Si votre plate-forme numérique ou votre FAI dessert des utilisateurs aux Émirats arabes unis, vous devez connaître un nouveau cadre réglementaire – et le temps presse.
Le décret-loi fédéral n° 26 de 2025 sur la sécurité numérique des enfants (la « loi fédérale CDS ») est entré en vigueur le 1er janvier 2026, accordant aux entités couvertes jusqu'à un an pour se conformer pleinement. Cela signifie que la date limite est le 1er janvier 2027, à moins que le Cabinet ne la prolonge.
Il ne s’agit pas simplement d’un autre règlement à classer. La loi CDS a une portée extraterritoriale, s'applique à toute plate-forme ciblant les utilisateurs des Émirats arabes unis, quel que soit l'endroit où vous êtes constitué, et introduit des obligations qui nécessitent un véritable travail d'ingénierie : systèmes de vérification de l'âge, modération de contenu basée sur l'IA, filtrage au niveau du réseau, etc.
Que vous exploitiez une plateforme de médias sociaux, un jeu en ligne, un FAI ou un service numérique utilisé par des enfants, voici ce que vous devez savoir et ce que vous devez faire.
Ce que couvre la loi
La loi CDS s'applique à deux catégories d'entités :
Plateformes numériques : réseaux de médias sociaux, applications de messagerie, plateformes de jeux en ligne, services de streaming de contenu et tout service numérique accessible aux enfants des Émirats arabes unis.
Fournisseurs d'accès Internet (FAI) : toute entité fournissant un accès Internet aux utilisateurs des Émirats arabes unis.
Surtout, la loi a une application extraterritoriale. Si votre plate-forme cible les utilisateurs des Émirats arabes unis – via la prise en charge de la langue arabe, les méthodes de paiement locales, le contenu spécifique aux Émirats arabes unis ou la publicité basée aux Émirats arabes unis – vous êtes couvert. Vous n'avez pas besoin d'une présence physique dans le pays.
Définitions clés
- Enfant : Toute personne de moins de 18 ans
- Âge minimum sur les réseaux sociaux : 15 ans (avec vérification de l'âge obligatoire)
- Enfants de moins de 13 ans : des protections spéciales renforcées s'appliquent
- Contenu préjudiciable : contenu présentant des risques pour le développement physique, mental ou moral des enfants.
La liste de contrôle de conformité
1. Vérification de l'âge (doit être en ligne maintenant)
Toutes les plateformes doivent mettre en œuvre des mécanismes de vérification de l’âge. Pour les utilisateurs de moins de 15 ans, l'accès aux réseaux sociaux est restreint. Pour les utilisateurs de moins de 13 ans, des exigences supplémentaires en matière de consentement parental entrent en vigueur.
Que faire :
- Mettre en œuvre une vérification robuste de l'âge lors de l'inscription (pas seulement une auto-déclaration)
- Restreindre les fonctionnalités des réseaux sociaux pour les utilisateurs identifiés comme ayant moins de 15 ans
- Signaler les comptes des utilisateurs de moins de 13 ans pour le traitement du consentement parental
- Documentez votre méthodologie de vérification de l'âge
2. Paramètres de confidentialité élevée par défaut pour les enfants
Les comptes enfants doivent utiliser par défaut les paramètres de confidentialité les plus élevés. Ce n'est pas facultatif, c'est la loi.
Que faire :
- Auditer les paramètres par défaut actuels pour les comptes mineurs
- Passer à la confidentialité maximale par défaut pour utilisateurs de moins de 18 ans
- Supprimer les profils d'enfants de l'indexation des moteurs de recherche
- Désactiver le partage de position par défaut
3. Restrictions de collecte de données pour les moins de 13 ans
Pas de collecte ou de traitement de données sur des enfants de moins de 13 ans sans accord parental explicite. Cela comprend l'interdiction de :
- Utilisation commerciale des données des enfants
- Publicité ciblée auprès des utilisateurs de moins de 13 ans
- Suivi comportemental et profilage
Que faire :
- Mettre en œuvre un workflow de consentement parental (vérifiable, pas seulement opt-in par e-mail)
- Bloquer tout ciblage et suivi publicitaire pour les comptes de moins de 13 ans
- Créer des flux de travail de traitement de données distincts pour les utilisateurs de moins de 13 ans
- Préparer les calendriers de conservation et de suppression des données pour cette cohorte
4. Modération de contenu basée sur l'IA
Les plates-formes doivent déployer une détection et suppression proactives basées sur l'IA des contenus nuisibles. Cela va au-delà du reporting réactif : vous avez besoin de systèmes qui identifient et agissent sur les contenus nuisibles avant qu'ils ne soient signalés.
Que faire :
- Mettre en œuvre ou mettre à niveau la modération du contenu IA pour les catégories de sécurité des enfants
- Établir des workflows de suppression automatisés pour les contenus enfants illégaux
- Mettre en place des canaux de signalement immédiats auprès des autorités des Émirats arabes unis
- Précision de la modération des documents et taux de faux positifs
5. Filtrage de contenu au niveau du FAI
Les FAI doivent mettre en œuvre un filtrage de contenu au niveau du réseau et fournir un contrôle parental aux abonnés.
Que faire (FAI) :
- Déployer un filtrage au niveau DNS ou par inspection approfondie des paquets pour les contenus nuisibles
- Proposer des tableaux de bord de contrôle parental à tous les abonnés
- Établir des mécanismes de signalement pour les contenus nuisibles découverts sur votre réseau
- Mettre en œuvre des configurations d'accès soumises à des restrictions d'âge
6. Contrôle parental et sensibilisation
Les plateformes et les FAI doivent fournir des outils de contrôle parental accessibles et des mesures de sensibilisation à la sécurité numérique.
Que faire :
- Construire ou intégrer des tableaux de bord de contrôle parental
- Fournir des instructions claires aux parents sur la mise en place de restrictions
- Publier des ressources sur la sécurité numérique et des guides de reporting
- Proposer des notifications et des conseils de sécurité réguliers
7. Jeux en ligne et restrictions de paris
Les plateformes proposant des jeux en ligne ou des jeux d’argent commerciaux doivent empêcher les enfants d’accéder aux fonctionnalités de paris, y compris la publicité liée aux jeux d’argent et l’utilisation de données ciblant les mineurs.
Que faire :
- Contenu de jeu de géoblocage ou de barrière d'âge
- Supprimer les publicités de jeu de tout contenu accessible aux mineurs
- Auditer les achats dans le jeu et les mécanismes des coffres à butin pour vérifier la conformité en matière de protection de l'enfance
8. Classification des niveaux de risque
Le Cabinet classera les plateformes numériques en niveaux de risque avec les obligations correspondantes. Les plateformes à plus haut risque (par exemple, les médias sociaux avec une interaction étendue avec les utilisateurs) seront confrontées à des exigences plus strictes.
Que faire :
- Effectuer une auto-évaluation du niveau de risque de votre plateforme
- Préparez une documentation de conformité améliorée si vous êtes susceptible d'être classé comme à haut risque
- Engager un conseiller juridique familier avec le paysage réglementaire des Émirats arabes unis
Chronologie et pénalités
La loi est déjà en vigueur depuis le 1er janvier 2026. La fenêtre de mise en œuvre d’un an signifie :
- Maintenant - 31 décembre 2026 : Période de mise en œuvre
- 1er janvier 2027 : conformité totale requise
- Après janvier 2027 : début des mesures d'application
Les sanctions en cas de non-conformité peuvent inclure :
- Blocage de plateforme aux Emirats Arabes Unis
- Suspension ou fermeture du service
- Amendes administratives (montants à préciser en Conseil des ministres)
- Responsabilité pénale potentielle en cas de violations graves impliquant des contenus liés à l'exploitation d'enfants
Comment cela interagit avec la loi existante sur la confidentialité aux Émirats arabes unis
La loi CDS offre des protections immédiates et exécutoires, tandis que le règlement exécutif plus large Loi sur la protection des données personnelles (PDPL) des Émirats arabes unis reste en attente. Pour les enfants de moins de 13 ans, la loi CDS comble efficacement le vide en exigeant des exigences spécifiques et concrètes : consentement parental pour le traitement des données, interdictions de publicité et restrictions de suivi qui vont au-delà des dispositions générales du PDPL.
Pour les entreprises, cela signifie que la loi CDS n’attend pas le PDPL. Les obligations de conformité sont désormais en vigueur.
Là où la plupart des entreprises se trompent
Sur la base de notre analyse, voici les lacunes les plus courantes que nous constatons :
- Sous-estimation de la portée extraterritoriale — Si vous avez des utilisateurs des Émirats arabes unis, vous êtes couvert. Période.
- Vérification de l'âge après coup — L'auto-déclaration (« cliquez sur confirmer que vous avez 18 ans ») ne suffira pas. Les tribunaux et les régulateurs attendent une vérification substantielle.
- Aucun pipeline de modération IA — La modération réactive signalée par l'utilisateur ne répond pas à l'exigence de « détection proactive ».
- Ne pas tenir compte des obligations du FAI — Même si vous n'êtes pas un FAI, votre CDN et vos fournisseurs d'hébergement devront peut-être se coordonner en matière de filtrage.
- Consentement parental sous forme de case à cocher — Le consentement parental vérifiable nécessite plus qu'un e-mail. Les normes de « consentement parental vérifiable » du RGPD de l'UE constituent une référence utile.
Vos prochaines étapes
Le chronomètre de conformité est en marche. Voici ce qu'il faut prioriser ce trimestre :
Immédiat (T3 2026) :
- Effectuer une analyse des écarts par rapport aux 8 éléments de la liste de contrôle ci-dessus
- Engager un conseiller juridique des Émirats arabes unis doté d'une expertise en matière de réglementation numérique
- Commencer la conception et l'approvisionnement du système de vérification de l'âge
Court terme (T4 2026) :
- Déployer des workflows de vérification de l'âge et de consentement parental
- Mettre en œuvre la modération du contenu par l'IA pour la sécurité des enfants
- Configurer les paramètres de confidentialité élevée par défaut pour les comptes mineurs
Avant le 1er janvier 2027 :
- Filtrage complet au niveau du FAI (le cas échéant)
- Finaliser la documentation des niveaux de risque
- Réaliser un audit de conformité et des mesures correctives
Avertissement : Cet article fournit des conseils généraux et ne constitue pas un avis juridique. Le Cabinet des Émirats arabes unis peut publier des règlements d'application supplémentaires qui affectent les obligations de conformité. Engagez un conseiller juridique qualifié pour obtenir des conseils spécifiques à la juridiction.
Continuer la lecture : les services de conformité et de sécurité d'Aratech pour les plateformes numériques des Émirats arabes unis