Accueil/LLMs locaux/Souveraineté des données et UAE PDPL : exécuter l'IA en interne pour la conformité (2026)

Enterprise

Souveraineté des données et UAE PDPL : exécuter l'IA en interne pour la conformité (2026)

Dernière mise à jour: juin 2026·14 min de lecture·Par Hans Kuepper · Fondateur de PromptQuorum, outil de dispatch multi-modèle · PromptQuorum

Lire en:

🇺🇸en 🇩🇪de 🇫🇷fr 🇯🇵ja 🇨🇳zh 🇪🇸es 🇧🇷pt 🇸🇦ar 🇰🇷ko

La loi émiratie sur la protection des données personnelles (Federal Decree-Law No. 45 of 2021) impose des garanties spécifiques avant que des données personnelles ne puissent quitter les EAU. Exécuter des modèles d'IA en interne élimine entièrement la question du transfert transfrontalier — les données restent à l'intérieur des frontières nationales et la souveraineté est maintenue par conception. Ce guide couvre les obligations PDPL, la manière dont l'IA cloud crée un risque de transfert, les options de déploiement on-premise et les considérations sectorielles. *Ne constitue pas un conseil juridique — consultez votre DPO ou un conseil juridique émirati pour votre situation spécifique.*

La loi émiratie sur la protection des données personnelles (Federal Decree-Law No. 45 of 2021) impose des garanties spécifiques avant que des données personnelles ne puissent quitter les EAU. Les APIs IA cloud envoient les données vers des serveurs étrangers, créant des obligations de transfert transfrontalier. Exécuter des modèles d'IA en interne maintient les données personnelles à l'intérieur des frontières nationales, répondant à la résidence et à la souveraineté par conception. Ce guide couvre les obligations PDPL, le risque de transfert, les options de déploiement souverain et les considérations sectorielles pour les banques, administrations et entreprises des EAU.

Points clés

UAE PDPL : Federal Decree-Law No. 45 of 2021. En vigueur depuis le January 2, 2022. Régulateur : UAE Data Office (UAEDO).
Les transferts transfrontaliers exigent une protection adéquate dans le pays de destination, ou des Standard Contractual Clauses (SCCs) / Binding Corporate Rules (BCRs). Aucune liste officielle d'adéquation des EAU n'a encore été publiée en 2026.
Délai de conformité complète : January 1, 2027. Les Executive Regulations sont toujours en attente — un conseil juridique est recommandé pour les modalités de mise en œuvre.
DPIA requis (Article 21) pour les traitements à haut risque : profilage à grande échelle, décisions automatisées produisant des effets juridiques, transferts transfrontaliers vers des juridictions non adéquates.
Les personnes concernées peuvent s'opposer aux décisions automatisées produisant des effets juridiques ou significatifs. Les organisations doivent divulguer la logique du traitement automatisé en cas de demande d'accès.
IA locale on-premise : l'inférence se fait à l'intérieur des EAU — les données personnelles ne franchissent jamais une frontière — réduit l'exposition aux transferts transfrontaliers PDPL par conception.
DIFC (DIFC Data Protection Law No. 5 of 2020, modifiée en juillet 2025) et ADGM appliquent des régimes de protection des données distincts ; le PDPL fédéral exclut explicitement les zones franches dotées de leurs propres lois.
Secteurs : la CBUAE a lancé la Sovereign Financial Cloud Services Infrastructure (SFCSI) le February 25, 2026. Santé : DHA + ADHICS. Toutes les couches sectorielles s'appuient sur le PDPL.
*Ne constitue pas un conseil juridique. Consultez un conseil juridique émirati qualifié ou un DPO pour vos obligations de conformité spécifiques.*

📍 En une phrase

Exécuter l'inférence IA en interne aux EAU élimine le transfert transfrontalier de données personnelles sous le Federal Decree-Law No. 45 of 2021 (UAE PDPL), car les données ne quittent jamais l'infrastructure nationale.

💬 En termes simples

La loi émiratie sur la protection des données stipule que vous avez besoin d'une autorisation pour envoyer des données personnelles vers d'autres pays. Si votre IA fonctionne localement à l'intérieur des EAU, aucune donnée ne sort — donc la règle de transfert ne s'applique pas.

UAE PDPL : loi, régulateur et calendrier

La loi émiratie sur la protection des données personnelles (PDPL) est le Federal Decree-Law No. 45 of 2021. Elle est entrée en vigueur le January 2, 2022, faisant des EAU le premier État du Golfe à adopter une loi fédérale complète sur la vie privée.

Régulateur : UAE Data Office (UAEDO). Le Data Office a été établi par le Federal Decree-Law No. 44 of 2021, un instrument complémentaire du PDPL. Il a le pouvoir de mener des audits, d'enquêter sur les plaintes et de publier des orientations.

Délai de conformité : January 1, 2027. Les organisations doivent disposer de programmes de conformité PDPL complets d'ici cette date.

Executive Regulations : toujours en attente. Les règlements d'application — qui préciseront les modèles de SCCs, le cadre d'adéquation et les règles sectorielles — n'avaient pas été publiés début 2026. Cela crée une incertitude de mise en œuvre. Consultez un DPO ou un conseil juridique qualifié aux EAU pour votre situation spécifique.

Loi : Federal Decree-Law No. 45 of 2021 sur la protection des données personnelles
Date d'entrée en vigueur : January 2, 2022
Régulateur : UAE Data Office (UAEDO), établi par le Federal Decree-Law No. 44 of 2021
Objectif de conformité complète : January 1, 2027
Executive Regulations : en attente début 2026
Champ d'application : s'applique au traitement des données personnelles des résidents des EAU par des entités émiraties et par des sous-traitants extraterritoriaux ciblant des résidents des EAU

Comment les APIs IA cloud créent un risque de transfert transfrontalier sous le PDPL

Lorsque vous appelez une API IA cloud, des données personnelles quittent les EAU. Un flux de travail d'entreprise typique — envoyer une requête client vers un point de terminaison d'API hébergé aux États-Unis ou dans l'UE — constitue un transfert transfrontalier sous le PDPL, même si les données sont transitoires.

Le PDPL restreint les transferts transfrontaliers. Les données ne peuvent circuler vers un pays de destination que s'il offre un niveau de protection adéquat reconnu par le UAE Data Office, ou si des garanties contractuelles spécifiques sont en place (SCCs ou BCRs). En 2026, le UAE Data Office n'avait pas publié de liste d'adéquation formelle.

Un DPIA peut être requis. Lors d'un transfert vers une juridiction non adéquate — ce qui englobe actuellement tous les pays en attendant la liste d'adéquation — une Data Privacy Impact Assessment (Article 21) peut être requise avant le transfert.

Exemples pratiques de risque :

Envoyer des requêtes de support client à GPT-4o (hébergé aux États-Unis) : transfert transfrontalier du contenu de la requête, qui peut contenir des identifiants personnels
Utiliser une IA documentaire basée sur le cloud pour traiter des dossiers RH : données personnelles d'employés envoyées hors des EAU
Traduction par API de dossiers médicaux : données sensibles de catégorie particulière quittant les EAU sans cadre SCC formel en place
Fine-tuning d'un LLM cloud avec des données clients propriétaires : transfert important de données personnelles sans copie conservée dans le pays

Comment l'IA on-premise répond à la résidence et à la souveraineté des données aux EAU

L'inférence IA on-premise signifie : le modèle s'exécute sur du matériel situé à l'intérieur des EAU. Les données personnelles sont traitées localement, les réponses sont renvoyées localement, et rien ne franchit une frontière au moment de l'inférence.

La question du transfert transfrontalier disparaît. Si les données ne quittent jamais l'infrastructure des EAU, aucune décision d'adéquation, SCC ou BCR n'est nécessaire pour l'inférence. La résidence est maintenue par conception plutôt que par contrat.

Les LLMs locaux sont la principale mise en œuvre. Les modèles à poids ouverts (Falcon 3, Llama 3.1, Qwen3, Jais, et d'autres) peuvent être déployés sur des serveurs basés aux EAU avec Ollama, vLLM ou llama.cpp — le tout sans envoyer de données à une API externe.

Souveraineté par conception : les poids du modèle, la configuration et tous les journaux de traitement restent sous juridiction émiratie. Cela s'aligne sur la UAE National AI Strategy 2031, qui présente les données comme « le pétrole du futur » nécessitant une gouvernance nationale.

✅ Les données d'inférence restent aux EAU — aucun transfert transfrontalier de données personnelles à l'exécution
✅ Aucune décision d'adéquation ni SCC requise pour l'étape d'inférence
✅ Le périmètre du DPIA est réduit — le traitement est local, non transfrontalier
✅ S'aligne sur les objectifs de gouvernance nationale des données de la UAE AI Strategy 2031
✅ Les journaux d'audit et les sorties du modèle restent sous juridiction émiratie
❌ Nécessite du matériel dans le pays (serveur GPU, stockage NVMe, refroidissement) ou un GPU cloud basé aux EAU
❌ Le téléchargement des poids du modèle depuis Hugging Face nécessite toujours un accès Internet — isolez (airgap) après le téléchargement initial
❌ L'équipe technique doit gérer les mises à jour des modèles, la surveillance et la sécurité

IA cloud vs on-premise : comparaison du risque transfrontalier PDPL

Ce tableau compare la posture de conformité PDPL des APIs IA cloud par rapport à l'inférence IA locale on-premise. Ne constitue pas un conseil juridique — consultez votre DPO.

Facteur	API IA cloud	IA locale on-premise
Les données franchissent-elles la frontière des EAU ?	Oui — envoyées vers des serveurs US/UE	Non — traitées localement
Obligation de transfert transfrontalier PDPL ?	Oui — exige adéquation ou SCCs	Non applicable (aucun transfert)
Décision d'adéquation requise ?	Oui (liste pas encore publiée)	Non
SCC/BCR requis ?	Oui (modèles des Executive Regulations en attente)	Non
DPIA déclenché par le transfert transfrontalier ?	Probable pour les données sensibles	Pas par le transfert (seulement si traitement à haut risque)
Juridiction des journaux d'audit ?	Juridiction étrangère	Juridiction des EAU
Portée d'application de la UAEDO ?	Incertaine pour les fournisseurs étrangers	Juridiction des EAU claire
Alignement avec la UAE AI Strategy 2031 ?	Partiel (infrastructure étrangère)	Total (gouvernance nationale des données)

Options de déploiement d'IA souveraine pour les organisations des EAU

Voici les options pratiques pour exécuter l'IA à l'intérieur des frontières des EAU :

Option 1 — Serveur GPU on-premise auto-hébergé. Déployez un serveur NVIDIA RTX 4090 ou A100 dans votre centre de données aux EAU. Exécutez Ollama ou vLLM avec Falcon 3-7B, Llama 3.1-8B ou Qwen3-8B. Souveraineté totale : votre matériel, votre juridiction.
Option 2 — GPU cloud basé aux EAU. Utilisez un fournisseur de GPU cloud avec des centres de données physiquement situés aux EAU (G42 Cloud, Microsoft Azure UAE North, AWS Middle East UAE). Les données restent dans le pays. Vérifiez attentivement le périmètre du DPA — Azure UAE North opère sous les conditions de Microsoft UAE ; vérifiez la conformité PDPL avec le fournisseur.
Option 3 — Système on-premise airgappé. Pour une souveraineté maximale (administration, défense, régulateurs financiers) : téléchargez les poids du modèle une seule fois, isolez (airgap) le serveur, exécutez hors ligne. Aucune connexion Internet sortante au moment de l'inférence. Voir On-Prem Air-Gapped Local LLM.
Option 4 — Hybride : inférence locale, fine-tuning cloud. Effectuez le fine-tuning sur des données anonymisées ou synthétiques (le cloud est acceptable pour les données non personnelles), déployez les poids affinés localement. Réduit le risque de transfert tout en exploitant le calcul cloud pour l'entraînement du modèle.
Modèles recommandés pour un déploiement souverain aux EAU : Falcon 3 (1B–10B, TII Abu Dhabi — modèle émirati natif), Jais (13B–30B, Core42/G42/MBZUAI — arabe-anglais, Abu Dhabi), Llama 3.1 (8B–70B, Meta, Apache 2.0), Qwen3 (8B–32B, multilingue dont l'arabe).

DIFC et ADGM : régimes de protection des données des zones franches

Le UAE PDPL exclut explicitement les zones franches qui disposent déjà de leurs propres lois de protection des données. DIFC et ADGM y sont éligibles.

DIFC (Dubai International Financial Centre) : Opère sous la DIFC Data Protection Law No. 5 of 2020, un régime calqué sur le RGPD. En juillet 2025, l'Amendment Law No. 1 of 2025 est entrée en vigueur (effective le 15 juillet 2025), s'alignant plus étroitement sur les meilleures pratiques internationales et introduisant des évaluations d'adéquation documentées obligatoires pour les transferts transfrontaliers. Le DIFC Commissioner of Data Protection est le régulateur.

ADGM (Abu Dhabi Global Market) : Cadre de protection des données aligné sur le RGPD. Il inclut notamment l'« intérêt légitime » comme base légale autorisée — une base non disponible sous le PDPL fédéral, qui s'appuie davantage sur le consentement.

Conformité à trois niveaux : Les organisations opérant à la fois en mainland UAE et dans une zone franche doivent gérer la conformité sous les deux régimes. Une holding émiratie avec une filiale DIFC est soumise à la fois au PDPL fédéral et à la loi du DIFC.

DIFC : DIFC Data Protection Law No. 5 of 2020 + Amendment Law No. 1 of 2025 (15 juillet 2025)
ADGM : ADGM Data Protection Regulations (calqué sur le RGPD, inclut la base « intérêt légitime »)
Le PDPL fédéral exclut les zones franches dotées de leurs propres lois (DIFC, ADGM)
Groupes multi-entités : associez chaque entité juridique à son régime applicable séparément
Avantage de l'IA on-premise : du matériel dans la zone satisfait les trois régimes simultanément

Considérations de conformité IA sectorielles aux EAU

Le PDPL fédéral constitue la base. Les secteurs réglementés ajoutent des exigences supplémentaires par-dessus :

Banque et finance (CBUAE, DFSA) : La Banque centrale des EAU a lancé la première Sovereign Financial Cloud Services Infrastructure (SFCSI) au monde le February 25, 2026 dans le cadre du FIT Programme. Les institutions financières traitant des données clients sont soumises à des exigences de gouvernance CBUAE superposées au PDPL. La DFSA couvre séparément les sociétés réglementées au DIFC.
Santé (DHA, ADHICS) : Les données de santé sont des données personnelles de « catégorie particulière » sous le PDPL, bénéficiant de protections renforcées. La Dubai Health Authority (DHA) et l'Abu Dhabi Healthcare Information and Cyber Security Standard (ADHICS) ajoutent des exigences de gouvernance des données sectorielles. L'IA utilisée en milieu clinique doit répondre à la fois au PDPL et aux cadres réglementaires de santé.
Administration et secteur public : Les entités gouvernementales traitent généralement les données au sein de l'infrastructure nationale des EAU par défaut. La UAE AI Strategy 2031 impose des cadres de gouvernance nationale des données pour l'IA gouvernementale. L'IA on-premise est l'option sûre par défaut pour les déploiements gouvernementaux.
Télécommunications : Des cadres réglementaires télécoms préexistants couvrent les données télécoms. Le PDPL ajoute une couche fédérale sur les données personnelles traitées par les opérateurs télécoms.

Questions fréquentes sur le UAE PDPL et la conformité IA

Le UAE PDPL est-il similaire au RGPD ?

Le UAE PDPL s'inspire du RGPD mais n'est pas identique. Différences principales : le PDPL s'appuie davantage sur le consentement comme base légale (le RGPD autorise aussi l'intérêt légitime, qui n'est pas une base PDPL standard) ; les Executive Regulations sont en attente (la mise en œuvre du RGPD est mature) ; et l'application est encore en développement. Les lois de protection des données du DIFC et de l'ADGM sont plus étroitement calquées sur le RGPD et incluent l'intérêt légitime.

Le UAE PDPL impose-t-il la localisation des données — le stockage physique à l'intérieur des EAU ?

Le PDPL fédéral n'impose pas explicitement la localisation des données (exigeant que toutes les données soient stockées dans le pays). Il réglemente les transferts transfrontaliers — exigeant une protection adéquate ou des garanties contractuelles lorsque les données quittent les EAU. Cependant, des règles sectorielles (par ex. la CBUAE SFCSI pour les services financiers) peuvent de fait pousser vers un stockage dans le pays. L'IA on-premise assure la résidence en gardant le traitement local.

Quelles sont les sanctions en cas de non-conformité au UAE PDPL ?

En 2026, le cadre de sanctions issu des Executive Regulations n'avait pas été publié. Le texte de la loi PDPL prévoit des sanctions incluant des amendes, mais les montants spécifiques et les procédures d'application étaient en attente des Executive Regulations. Cette incertitude est en soi une raison d'établir des pratiques conformes avant l'échéance de January 2027. Consultez un conseil juridique émirati pour les dernières orientations sur les sanctions.

Exécuter l'IA localement signifie-t-il automatiquement que je suis conforme au PDPL ?

Non — le déploiement d'IA locale répond au risque de transfert transfrontalier mais ne vous rend pas automatiquement conforme. Vous avez toujours besoin de : base légale pour le traitement des données personnelles, DPIA pour les activités à haut risque, procédures relatives aux droits des personnes concernées (accès, suppression, opposition), et politiques de conservation et de sécurité des données. L'IA locale est une aide significative à la conformité, pas une solution complète.

Qu'est-ce que le UAE Data Office et que fait-il ?

Le UAE Data Office (UAEDO) est le régulateur fédéral de la protection des données établi par le Federal Decree-Law No. 44 of 2021. Il supervise la mise en œuvre du PDPL, mène des audits, enquête sur les plaintes et publie des orientations. Début 2026, le Data Office renforçait encore ses capacités d'application et devait publier les Executive Regulations avant l'échéance de January 2027.

Le UAE PDPL s'applique-t-il à mon entreprise si nous sommes basés en dehors des EAU ?

Le PDPL a une portée extraterritoriale : il peut s'appliquer aux organisations situées en dehors des EAU qui traitent des données personnelles de résidents des EAU ou de personnes se trouvant aux EAU. La portée extraterritoriale exacte sera précisée par les Executive Regulations. Les organisations ayant des clients ou utilisateurs aux EAU devraient évaluer leurs obligations indépendamment du lieu de leur siège.

Comment réaliser un DPIA pour un projet d'IA sous le UAE PDPL ?

En vertu de l'Article 21, un DPIA est requis pour les traitements susceptibles d'entraîner un risque élevé : prise de décision automatisée, profilage à grande échelle, traitement de données sensibles, ou transferts transfrontaliers vers des juridictions non adéquates. Le DPIA doit documenter : la nature et la finalité du traitement, l'évaluation de la nécessité, les risques identifiés et les mesures d'atténuation. Mettez à jour le DPIA lorsque le périmètre ou la finalité change.

Ai-je besoin d'un Data Processing Agreement (DPA) avec mon fournisseur d'IA cloud sous le PDPL ?

Oui — si un fournisseur cloud traite des données personnelles pour votre compte, vous avez besoin d'un arrangement contractuel régissant ses obligations de traitement, similaire à un DPA au titre de l'Article 28 du RGPD. Les fournisseurs d'IA cloud devraient proposer un accord de traitement des données conforme au UAE PDPL. Si un transfert transfrontalier est impliqué, des SCCs ou BCRs sont également requis (modèles des Executive Regulations en attente).

Quelle est la différence entre le PDPL mainland, la loi du DIFC et la loi de l'ADGM ?

Les entités du mainland UAE sont régies par le PDPL fédéral (Federal Decree-Law No. 45 of 2021). Les entités du DIFC suivent la DIFC Data Protection Law No. 5 of 2020 (telle que modifiée en juillet 2025). Les entités de l'ADGM suivent les ADGM Data Protection Regulations. Le PDPL exclut explicitement les zones franches dotées de leurs propres lois. Les groupes multi-entités doivent associer chaque entité juridique à son régime applicable.

Quels modèles d'IA à poids ouverts conviennent le mieux à un déploiement souverain aux EAU ?

Trois options solides : Falcon 3 (1B–10B, du Technology Innovation Institute, Abu Dhabi — une famille de modèles émiratis natifs), Jais (13B–30B, de Core42/G42/MBZUAI, Abu Dhabi — bilingue arabe-anglais) et Llama 3.1 (8B–70B, Meta, Apache 2.0). Tous peuvent être déployés on-premise avec Ollama ou vLLM. Falcon et Jais sont particulièrement alignés sur les objectifs de souveraineté IA des EAU. Voir notre guide des meilleurs LLMs locaux en arabe.

Sources

UAE Federal Decree-Law No. 45 of 2021 sur la protection des données personnelles — uaepdpl.com
UAE Data Office (UAEDO) — uaedataoffice.gov.ae
DIFC Data Protection Law No. 5 of 2020 et Amendment Law No. 1 of 2025 — difc.ae/business/laws-and-regulations/
ADGM Data Protection Regulations — adgm.com/setting-up/financial-services-regulations
Annonce de la CBUAE Sovereign Financial Cloud Services Infrastructure (SFCSI), February 25, 2026 — centralbank.ae
Securiti UAE PDPL Overview — securiti.ai/uae-personal-data-protection-law
Chambers and Partners — Data Protection & Privacy 2026, UAE — practiceguides.chambers.com

Note sur les faits tiers

Cet article fait référence à des modèles d’IA, des benchmarks, des prix et des licences de tiers. Le paysage de l’IA évolue rapidement. Les scores de benchmark, les conditions de licence, les noms de modèles et les prix des API peuvent changer entre le moment de la rédaction et le moment où vous lisez ceci. Avant de prendre des décisions de déploiement ou de conformité basées sur cet article, vérifiez les chiffres actuels auprès de la source officielle de chaque fournisseur : fiches de modèles Hugging Face pour les licences et benchmarks, sites web des fournisseurs pour les prix API, et EUR-Lex pour les textes RGPD et AI Act actuels. Cet article reflète les informations publiques disponibles en mai 2026.

Utilisez PromptQuorum avec un LLM local, vos propres clés API, ou les deux — vous choisissez le backend.

Rejoindre la liste d'attente PromptQuorum →

← Retour aux LLMs locaux