorsque la violation est susceptible d'engendrer un risque élevé pour la sécurité ou les droits de la personne, le responsable la lui communique dès que possible, et sans délai en cas de risque immédiat de préjudice, en termes clairs avec des recommandations pour en atténuer les effets. Les violations doivent également être documentées par écrit.
Sanctions, responsabilité et droit à réparation
Le Commissaire a le pouvoir d'émettre des instructions et d'imposer des amendes administratives aux contrevenants en vertu du barème des sanctions annexé à la loi, ainsi qu'un pouvoir général d'amende. Voici des exemples des amendes maximales en dollars américains :
50 000 $
manquement aux principes généraux, aux exigences de traitement licite ou aux mesures de sécurité
75 000 $
défaut de fourniture aux personnes des informations requises sur le traitement
100 000 $
atteinte aux droits des personnes tels que l'accès, la rectification, l'opposition et l'effacement
Responsabilité civile et droit d'action direct : le responsable est tenu du dommage causé par un traitement illicite, et le sous-traitant est responsable lorsqu'il manque à ses obligations ou agit en dehors des instructions du responsable, la responsabilité pouvant être solidaire afin d'assurer une réparation effective. Une personne concernée ayant subi un dommage du fait d'une infraction peut saisir directement la Cour aux fins d'indemnisation, en plus du droit de déposer une plainte auprès du Commissaire.
Références juridiques
Législation applicable : Loi du DIFC n° 5 de 2020 sur la protection des données — version consolidée, telle que modifiée par la loi modificative du DIFC n° 1 de 2025 et la loi du DIFC n° 2 de 2022.
Articles pertinents : principes généraux (article 9), licéité du traitement (article 10), catégories particulières (article 11), consentement (article 12), responsabilité (article 14), registres de traitement (article 15), le délégué à la protection des données (articles 16 à 19), analyse d'impact (article 20), transferts de données (articles 26 et 27), fourniture de l'information (articles 29 à 31), droits des personnes (articles 32 à 40), notification des violations (articles 41 et 42), instructions, amendes, responsabilité et droit d'action privé (articles 59 à 64A), et le barème des sanctions (annexe 2).
« La conformité en matière de protection des données n'est plus une option cosmétique ; elle fait partie de la gouvernance de toute organisation opérant au sein du Centre. Une entreprise qui fonde ses politiques sur le principe de la protection dès la conception se prémunit contre les amendes autant qu'elle protège ses clients.
— Maître Awadh Almheiri
Besoin de conseils en protection des données et conformité ?
Notre équipe juridique accompagne les organisations et les particuliers dans la rédaction de politiques de confidentialité, d'accords de traitement, de procédures de réponse aux violations, et dans l'exercice des droits conférés par la loi.
AWADH ALMHEIRI LAW FIRM AND LEGAL CONSULTATIONS
Questions fréquentes
À qui s'applique la loi du DIFC sur la protection des données ?+
Elle s'applique au traitement des données personnelles au sein du DIFC, à tout responsable ou sous-traitant constitué dans le Centre quel que soit le lieu du traitement, et à tout traitement effectué au sein du Centre quel que soit le lieu de constitution. Elle ne s'applique pas à une activité purement personnelle ou domestique sans lien avec une finalité commerciale.
Quand une entreprise doit-elle désigner un délégué à la protection des données (DPO) ?+
La désignation est requise pour les organes du DIFC et pour tout responsable ou sous-traitant exerçant des activités de traitement à haut risque de manière systématique ou régulière, et le Commissaire peut exiger d'autres entités qu'elles en désignent un. Le délégué doit posséder la compétence et l'indépendance requises et un accès direct à la direction.
Quel délai a une entreprise pour répondre à une demande d'accès ?+
Une personne concernée a le droit d'obtenir confirmation et copie de ses données sans frais et dans un délai d'un mois à compter de la demande, sous réserve des cas où l'entreprise peut restreindre l'information pour des motifs prévus par la loi, tels que la protection des enquêtes ou de la sécurité publique.
Que faire en cas de violation de données ?+
Le responsable notifie le Commissaire dès que possible lorsqu'une violation compromet la confidentialité, la sécurité ou la vie privée des données, et informe la personne concernée lorsque la violation est susceptible d'engendrer un risque élevé, tout en documentant la violation par écrit et en prenant des mesures pour en atténuer les effets.
Un particulier peut-il demander réparation pour une violation de la loi ?+
Oui. Une personne concernée ayant subi un dommage du fait d'une infraction à la loi peut saisir directement la Cour aux fins d'indemnisation, en plus du droit de déposer une plainte auprès du Commissaire, et la responsabilité du responsable et du sous-traitant peut être solidaire afin d'assurer une réparation effective.
Pour vous accompagner dans votre conformité ou l'exercice de vos droits, notre équipe est à votre service.
Contactez-nous
AWADH ALMHEIRI LAW FIRM AND LEGAL CONSULTATIONS
Une expertise juridique qui protège vos données et votre entreprise
✓ Rédaction de politiques de confidentialité et d'accords de traitement
✓ Procédures de réponse aux violations et gestion des plaintes
✓ Représentation des particuliers dans l'exercice de leurs droits
Notre expertise juridique à votre service
Cet article est rédigé dans le but de diffuser la culture juridique et de sensibiliser la communauté, et ne constitue pas un conseil juridique ni un avis juridique sur une affaire particulière. Le traitement juridique varie selon les circonstances de chaque cas ; il est donc recommandé de consulter un conseiller juridique qualifié avant d'entreprendre toute démarche. La consultation de ce contenu ne crée pas de relation avocat-client. En cas de divergence entre la présente traduction et la version arabe, le texte arabe prévaut.
Nos services à Dubaï
AWADH ALMHEIRI LAW FIRM AND LEGAL CONSULTATIONS à Dubaï propose ses services aux organisations opérant au sein du Centre financier international de Dubaï et au-delà, en matière de protection des données personnelles et de conformité à la confidentialité, depuis la construction de cadres de gouvernance et la rédaction de politiques de confidentialité et d'accords de traitement, jusqu'à la gestion des demandes des personnes, la réponse aux incidents de violation de données et les relations avec les autorités de contrôle compétentes, de manière à préserver la réputation de l'entreprise et à réduire l'exposition juridique.
Nos services dans les autres émirats
Nos services s'étendent à nos clients à Abou Dhabi, Charjah, Ajman, Oumm al-Qaïwaïn, Ras el Khaïmah et Foujaïrah, où nous accompagnons les organisations et les particuliers dans la compréhension de leurs obligations et de leurs droits relatifs aux données personnelles dans l'environnement réglementaire de l'État, en offrant des conseils pratiques qui aident à concilier les exigences des affaires et la protection de la vie privée des personnes, avec un suivi rigoureux de toute évolution législative touchant ce domaine essentiel.
English
العربية
Русский
اردو
中文
