PDPL Arabie Saoudite : Conformité à la protection des données personnelles

La loi saoudienne sur la protection des données personnelles (PDPL), promulguée par le décret royal M/19 du 16 septembre 2021 et entrée en vigueur le 17 septembre 2023, représente la première législation complète du Royaume sur la protection des données. Administrée par l'Autorité saoudienne des données et de l'intelligence artificielle (SDAIA), la PDPL s'applique aux organisations traitant les données personnelles des résidents saoudiens et a des implications importantes pour les entreprises opérant sur ou desservant le marché saoudien.

La PDPL était accompagnée de son règlement d'exécution (publié par la SDAIA en mars 2023), qui fournit des exigences détaillées sur les mesures techniques et organisationnelles, les processus relatifs aux droits des personnes concernées et les conditions de transfert transfrontalier de données. Le non-respect peut entraîner des amendes allant jusqu'à 5 millions SAR (1,33 million USD) et un an d'emprisonnement en cas d'infraction pénale.

Points clés à retenir

• La PDPL saoudienne s'applique à tout traitement de données personnelles d'individus en Arabie Saoudite, quel que soit l'endroit où se trouve l'entité de traitement.
• Il existe huit bases juridiques pour le traitement ; le consentement doit être explicite, spécifique, éclairé et vérifiable
• Les données sensibles (santé, génétique, crédit, casier judiciaire, biométrique, orientation sexuelle) nécessitent un consentement explicite ou des exceptions légales spécifiques
• Les transferts transfrontaliers nécessitent l'approbation de la SDAIA ou des garanties spécifiques — la localisation des données constitue un défi de conformité important
• Les droits des personnes concernées incluent l'accès, la rectification, la suppression, la portabilité et l'opposition — avec un délai de réponse de 30 jours
• La nomination d'un DPO est obligatoire pour certaines organisations traitant des données sensibles à grande échelle
• La SDAIA peut imposer des amendes allant jusqu'à 5 millions de SAR et les pouvoirs réglementaires incluent la suspension du traitement des données
• Le PDPL s'applique parallèlement aux réglementations sectorielles de la Banque centrale saoudienne (SAMA) et d'autres régulateurs

---

Portée et applicabilité du PDPL

Qui doit se conformer

Le PDPL saoudien (décret royal M/19 de 1443 AH / 2021) s'applique à :

1. Traitement en Arabie Saoudite : Toute entité traitant des données personnelles sur le territoire saoudien
2. Traitement des données des résidents saoudiens : entités situées en dehors de l'Arabie saoudite qui traitent les données personnelles des personnes résidant en Arabie saoudite.
3. Traitement à des fins basées en Arabie Saoudite : Traitement lié à l'offre de biens ou de services à des particuliers en Arabie Saoudite.

Cette portée extraterritoriale signifie que les entreprises internationales au service des clients saoudiens – notamment les plateformes de commerce électronique, les fournisseurs SaaS et les services numériques – doivent se conformer au PDPL.

Définitions clés :

• Données personnelles : Toute donnée qui conduit à l'identification spécifique d'un individu ou permet de l'identifier, y compris son nom, son numéro d'identification personnel, son adresse, ses numéros de contact et toute autre donnée permettant d'identifier l'individu.
• Données personnelles sensibles : Données de santé, données génétiques, données de crédit et financières, données relatives aux personnes ayant des besoins particuliers, casier judiciaire, données biométriques, données révélant les origines raciales ou ethniques, les croyances religieuses et données relatives à la vie privée, y compris l'orientation sexuelle.

###Exonérations

Le PDPL ne s’applique pas :

• Données personnelles détenues par les autorités gouvernementales à des fins de sécurité ou judiciaires
• Données des personnes décédées (pas de dispositions sur les droits des plus proches parents)
• Données personnelles traitées à des fins personnelles ou familiales
• Données anonymisées de manière à rendre impossible la réidentification

---

Bases juridiques du traitement

Le règlement d’exécution PDPL établit les bases juridiques du traitement des données personnelles. Les responsables du traitement doivent documenter la base juridique applicable pour chaque activité de traitement :

Exigences de consentement en vertu du PDPL :

• Doit être explicite et spécifique à la finalité du traitement
• Ne peut pas être regroupé avec d'autres consentements
• Doit être rédigé dans un langage simple, sans jargon technique
• Le retrait doit être aussi simple que de donner son consentement
• Un enregistrement du consentement doit être conservé
• Le marketing et la publicité nécessitent un consentement distinct et explicite

Données sensibles : le traitement nécessite un consentement explicite ou relève de l'un des éléments suivants : obligation légale, protection des intérêts vitaux de la personne concernée ou d'autrui, nécessité médicale avec obligations de secret de santé, traitement dans le cadre d'une procédure judiciaire ou recherche scientifique avec les garanties appropriées.

---

Droits des personnes concernées

La PDPL accorde aux personnes concernées les droits suivants, avec un délai de réponse général de 30 jours (extensible à 30 jours supplémentaires avec notification) :

Droit d'être informé : Les personnes concernées doivent être informées des activités de traitement avant ou au moment de la collecte des données. Les responsables du traitement doivent divulguer : l'identité et les coordonnées, les finalités, la base juridique, les catégories de données, la période de conservation, les droits de la personne concernée, les informations sur les transferts transfrontaliers.

Droit d'accès : Les personnes concernées peuvent demander confirmation du traitement de leurs données et en obtenir une copie. La réponse doit être fournie dans les 30 jours ; une copie gratuite tous les 12 mois (frais autorisés pour les copies supplémentaires).

Droit de rectification : les personnes concernées peuvent demander la rectification de données personnelles inexactes ou obsolètes.

Droit à l'effacement : les personnes concernées peuvent demander la suppression lorsque : la finalité a été remplie, le consentement a été retiré (sans autre base juridique), les données collectées illégalement ou une obligation légale exige la suppression. Les exceptions incluent l'obligation légale de conservation, l'exercice des droits légaux et la recherche d'intérêt public.

Droit à la portabilité : les personnes concernées peuvent demander leurs données dans un format structuré et lisible par machine pour les transmettre à un autre responsable du traitement.

Droit d'opposition : les personnes concernées peuvent s'opposer au traitement sur la base d'intérêts légitimes (le responsable du traitement doit démontrer des motifs légitimes impérieux prévalant sur les intérêts de la personne concernée).

Droit de restreindre la prise de décision automatisée : les personnes concernées peuvent demander un examen humain des décisions automatisées importantes.

---

Obligations du contrôleur et du sous-traitant

Exigences en matière d'avis de confidentialité

Les responsables du traitement doivent fournir un avis de confidentialité clair et accessible couvrant :

• Nom de l'entité et coordonnées
• Catégories de données personnelles collectées
• Finalités et bases juridiques du traitement
• Comment les données sont utilisées, divulguées et transférées
• Délais de conservation des données
• Droits des personnes concernées et comment les exercer
• Informations sur les éventuels virements transfrontaliers
• Coordonnées du DPO (si désigné)

Les avis de confidentialité doivent être rédigés en arabe pour les opérations basées en Arabie Saoudite (les exigences de traduction s'appliquent aux entreprises au service des consommateurs saoudiens).

Délégué à la protection des données (DPD)

En vertu du règlement d’exécution PDPL, la nomination d’un DPO est obligatoire pour :

• Responsables du traitement traitant des données personnelles sensibles à grande échelle
• Responsables de traitement effectuant un suivi systématique à grande échelle des personnes concernées
• Pouvoirs publics (sauf exceptions)

Le DPO doit :

• Avoir une connaissance approfondie de la protection des données et de la sécurité de l'information
• Relève directement de la haute direction
• Agir en tant que point de contact pour la SDAIA et les personnes concernées
• Contrôler le respect du PDPL
• Fournir des conseils sur les DPIA

Les coordonnées du DPD doivent être divulguées dans la déclaration de confidentialité.

Évaluations d'impact sur la protection des données (DPIA)

Le règlement d’exécution exige une AIPD avant les activités de traitement pouvant entraîner un risque élevé pour les personnes concernées, notamment :

• Traitements à grande échelle de données sensibles
• Profilage systématique des personnes concernées
• Traitement impliquant de nouvelles technologies
• Traitement des données des enfants à grande échelle

La documentation DPIA doit être conservée et mise à la disposition de la SDAIA sur demande.

Exigences de sécurité

Les responsables du traitement doivent mettre en œuvre des mesures techniques et organisationnelles adaptées à la sensibilité des données et aux risques du traitement, notamment :

• Cryptage des données lors du stockage et de la transmission
• Contrôles d'accès avec principe du moindre privilège
• Journalisation d'audit pour l'accès aux données personnelles
• Tests de sécurité et évaluations de vulnérabilité réguliers
• Procédures de réponse aux incidents
• Continuité des activités et reprise après sinistre des systèmes de données personnelles
• Évaluation de la sécurité des fournisseurs et exigences contractuelles

---

Transferts de données transfrontaliers

L'article 29 du PDPL impose des restrictions importantes sur le transfert de données personnelles en dehors de l'Arabie saoudite. Il s’agit de l’un des aspects les plus difficiles sur le plan opérationnel de la conformité PDPL.

Mécanismes de transfert autorisés :

1. Agrément SDAIA : Cession soumise à l'accord préalable de la SDAIA et aux conditions qu'elle précise
2. Protection adéquate : Transfert vers un pays offrant un niveau adéquat de protection des données (SDAIA tient à jour une liste approuvée)
3. Garanties contractuelles : Transfert dans le cadre de contrats offrant une protection adéquate et répondant aux exigences de la SDAIA
4. Règles d'entreprise contraignantes : transferts intragroupe selon des règles d'entreprise contraignantes approuvées
5. Consentement : consentement explicite et éclairé de la personne concernée
6. Nécessité du contrat : transfert nécessaire à l'exécution du contrat avec la personne concernée
7. Intérêts vitaux : transfert nécessaire pour protéger les intérêts vitaux lorsque le consentement ne peut être obtenu
8. Intérêt public : transfert requis pour l'intérêt public avec les garanties appropriées

Considérations relatives à la localisation des données : les réglementations spécifiques au secteur de la SAMA (Autorité monétaire saoudienne), de la Commission des communications, de l'espace et de la technologie (CST) et du ministère de la Santé imposent des exigences de localisation des données pour les données financières, de télécommunications et de santé. Les fournisseurs de cloud doivent maintenir des centres de données en Arabie Saoudite pour certaines catégories de données réglementées.

Impact pratique : de nombreuses entreprises multinationales ayant des activités en Arabie saoudite ont mis en œuvre des solutions de résidence des données, en utilisant des régions cloud basées en Arabie saoudite (disponibles sur AWS, Azure et Google Cloud), pour éviter la conformité complexe des transferts transfrontaliers.

---

Notification de violation

L'article 20 du PDPL exige que les responsables du traitement informent la SDAIA des violations de données personnelles dans les 72 heures suivant la découverte d'une violation qui présente un risque pour les droits ou les intérêts des personnes concernées.

Contenu requis pour la notification de violation :

• Nature et circonstances du manquement
• Catégories et nombre approximatif de personnes concernées
• Catégories et nombre approximatif d'enregistrements concernés
• Nom et coordonnées du DPO ou autre contact
• Conséquences probables de la violation
• Mesures prises ou envisagées pour remédier au manquement

Notification aux personnes concernées : requise sans délai injustifié lorsque la violation est susceptible d'entraîner un risque élevé pour les droits ou libertés des personnes concernées. La notification doit inclure : ce qui s'est passé, quelles données ont été affectées, les mesures que les personnes concernées peuvent prendre pour se protéger et les coordonnées pour des demandes de renseignements complémentaires.

---

Application et sanctions de la SDAIA

Pouvoirs réglementaires

La SDAIA dispose de larges pouvoirs réglementaires en vertu du PDPL :

• Émission de directives et de règlements
• Enquêter sur les plaintes des personnes concernées
• Réalisation d'audits des responsables de traitement
• Imposer des sanctions administratives
• Suspendre les activités de traitement qui violent le PDPL
• Dénonciation des infractions pénales au ministère public

Pénalités

Sanctions administratives :

• Amende pouvant aller jusqu'à 1 million SAR (267 000 USD) pour violation des droits des personnes concernées ou des obligations du responsable du traitement
• Amende pouvant aller jusqu'à 5 millions SAR (1,33 million USD) pour violations impliquant des données personnelles sensibles
• Amende pouvant aller jusqu'à 5 millions SAR pour violations de transfert transfrontalier
• Les amendes peuvent être doublées en cas de récidive dans un délai de deux ans

Sanctions pénales :

• Divulgation ou publication de données sensibles sans autorisation : emprisonnement jusqu'à deux ans et/ou amende jusqu'à 3 millions SAR
• Transfert de données en dehors de l'Arabie Saoudite pour nuire aux intérêts nationaux : emprisonnement jusqu'à un an et/ou amende jusqu'à 1 million de SAR

Divulgation publique : la SDAIA peut publier des informations sur les violations et les sanctions, avec des implications significatives sur la réputation sur le marché commercial concentré de l'Arabie saoudite.

---

Interaction avec d'autres réglementations saoudiennes

Cadre de cybersécurité SAMA

La Banque centrale saoudienne (SAMA) dispose de son propre cadre de cybersécurité (SAMACF) applicable à toutes les entités réglementées par la SAMA (banques, compagnies d'assurance, sociétés de financement). Le cadre comprend :

• Exigences de classification et de protection des données alignées sur PDPL
• Exigences de réponse aux incidents et de notification
• Obligations de gestion des risques tiers
• Exigences d'évaluation du fournisseur de services cloud

Les entités réglementées par la SAMA doivent se conformer à la fois à la SAMACF et à la PDPL, l'exigence la plus stricte prévalant.

Règlement CST sur la Protection des Données Personnelles (Télécoms)

La Commission des communications, de l'espace et de la technologie a publié des exigences de protection des données spécifiques aux télécommunications, notamment la protection des données des abonnés, les restrictions sur les données de localisation et la localisation des données pour les opérateurs de télécommunications.

Réglementations du secteur de la santé

Le ministère de la Santé et le Conseil saoudien de la santé ont émis des exigences en matière de protection des données de santé exigeant : le consentement du patient pour le partage de données, la localisation des données pour les dossiers de santé, des normes de sécurité spécifiques pour les systèmes d'information sur la santé et des restrictions sur l'utilisation des données de santé à des fins commerciales.

---

Liste de contrôle de conformité PDPL saoudienne

• Analyse d'applicabilité du PDPL terminée (y compris la portée extraterritoriale)
• Inventaire des données personnelles et des données sensibles réalisé
• Base juridique documentée pour chaque activité de traitement
• Consentement explicite séparé obtenu pour le traitement de données sensibles
• Avis de confidentialité publié en arabe (pour les utilisateurs saoudiens) avec toutes les informations requises
• DPD désigné si nécessaire ; coordonnées dans l'avis de confidentialité
• Procédures relatives aux droits des personnes concernées documentées avec un mécanisme de réponse de 30 jours -[ ] Accords de processeur mis à jour avec les exigences PDPL
• Évaluation des transferts transfrontaliers terminée — Mécanismes approuvés par la SDAIA en place
• Évaluation de la localisation des données pour les secteurs réglementés (finance, santé, télécoms)
• DPIA réalisée pour les activités de traitement à haut risque
• Mesures de sécurité mises en œuvre proportionnellement à la sensibilité des données -[ ] Procédure de notification de violation dans les 72 heures documentée et testée -[ ] Planifications de conservation documentées et suppression automatisée configurée
• Formation des employés sur les obligations PDPL terminée

---

Questions fréquemment posées

Quand le PDPL de l'Arabie saoudite est-il devenu exécutoire ?

Le PDPL a été promulgué par le décret royal M/19 en septembre 2021 et son règlement d'application a été publié en mars 2023. L'application a commencé le 17 septembre 2023, soit deux ans après la promulgation de la loi. La SDAIA avait initialement indiqué un délai de grâce pour la préparation à la mise en conformité, mais l'application est désormais active. Les entreprises qui n’ont pas encore lancé de programmes de conformité sont confrontées à un risque réglementaire réel.

La PDPL saoudienne s'applique-t-elle à mon entreprise en dehors de l'Arabie saoudite ?

Oui, si vous traitez des données personnelles de personnes résidant en Arabie Saoudite. La portée extraterritoriale est similaire à l'approche du RGPD : si vous proposez des biens ou des services à des résidents saoudiens, ou si vous traitez des données de résidents saoudiens à quelque fin que ce soit, la PDPL s'applique. Cela inclut les entreprises de commerce électronique, les fournisseurs SaaS, les services numériques et toute entreprise employant des Saoudiens (pour leurs données d'emploi).

Quelles sont les exigences en matière de localisation des données en Arabie Saoudite ?

Le PDPL lui-même n’impose pas une localisation générale des données : il autorise les transferts transfrontaliers via des mécanismes approuvés. Cependant, les réglementations spécifiques au secteur créent d'importantes exigences de localisation : les institutions financières réglementées par la SAMA doivent conserver les données financières de leurs clients en Arabie Saoudite ; les données de santé doivent être stockées en Arabie Saoudite pour les entités de santé réglementées ; les données des abonnés aux télécommunications ont des exigences de résidence spécifiques. Les fournisseurs de cloud AWS, Microsoft Azure et Google Cloud ont tous établi des régions cloud en Arabie Saoudite pour répondre à ces exigences.

Comment le PDPL interagit-il avec le RGPD pour les entreprises multinationales ?

Les entreprises multinationales soumises à la fois au RGPD et au PDPL saoudien doivent satisfaire aux deux cadres simultanément. Ils partagent des principes similaires mais diffèrent dans les détails : les exigences de consentement PDPL, les mécanismes de transfert transfrontalier et les délais de notification des violations ont des exigences spécifiques à l'Arabie saoudite. Le principal défi pratique réside dans les flux de données transfrontaliers : les données circulant de l’Arabie saoudite vers les pays de l’UE ne sont pas automatiquement conformes à la PDPL saoudienne simplement parce que le RGPD s’applique à la destination. Chaque transfert doit être évalué selon les mécanismes du PDPL.

Qu'est-ce que la SDAIA et quelle est son autorité ?

La SDAIA (Saudi Data and Artificial Intelligence Authority) est l'organisme gouvernemental chargé de superviser les données et l'IA en Arabie Saoudite. Créée en 2019, la SDAIA administre le PDPL et dispose de vastes pouvoirs de réglementation, d'enquête et d'application. Il publie des orientations et des réglementations, enquête sur les plaintes, effectue des audits, impose des amendes administratives et renvoie les infractions pénales au ministère public. La SDAIA gère également le cadre national de gouvernance des données et supervise le développement de l'économie des données en Arabie Saoudite.

---

Prochaines étapes

L'économie numérique croissante de l'Arabie saoudite et la transformation de Vision 2030 créent d'importantes opportunités commerciales parallèlement à des exigences réglementaires de plus en plus strictes. La conformité PDPL devient une condition préalable pour faire des affaires avec des entités gouvernementales saoudiennes, des banques, des organismes de santé et des entreprises clientes.

ECOSIRE aide les organisations à se conformer à la conformité PDPL saoudienne ainsi qu’à d’autres exigences régionales en matière de protection des données. Nos services comprennent des évaluations des lacunes en matière de conformité, la conception de programmes de confidentialité, la mise en œuvre technique et la gestion continue de la conformité.

En savoir plus : Services ECOSIRE

Avertissement : ce guide est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les exigences saoudiennes en matière de PDPL évoluent grâce aux orientations et aux décisions d’application de la SDAIA. Consultez un conseiller juridique saoudien qualifié pour obtenir des conseils spécifiques à votre organisation.