Guide de consentement aux cookies UAE PDPL : Federal Decree-Law 45 of 2021 pour les editeurs
Les Emirats arabes unis ont adopte leur loi sur la protection des donnees personnelles fin 2021 et l'ont mise en vigueur l'annee suivante. Le Federal Decree-Law 45 of 2021, connu sous le nom de PDPL, est la premiere loi federale globale sur la vie privee du pays, et elle s'inspire largement de la structure du GDPR tout en adaptant les dispositions cles au droit federal UAE et aux considerations de localisation des donnees du pays. Pour les editeurs qui operent dans ou ciblent le trafic UAE — un marche qui s'est fortement developpe avec la croissance du commerce electronique regional, de la fintech, et des entreprises mediatiques hyperscale basees a Dubai et Abu Dhabi — le PDPL a transforme le consentement aux cookies d'une attente informelle en obligation de conformite federale. Ce guide explique comment le PDPL traite le suivi en ligne, ce sur quoi l'UAE Data Office concentre son action, et quelles sont les implications pratiques pour la conception des bannieres de cookies et la configuration des CMP.
Le cadre juridique du PDPL
Le PDPL s'applique au traitement des donnees personnelles des residents des Emirats arabes unis, que le traitement ait lieu dans ou en dehors des UAE, et que le responsable du traitement ou le sous-traitant soit etabli aux UAE ou opere depuis l'etranger. La portee territoriale est donc extraterritoriale de la meme maniere que le GDPR — un editeur operant depuis Londres ou Singapour qui traite des donnees de residents UAE est dans le champ d'application. L'autorite de supervision est l'UAE Data Office, creee dans le cadre du meme ensemble legislatif, qui a adopte une posture de controle mesuree mais de plus en plus active.
Les principes fondamentaux du PDPL seront familiers a quiconque a travaille avec le GDPR : base legale, limitation des finalites, minimisation des donnees, exactitude, limitation de la conservation, integrite et confidentialite, et responsabilite. Les bases legales au titre de l'Article 4 comprennent le consentement, l'execution du contrat, l'obligation legale, les interets vitaux, l'interet public et les interets legitimes, chacun avec sa propre portee et ses propres conditions. Pour le suivi en ligne, les bases pertinentes sont le consentement et, dans des circonstances etroites, l'interet legitime. Les cookies preinstalles qui collectent des donnees personnelles sans consentement constituent une violation, de la meme maniere qu'ils le seraient sous le GDPR.
Ce qui constitue des donnees personnelles au titre du PDPL
La definition des donnees personnelles du PDPL est large et suit etroitement le GDPR : toute donnee relative a une personne physique identifiee ou identifiable, y compris les identifiants en ligne. Les cookies qui identifient de maniere persistante un appareil, les adresses IP traitees avec d'autres donnees, les identifiants publicitaires et les identifiants de type empreinte digitale entrent tous dans le champ d'application. Les orientations d'application du Data Office ont confirme que l'analyse appliquee aux cookies comportementaux et publicitaires dans l'UE s'applique essentiellement sous la meme forme aux UAE — ce qui differe, c'est l'architecture d'execution, pas la norme de fond.
Le PDPL definit egalement une categorie de donnees personnelles sensibles avec des exigences de traitement plus strictes, couvrant les informations de sante, les donnees genetiques et biometriques, les croyances religieuses, le casier judiciaire et des categories similaires. Les cookies qui capturent l'une de ces donnees necessitent un consentement explicite et des garanties supplementaires.
Le consentement aux cookies au titre du PDPL
Le PDPL ne contient pas de disposition specifique aux cookies comme le fait la directive ePrivacy de l'UE. Au lieu de cela, l'obligation de consentement decoule de l'Article 6, qui etablit la norme generale d'un consentement valide : il doit etre specifique, non ambigu, eclaire et librement donne, et la personne concernee doit pouvoir retirer son consentement aussi facilement qu'elle l'a donne. Le Data Office a interprete cette norme comme exigeant :
- Une action positive explicite avant que les cookies non essentiels ne se declenchent. La navigation continue, le defilement ou le consentement implicite ne sont pas suffisants.
- Des controles de categories granulaires separant les cookies strictement necessaires des cookies analytiques et publicitaires, avec la possibilite pour le visiteur d'en accepter certains et d'en refuser d'autres.
- Un mecanisme de retrait clair accessible depuis toute page ou le suivi est actif, avec un effet immediat.
- La documentation de la decision de consentement suffisante pour satisfaire l'obligation de responsabilite au titre de l'Article 5.
En pratique, il s'agit de la meme norme operationnelle qu'un editeur construirait pour le GDPR. Une banniere qui satisfait aux criteres du EDPB Cookie Banner Taskforce satisfera le PDPL ; celle qui les echoue echouera egalement sous l'examen du PDPL.
Les transferts de donnees transfrontaliers
L'une des caracteristiques les plus distinctives du PDPL est son cadre de transfert transfrontalier. Les PDPL Articles 22 and 23 enoncent les conditions dans lesquelles des donnees personnelles peuvent etre transferees en dehors des UAE, structurees selon des lignes qui parallelisent — mais ne reproduisent pas identiquement — le Chapitre V du GDPR.
Des designations de type adequation
Le PDPL permet au Data Office de designer des pays comme offrant une protection adequate. La liste actuelle est plus courte que celle de la Commission europeenne et devrait evoluer. Jusqu'a ce qu'un pays soit designe, l'un des autres mecanismes juridiques est requis.
Des arrangements contractuels types
Le PDPL autorise les transferts soutenus par des garanties contractuelles appropriees, similaires aux SCC de l'UE dans leur structure. De nombreux responsables du traitement UAE operent avec des addenda contractuels sur mesure que le Data Office examine sur demande.
Des derogations specifiques
Le consentement explicite, l'execution du contrat et les derogations pour interets vitaux sont disponibles mais interpretes de maniere stricte. Le recours habituel au consentement pour les transferts — qui sous le GDPR est souvent considere comme exceptionnel plutot que systematique — est traite de maniere similaire ici.
Pour les editeurs en ligne, l'impact pratique est que le registre de consentement aux cookies doit desormais egalement soutenir une obligation de responsabilite en matiere de transfert. Si un visiteur aux UAE accepte des cookies qui acheminent leurs donnees vers un vendeur ad-tech americain, le CMP doit etre en mesure de faire apparaitre l'instrument de transfert qui autorise ce flux.
Les considerations sectorielles et des zones franches
Le paysage de la vie privee aux UAE est stratifie. Le PDPL federal s'applique largement, mais plusieurs zones franches — le Dubai International Financial Centre (DIFC), l'Abu Dhabi Global Market (ADGM), et la Dubai Healthcare City — operent leurs propres regimes de protection des donnees qui precedent le PDPL. La DIFC Data Protection Law No. 5 of 2020 et les ADGM Data Protection Regulations 2021 sont toutes deux alignees sur le GDPR et s'appliquent dans leurs zones respectives. Les editeurs operant dans plusieurs zones doivent concilier le PDPL federal avec le cadre applicable de la zone franche ; dans la plupart des cas, les normes de fond convergent mais le canal de supervision differe.
Ce que le Data Office a signale
L'UAE Data Office a ete delibere dans sa posture d'execution, privilegiant le renforcement des capacites, la consultation sectorielle et les affaires de grande envergure plutot qu'un regime de sanctions a fort volume. Les documents d'orientation publics ont souligne :
La conception des bannieres
Le Data Office s'est aligne sur les criteres de style EDPB en matiere de conception de bannieres, traitant les boutons de refus manquants, le style trompeur des liens et les cases pre-cochees comme des defauts courants necessitant une remediation. L'attente est une convergence avec les normes europeennes.
La transparence transfrontaliere
L'Office a signale que les transferts internationaux feront l'objet d'une attention particuliere, notamment lorsque des donnees personnelles sont acheminee vers des juridictions sans adequation designee. La documentation du mecanisme de transfert est traitee comme une obligation de responsabilite, non optionnelle.
La divulgation en langue arabe
Bien que le PDPL n'exige pas l'arabe, le Data Office a indique que les divulgations devraient etre disponibles en arabe lorsque le public est principalement arabophone, a la fois pour l'accessibilite et a des fins probatoires.
Une liste de controle pratique de conformite
Six questions concretes auxquelles repondre pour toute banniere de cookies servant le trafic UAE.
1. Consentement affirmatif avant le suivi
Les cookies non essentiels sont-ils bloques au niveau du chargeur de scripts jusqu'a ce que le visiteur effectue une action affirmative ? Le pre-chargement de la banniere au-dessus de traceurs deja actifs est une violation en soi.
2. Des categories granulaires
La banniere separe-t-elle les categories necessaires, analytiques et publicitaires, avec des bascules independantes ? Un accept-all groupee sans granularite est un defaut.
3. Disponibilite en langue arabe
La banniere detecte-t-elle les visiteurs arabophones et s'affiche-t-elle en arabe par defaut, avec l'anglais comme alternative commutable ? Le Data Office a explicitement signale l'accessibilite linguistique.
4. Acces au retrait
Le controle de retrait est-il persistant et accessible depuis chaque page ? Les parametres multi-etapes enfouis dans un lien de pied de page echouent au critere "aussi facile a retirer qu'a donner".
5. Documentation du transfert transfrontalier
Pour chaque cookie qui declenche un transfert international, le mecanisme de transfert (adequation, garantie contractuelle, derogation) est-il documente et presentable sur demande ?
6. Journalisation des consentements
Le systeme enregistre-t-il chaque decision de consentement avec l'horodatage, la version de la banniere, le choix et la juridiction du visiteur afin que l'editeur puisse repondre a une demande du Data Office avec des preuves ?
La place du PDPL dans le tableau regional
Le PDPL des UAE est l'un des plusieurs cadres de confidentialite du Golfe qui sont entres en vigueur au cours des dernières annees — le PDPL d'Arabie saoudite, la loi sur la protection des donnees personnelles de Bahrein, la loi sur la vie privee des donnees personnelles du Qatar, et la loi sur la protection des donnees personnelles d'Oman operent tous a ses cotes. Les normes de fond dans toute la region convergent vers des principes alignes sur le GDPR, avec des variations nationales dans l'architecture de surveillance, les mecanismes de transfert et les exemptions sectorielles. Pour les editeurs operant dans l'ensemble du Golfe, construire une seule fois selon la norme la plus elevee — consentement granulaire, retrait persistant, transferts documentes, support en langue arabe, journalisation de niveau audit — gere la conformite regionale via la meme infrastructure CMP qui gere la conformite europeenne. Les UAE sont, a bien des egards, le barometre regional : la ou le Data Office se deplace, les regulateurs voisins tendent a suivre.